Olivier Maas : "le futur pourrait combiner authentification forte et anonymat"

Olivier Maas représentait Atos Origin au cours de la conférence dédiée au commerce du futur et à la sécurisation des données, dans le cadre du Forum international sur la cybercriminalité. Il présentait à cette occasion le projet FC², la Fédération des cercles de confiance, qui mène de la R&D dans le domaine des usages sécurisés de l'identité en ligne. Leur projet a permis de développer des prototypes d'identification en ligne et d'interfaçage avec un lecteur de cartes physique, qui pourrait permettre d'utiliser une éventuelle carte d'identité numérique ou une carte bancaire pour s'authentifier ou payer en ligne.

Bonjour Olivier Maas. Le projet FC² est en phase de recherche et développement depuis 2007. Quelle est la suite envisagée ?

C'est la grosse question. On est dans le cadre d'un projet de R&D. De toute façon, il faudra poursuivre les efforts dans le développement d'outils. On s'est basé sur les standards InfoCard et LibertyAlliance. Nous sommes reparti de bases open source, et avons ajouté une couche au standard Infocard pour permettre l'interopérabilité avec des cartes. C'est notre principal apport. Après, le problème pour le déploiement, c'est cette interopérabilité. De ce point de vue, InfoCard est un standard bien meilleur que CardSpace par exemple, très limité et qui ne permet pas de s'interfacer avec des lecteurs de carte à puce pour lire des informations sur une carte d'identité ou s'authentifier avec une carte bancaire. Il faut qu'un minimum d'acteurs des secteurs qui sont concernés adoptent ce genre de choses. En l'état, c'est de la R&D, ce n'est pas mature. Ce qu'on essaie de faire maintenant, c'est de pousser les évolutions apportées à InfoCard dans le standard. Il faut bien voir que ces standards sont avant tout développés par des Américains, qui n'en ont strictement rien à faire des cartes à puce. En Europe, on est dans une situation différente. Les cartes à puce sont beaucoup plus dans notre quotidien, typiquement pour le paiement. On a mené l'expérience au niveau français, mais on pense qu'il faut un effort au niveau européen pour développer ce genre de technologies. Ce ne sont pas Microsoft ou Google qui vont développer ça. Chez Google, ils sont dans le 100% numérique. De toutes façons, il faudra poursuivre les efforts dans le développement d'outils.

Mais ce n'est pas trois ans de R&D pour le plaisir de la recherche. Vous chercherez à vous positionner sur un marché national pour la carte d'identité numérique ?

Chez Atos, on se positionnera sur ce marché. C'est déjà nous qui opérons en partenariat le passeport biométrique. Ce qui va se passer quand la carte va arriver, c'est que ce seront les mêmes infrastructures qui vont être utilisées. On sera présent, mais en back-office. L'initiative au niveau de FC², c'est pour montrer les apports que peut avoir la carte d'identité. Ce qu'on voit dans les pays où la carte a déjà été distribuée, c'est que là où elle a été cantonnée à des usages purement administratifs, ça n'a pas vraiment décollé. Mais quand ils ont réussi à mixer le privé et le public, ça a eu un intérêt pour les consommateurs et ça a marché. On ne peut pas préjuger qu'en France ça va se faire. C'est la loi qui va le dire.

Ca semble bouger, du côté des dirigeants politiques. Est-ce que l'annonce d'IdeNum* a lancé une dynamique dans ce sens ?

IdeNum, c'est une opportunité pour les vendeurs de supports d'authentification. Parfois, il y a un mélange des genres entre la carte d'identité numérique et les certificats. Les certificats, c'est de l'authentification, point. La carte d'identité a des données certifiées qui peuvent être partagées. C'est ça qui est intéressant. IdeNum pourrait être la première brique d'un système comme FC². Mais notre intérêt n'est pas de partager de l'authentification ou d'avoir un label commun. Ca en fera partie, mais il y a l'aspect partage de données. Et ça, IdeNum ne le couvre pas. Si la carte d'identité numérique était ouverte à des services marchands, ça prendrait la place d'IdeNum. Sauf que cette initiative du secrétariat d'Etat à l'Economie numérique est un label d'Etat, donc il n'y a pas que la carte, mais plein d'autres supports, comme les certificats ou les téléphones mobiles qui peuvent voir le jour. De manière générale, il y a deux acteurs qui peuvent tirer le marché : les banques, qui s'intéressent de près au problème de l'authentification, et qui peuvent s'intéresser à l'interfaçage avec des cartes à puce, et l'Etat, avec IdeNum ou la carte d'identité, et surtout avec les collectivités locales. Les gens sont en attente de services au niveau local : l'inscription à la crèche, etc. Avec des solutions d'identification, le justificatif de domicile pour cette inscription ou une procuration met une seconde à venir. On pourrait vraiment dématérialiser ces services, qui pour le moment restent cantonnés à la mairie.

Le problème, c'est que ces deux acteurs n'ont pas toujours le budget pour investir. Alors que sur les services en ligne, il y a déjà des choses qui se font, notamment chez les e-commerçants. Pour le moment, ils s'arrangent des soucis de fraude. Le jour où la fraude sera vraiment importante, ils devront venir à ces technologies, mais ce n'est pas quelque chose qu'on peut imaginer déployer à grande échelle avant cinq ans. Les technologies doivent encore progresser, et il y a tout cet écosystème à organiser. Ce n'est pas évident de faire participer les banques, les e-commerçants. Mais déjà si l'Etat pousse la carte d'identité dans les usages du domaine privé, ce sera un bon point.

Quel est le futur de ces technologies ?

Sur l'aspect R&D, au niveau d'Atos, on travaille à la génération d'après. On parle beaucoup de certificats pour l'instant, d'IdeNum, de la carte d'identité, mais ce sont des services où on n'a pas vocation à utiliser un pseudo ou à être anonyme. Typiquement, on n'est pas anonyme quand on inscrit son gamin à la garderie. Par contre, on estime qu'il n'est pas légitime d'utiliser une carte d'identité, ni même un certificat, pour s'identifier sur un site de e-commerce quand ça n'est pas nécessaire. Parce qu'un certificat, ça laisse des traces. Actuellement, on est dans des identités en silo, chaque site a sa base de comptes. Si on utilise IdeNum sur tous les sites, on peut être tracé. Dans les labos, on commence à travailler sur des technologies qui permettent d'anonymiser des authentifications.

C'est le principe d'OpenID, non ?

L'OpenID ne permet pas de mixer certificat et anonymat. Sur un site de commerce, on n'a pas forcément besoin du nom et du prénom. Imaginez la location de voiture. Des chercheurs en Suisse on travaillé sur un prototype de service de location anonyme. On prouve qu'on a un permis de conduire, avec des points, on prouve son identité, on paye, mais sans jamais dévoiler cette identité. Ce sont de nouvelles méthodes cryptographiques qui permettent de donner de la confiance, comme si le tiers de confiance légitimait une connexion tout en permettant à l'internaute de rester anonyme. Le fournisseur de services peut ensuite se retourner vers le tiers en cas de problème, si vous ne rendez pas la voiture par exemple. C'est encore au stade des laboratoires, mais ça permettrait d'utiliser des cartes d'identité ou des titres avec authentification forte, tout en préservant un anonymat. En e-commerce, on peut imaginer qu'en se faisant livrer à un point relais, il suffirait d'un code pour retirer ses achats. Personne n'a besoin de savoir qui on est. Même dans le monde actuel, le paiement est souvent externalisé, le commerçant ne sait pas ce qui se passe, du moment qu'il est payé. Le problème, c'est que les commerçants n'ont pas encore d'intérêt à faire ça. Pour l'instant, ils accumulent des bases de données gigantesques et se constituent un fichier client. Le net s'est construit comme ça, mais quand on voit maintenant comment on est spammé par les pubs... Les pubs, moi, je ne les regarde même plus. Peut-être que quand les commerçants se rendront compte qu'ils ont des bases énormes, qu'ils peuvent se faire voler, et qui ne servent pas à grand chose parce qu'il y a d'autres façons de faire du marketing et de se faire connaître, ils reviendront là-dessus. Mais ce n'est pas demain la veille.

Au final, vous nous présentez la technologie de FC² comme la solution ultime : plus de phishing, plus de possibilité de pirater les logiciels grâce à la cryptologie à usage unique. C'est un peu ce qu'on disait des certificats SSL, qui sont finalement contournés par beaucoup de sites...

Je pense que notre système traite bien le problème en amont : comment sécuriser la fourniture des données au commerçant pour que la transaction puisse se passer, et comment élever le niveau de confiance entre lui et le consommateur. De ce point de vue-là, il est bien adapté. Après, il y aura certainement de fausses versions de sélecteurs d'identité ou des virus qui iront attaquer l'exécutable. Mais on est bien en avance pour l'instant. Là où le bât blesse, c'est derrière, au niveau des bases de données clients chez les commerçants. Les banques sont déjà confrontées à ce problème. Cependant il y a déjà un standard qui s'appelle PCI, très draconien sur les mesures à prendre : les numéros de carte doivent être chiffrés en base, jamais accessibles en clair, il y a des contraintes de sécurité physique sur l'accès au machines... Qui sait si un jour on n'aura pas PCI pour les données personnelles, s'il y a le cadre juridique ? Pour l'instant, on en est vraiment au début, mais le jour où une simple requête Google permettra d'afficher toute notre vie, peut-être qu'il faudra aller vers un chiffrement aussi contraignant pour le commerçant qu'il l'est aujourd'hui pour le banquier, ou qu'on ira vers l'anonymat.

Olivier Maas, je vous remercie.

(*) Le projet IdeNum, annoncé récemment par Nathalie Kosciusko-Morizet, vise à fournir une authentification pour de nombreux services en ligne, notamment administratifs.