Pensé à l’origine pour sécuriser les réseaux internes, le modèle Zero Trust s’impose peu à peu comme un standard de la cybersécurité moderne. Mais à force de ne faire confiance à personne, pas même à l’utilisateur légitime, c’est une autre notion qui s’efface en douceur : celle, déjà fragile et toute relative, de l’anonymat en ligne.
On l’a longtemps considéré comme un outil réservé aux grandes structures, taillé pour les environnements critiques et les politiques de sécurité internes. Mais le modèle Zero Trust a depuis franchi les murs de l’entreprise. Portés par l’essor du cloud, l’authentification renforcée et les nouveaux outils de contrôle des accès, certains de ses principes irriguent désormais des usages bien plus ordinaires. Et à mesure que la méthode se généralise, les plateformes demandent de plus en plus souvent que vous prouviez qui vous êtes, où vous êtes, et depuis quel appareil vous vous connectez. Une logique de méfiance permanente qui peut se défendre dans certains contextes, mais qui, à grande échelle, finit par faire des dégâts. Y compris sur des pratiques aussi élémentaires que le fait de naviguer sans être identifié.
Le soupçon comme politique par défaut
À l’origine, l’idée n’avait rien d’excessif. Le modèle Zero Trust est né pour éviter qu’un attaquant puisse librement circuler dans un système dès lors qu’il a réussi à y entrer. On ne parle plus ici de protéger seulement les frontières du réseau, mais d’en vérifier tous les accès, tout le temps, même à l’intérieur.
Autrement dit, plus de privilèges accordés par défaut, plus de confiance automatique, même pour les machines ou les profils déjà enregistrés. Chaque requête est évaluée selon des politiques dynamiques, souvent de manière transparente pour l’utilisateur, quel que soit son niveau de légitimité supposée, et il faut constamment démontrer son identité, le bien-fondé de son accès et la conformité de son appareil.
Dans les environnements les plus sensibles, ce mode de fonctionnement a rapidement fait ses preuves. En segmentant les réseaux, en réduisant la surface d’exposition et en entravant les déplacements latéraux, le Zero Trust offre généralement une protection plus efficace que les modèles traditionnels fondés sur la confiance implicite accordée à tout ce qui se trouve à l’intérieur du périmètre.
Des infrastructures critiques aux services grand public : le grand débordement
Mais avec le passage au cloud et la généralisation des connexions à distance, le modèle a fini par déborder du périmètre des infrastructures critiques pour intégrer les offres de sécurité des grands acteurs de la tech – Microsoft, Google, Amazon, Cisco ou encore Okta – avant de rejaillir dans les outils grand public. Et avec lui, une logique d'évaluation continue qui s’est progressivement mêlée à d’autres dynamiques déjà existantes : lutte contre la fraude, contraintes réglementaires, surveillance publicitaire, monétisation des signaux contextuels. Vous vous connectez à un service depuis un nouvel appareil ? Vérification. Depuis un VPN ? Captcha ou blocage chez certains services. Depuis un autre pays ? Authentification renforcée, voire interdiction d’accès selon la politique locale et le profil de risque.
Évidemment, ce n’est pas tant la cohérence du modèle dans les environnements professionnels qui pose problème, que sa transposition indirecte à des contextes ordinaires où les enjeux de confidentialité ou d’accès libre devraient primer. Les politiques d’accès adaptatives qui en découlent reposent toujours sur une logique d’identification permanente : non seulement il faut prouver qui l’on est, mais aussi depuis où, avec quoi, et dans quelles conditions. Tout le temps.
Pour trancher, les plateformes s’appuient sur un éventail de métadonnées – géolocalisation approximative, empreinte du navigateur, système d’exploitation, fuseau horaire, langue, comportement de navigation, parfois jusqu’à la vitesse de frappe – utilisées pour établir dynamiquement un score de confiance (ou évaluation de risque contextuel selon les terminologies), qui permet de décider si l'accès est autorisé, suspendu ou limité.
Un anonymat de plus en plus théorique
Bref, avec le Zero Trust, le jugement ne porte plus seulement sur ce que vous faites, mais sur la cohérence perçue de votre contexte d’accès. Et tenter de dissimuler une partie de ce contexte – en essayant de se connecter de manière moins traçable par exemple – est souvent considéré comme un comportement déviant. Attendu dans un cadre pro, mais bien plus ambivalent une fois transposé aux usages ordinaires, à plus forte raison quand le modèle tend à considérer la discrétion comme une anomalie.
Alors, rappelons quand même que l’anonymat en ligne est une notion toute relative. Masquer son IP, éviter de se connecter, ne pas transmettre son empreinte numérique ne garantit jamais l’absence totale de traces laissées derrière soi, mais permet de dissocier, au moins temporairement et partiellement, un individu de ses actions.
Or c’est précisément cette forme d’anonymat opérationnel, utilisée pour limiter l’exposition à la surveillance ou préserver un certain degré de confidentialité, qui devient de plus en plus difficile à maintenir. Non pas parce que toutes les plateformes appliqueraient à la lettre le modèle Zero Trust, mais parce que plusieurs d’entre elles s’en inspirent pour justifier des contrôles renforcés. Accès bloqué depuis un relais Tor, refus d’inscription sans numéro de téléphone, limitation d’accès pour cause de connexion suspecte : les exemples ne manquent pas. Et dans ces cas-là, ce ne sont pas forcément des pirates qu’on empêche d’agir, mais également des militants, des journalistes, des chercheurs, des opposants pour qui la discrétion est parfois une condition de sécurité.
Un glissement culturel plus qu’un choix technique
Le Zero Trust n’est pas intrinsèquement incompatible avec la confidentialité. Il peut même s’intégrer dans des architectures respectueuses de la vie privée, en limitant la surface d’attaque ou les privilèges excessifs. Mais il s’inscrit désormais dans un mouvement plus large où la vérification permanente devient un standard implicite, nourri aussi bien par la régulation, la lutte anti-fraude que par les modèles économiques fondés sur la collecte de signaux contextuels. Et lorsqu’un tel modèle devient la grille de lecture dominante de tout usage numérique, il transforme progressivement notre rapport à la confidentialité, qui cesse alors d’être un droit ou une précaution légitime, et finit par être perçu comme un état risqué.
Et ce glissement dépasse le seul domaine technique. À mesure que les exigences d’identification s’imposent dans les messageries, les navigateurs, les applications et les objets connectés, c’est une forme de présomption d’innocence numérique qui s’érode. Pas parce que le système l’interdit, mais parce qu’il en rend l’accès de plus en plus contraint.
À l’inverse, certaines initiatives cherchent à concilier sécurité et respect de la vie privée, comme l’authentification sans mot de passe ou les jetons anonymes type Privacy Pass ou Privacy Access Token, preuve que la trajectoire n’est pas totalement univoque, même si leur adoption reste inégale.
Une question de seuil, pas de dogme
Le modèle Zero Trust répond à des besoins réels. Dans les environnements professionnels, face aux menaces internes et aux attaques sophistiquées, il permet de limiter les dégâts. Mais en dehors de ce cadre, son extension mécanique pose question. Faut-il appliquer les mêmes logiques à un réseau social, à une application météo ou à un simple site d’information ? Où place-t-on le curseur entre sécurité et intimité ? La réponse dépend évidemment du niveau de risque, de la finalité du service et de la proportionnalité des contrôles.
Qu'on se le dise quand même, le danger n’est pas que « l’anonymat » disparaisse brutalement. C’est qu’il devienne si difficile à maintenir qu’il soit réservé à des profils techniques, des militants aguerris ou des outils spécialisés. Et que dans l’intervalle, le reste du web soit conçu comme un espace sous contrôle permanent, au nom de la confiance, mais au prix de l’effacement progressif d’une liberté pourtant fondamentale. À moins d’encourager des contre-mesures réellement favorables à la vie privée face au réflexe de vérification systématique, et de parvenir à les imposer par défaut dans les services grand public.
