L’ENISA, l'Agence de l’Union européenne pour la cybersécurité, a publié deux rapports qui se concentrent sur l’identification par voie numérique : une analyse des technologies dénommées “self-sovereign identité” et une étude sur les attaques majeures visant les méthodes d’identification qui reposent sur la présentation et l’identification du visage de l’utilisateur.
La confiance dans l’identité d’une personne physique ou morale est devenue la pierre angulaire de nos activités en ligne. Il est donc essentiel que l’identité numérique des utilisateurs soit protégée le mieux possible pour garantir un accès sécurisé aux services financiers, au commerce électronique, aux plateformes de livraison ou de transport, aux services de télécommunication et aux services des administrations publiques.
Dans cette optique, let but du règlement européen sur l’identification électronique et les services de confiance, le règlement eIDAS, est de fournir une base commune pour renforcer la sécurité des transactions électroniques entre les citoyens, entreprises et les autorités publiques.
Un objectif clé de ce règlement est de sécuriser l’identification électronique et l’authentification pour les services numériques transfrontaliers entre Etats membres. Le règlement eIDAS aborde aussi la thématique de la vérification d’identité dans plusieurs contextes.
Rapport « Remote Identity Proofing - Attacks & Countermeasures »
La vérification d’identité à distance est typiquement effectuée via une webcam ou un téléphone portable, où l’utilisateur montre son visage, qui est ensuite comparé par rapport aux informations enregistrées sur des documents officiels, tels que des cartes d’identité ou des passeports. Au cours des dernières années, des acteurs malveillants ont développé plusieurs stratégies pour contourner la sécurité de ces systèmes et d’usurper l’identité d’une autre personne.
Le rapport « Remote Identity Proofing - Attacks & Countermeasures » contient une analyse des méthodes de vérification d’identité à distance et explique les caractéristiques des attaques majeures basées sur
- la présentation d’une photo d’un visage imprimée ou affichée sur un écran;
- des attaques par rejeu via des vidéos;
- des masques en 3D qui reproduisent les traits d’un visage d’une façon réaliste;
- la technologie dénommée « deepfake », qui permet de créer des images ou des vidéos réalistes à partir d’une photo de la personne dont l’identité sera usurpée.
Le rapport donne des recommandations et identifie les différents types de mesures de sécurité qui permettent de lutter contre ces attaques, telles que des mesures visant l’environnement dans lequel se déroule la vérification d’identité (qualité minimale de la transmission video), des mesures qui permettent la détection d’attaques (détection d’incohérences qui résultent des manipulations « deepfake »), etc.
Rapport « Digital Identity: Leveraging the SSI Concept to Build Trust »
Les technologies dénommées “self-sovereign identity” (SSI) visent à donner aux utilisateurs plus de contrôle sur leur identité. L’avantage principal de ces technologies est que les utilisateurs peuvent contrôler comment leur identité est présentée à des parties tierces.
Les utilisateurs peuvent recevoir plusieurs identifiants, c.-à-d. chaque identifiant est lié à une activité nécessitant une authentification, et il est possible aussi de choisir les attributs d’une identité associés avec un identifiant. Ces identifiants numériques décentralisés peuvent être utilisés en guise de pseudonymes pour assurer le secret des identités des utilisateurs. Les attributs privés de l’identité numérique peuvent être séparés des autres et l’utilisateur peut choisir les attributs qui sont divulgués à des parties tierces, tout en maintenant la confidentialité des autres attributs.
Le rapport « Digital Identity: Leveraging the SSI Concept to Build Trust » contient une revue de littérature et une revue des technologies SSI, ainsi que des solutions d’identification électronique (eID) existantes. Le rapport couvre aussi les normes et les projets pilotes en relation avec ces solutions. Les risques de sécurité et les opportunités dans le but d’atteindre les objectifs du règlement eIDAS sont aussi analysés dans le rapport.
Plus d’informations sur les rapports sont disponibles sur le site web de l’ENISA.