Les identités numériques décentralisées

Avec le développement des blockchains ouvertes et des smart-contracts, les questions à propos du web décentralisé dit « 3.0 » reviennent régulièrement au cœur des discussions. En effet différents protocoles existent désormais pour faciliter le développement d'applications et de sites décentralisés. La décentralisation peut se développer par l'architecture du projet ou par des moyens techniques avancés. Cependant, de la même manière que nous nous connectons aux services centralisés de manière quotidienne, il nous faudra un moyen simple de nous connecter aux différentes DApps. La question qui se pose est donc : comment devrions-nous gérer notre identité numérique ou civile de manière décentralisée tout en garantissant la protection de nos données personnelles ? Aujourd'hui je vous propose de plonger dans l'écosystème des identités décentralisées.

Notre identité sur internet aujourd'hui

Avant d'aller chercher des solutions techniques complexes et expérimentales, il nous faut analyser notre utilisation de notre identité sur internet aujourd'hui. Quelles en sont les problématiques et pourquoi est-ce important de chercher à développer des standards d'identité numérique, qui plus est décentralisée ?

Aujourd'hui les données personnelles sont partout sur internet, nous les donnons volontairement ou non lors de notre utilisation des différents services centralisés de manière quotidienne. Les géants du web, les fameuses « GAFA », peuvent en utilisant ces données dresser le profil de leurs utilisateurs. Ces profils peuvent aller bien plus loin que des informations liées à la civilité de ces utilisateurs puisque les plateformes ont des accès aux habitudes de leurs clients. L'adage populaire « Si c'est gratuit, c'est toi le produit ! » n'a jamais été autant utilisé et s'applique complètement au business model des services les plus populaires d'internet. Proposer des plateformes efficaces est une chose, mais les prochaines étapes de l'évolution de ces dernières pourraient être la mise en place de systèmes d'identité numérique plus respectueux de leurs utilisateurs.

Les systèmes de connexions existants

Si au début d'internet de nombreux services étaient pseudonymes, ce n'est aujourd'hui plus le cas en général. En effet nous sommes de plus en plus invités à utiliser notre identité civile pour interagir avec les applications les plus utilisées tels que les réseaux de Facebook ou Google par exemple. Nos comptes sont également, sous couvert de sécurité, associés à un numéro téléphonique et donc à nous bien que l'on puisse parfois utiliser des pseudos pour communiquer avec les autres utilisateurs. Mais nous procurons bien plus que nos civilités sur internet, et c'est notamment par le biais de « connexions avec » que nous fournissons nos habitudes de navigation aux acteurs majeurs du web.

De la même manière qu'il est possible de relier des wallets Bitcoin et leur activité à des identités, il est possible pour les GAFA de retracer notre activité sur internet. En revanche c'est une façon de procéder unilatérale puisque les utilisateurs eux ne le peuvent pas, n'ayant pas accès aux données des réseaux. Nous sommes donc dans un cas d'une boîte noire, une situation qui nécessite que l'on fasse entièrement confiance aux applications que l'on utilise pour la gestion de nos données numériques.

La réglementation des identités et des données personnelles

En Union Européenne, les internautes bénéficient d'une grande protection et transparence en ce qui concerne nos données numériques. En effet la réglementation RGPD force les applications ou sites internet à dévoiler l'utilisation des données comme les partenaires en cas de divulgation à des pairs. Mais la masse des données que l'on partage sur internet n'est pas stockée en Europe et bénéficie de la souplesse du « Cloud Act ». Lorsqu'elles sont stockées aux États-Unis, les données sont donc soumises à la réglementation américaine qui autorise largement la manipulation des données personnelles par des services tiers. Et quand bien même nos données seraient dans des centres de données sur le territoire européen, c'est la nationalité de l'entreprise qui prône sur la localisation du stockage.

Qu'est-ce qu'une identité décentralisée ?

Il n'existe pas vraiment d'identité numérique en tant que telle, ou tout du moins pas dans l'imaginaire collectif en ce qui nous concerne, nous francophones. En effet, il existe déjà des identités nationales numériques dans certains pays d'Europe, notamment où il existe une carte d'identité permettant de se connecter à différents services numériques. Cela s'applique aux services étatiques évidemment, mais également à la connexion à des comptes bancaires et autres applications sensibles. Ce type d'identité semble intéressante et réduit les coûts de sécurité des applications puisque tout repose sur le fonctionnement centralisé lié à l'état. En revanche en ce qui concerne les utilisateurs, il reste nécessaire d'attribuer une confiance envers un tiers. Ce ne sont donc pas des solutions qui nous intéressent dans le cadre des identités décentralisées.

Une identité décentralisée serait-elle donc simplement une identité numérique, mais déployée sur un réseau ouvert et décentralisé ? Dans la théorie ce serait juste, mais en pratique le système de DID qui souhaite devenir le standard devrait posséder certaines fonctionnalités. L'objectif des utilisateurs des réseaux décentralisés, mais également de la plupart des internautes, est le respect de leur vie privée. La problématique n'est en effet pas de transmettre ou non ces informations, mais de savoir à qui ces données sont transmises, et de s'assurer quelles ne sont pas par la suite revendues ou utilisées à mauvais escient.

Les différentes identités décentralisées

Il existe aujourd'hui différents projets liés aux identités décentralisées, souhaitant la mise en place d'un standard global permettant aux applications de communiquer avec ces identités. En effet l'objectif est de déployer une seule identité sur une plateforme décentralisée et de faire en sorte que les applications utilisées par les internautes interagissent directement avec ces DID. Ce sont donc différents protocoles qui sont à l'étude et je vous propose de réaliser un tour d'horizon des projets les plus prometteurs.

Le standard de W3C

Un projet de standard d'identité décentralisé a été lancé par le consortium mondial du World Wide Web Consortium (W3C). Ces travaux tournent autour d'identifiants agissants comme une identité numérique décentralisée. Au contraire de notre identité numérique existant déjà par nos empreintes de données et gestion des connexions, les utilisateurs doivent être capable de connaître à quelles fins sont utilisées leurs données et aussi de pouvoir sélectionner de manière minutieuse les données transmises et à qui elles sont transmises. D'après leurs rapports il existe différentes solutions, qui parfois nécessitent des avancées techniques pour être réellement fonctionnelles.

La solution proposée par Blockchain Partner

L'entreprise française a réalisé cette année le développement d'une solution d'identité décentralisée très intéressante. Par le biais de différents hackathon, l'équipe a en effet réussi à mettre en place un design de réseau qui permet de ne pas divulguer les données des utilisateurs dans certains cas précis. Si vous êtes un lecteur assidu, vous allez facilement faire le lien entre cette solution et notre article sur les Zero-Knowledge Proof (ZKP) que nous avons présentées récemment. En effet cette solution repose sur ce concept algorithmique de preuve à divulgation nulle de connaissance, sur les standards d'identité décentralisée et les plateformes blockchain de smart-contracts.

Le cas d'utilisation standards de cette solution est le besoin de prouver l'appartenance de l'utilisateur à une classe précise. Cela peut être par exemple le statut de handicapé pour des places de parking ou celui d'être abonné lors d'un contrôle dans des transports en commun. Lors du contrôle il sera possible aux utilisateurs de ne pas décliner leur identité pour valider le fait qu'ils appartiennent au bon statut. En effet le point critique du contrôle n'est pas d'obtenir l'identité de la personne ou des données liées à son statut, mais simplement qu'elle prouve qu'elle appartient bien à ce statut d'utilisateur.

Le système présente deux avantages majeurs pour les utilisateurs. Nous avons donc vu qu'il serait possible de valider son statut sans avoir à divulguer nos informations personnelles ni à décliner nos identités. Mais pour fonctionner, il faudrait que chaque acteur l'utilisant (l'entreprise gérant le parking, la compagnie de transport en commun dans nos exemples) gère sa propre base de données. C'est par le déploiement du système sur une plateforme blockchain décentralisée que la solution devient réellement intéressante. Ainsi par le biais de l'utilisation d'un standard d'identité décentralisée il est possible de mettre en place un réseau de confiance pour gérer notre identité numérique en limitant les risques de fuites de nos données personnelles.

La solution de uPort

Acteur majeur de l'écosystème des identités décentralisées, l'entreprise uPort se focalise sur la mise en place d'un standard d'identité permettant de se connecter à des applications ou des sites internet. De la même manière que la connexion avec des services tiers existe déjà de manière opaque et centralisée, uPort souhaite apporter une alternative plus décentralisée et beaucoup plus transparente. Mais seul uPort ne semble pas très intéressant et il faudra voir leurs services utilisés par d'autres applications décentralisées ou non pour utiliser uPort dans notre vie quotidienne. Cette adoption par l'écosystème et ainsi la communauté pourrait être faite puisque nous avons déjà observé le développement de projets dans le même cadre. Nous pouvons notamment citer Ethereum Name Service dans ce type de projet dont la synergie avec les DApps Ethereum se développe.

Le réseau Ontology

Développer des applications est important mais il faut également des réseaux solides et décentralisés sur lesquels les déployer. En effet si chaque plateforme blockchain actuelle possède des avantages et inconvénients quant à la mise en place d'identités décentralisées. Ontology est un projet souhaitant permettre aux développeurs de facilement déployer des applications autour de ces identités décentralisées et aux utilisateurs de bénéficier de services de qualités. Ces ONT ID peuvent être crées par les utilisateurs qui vont y déposer les informations qu'ils souhaitent partager par la suite. Mais ces derniers pourront pour chaque application sélectionner les informations personnelles et données qu'ils souhaitent partager au cas par cas. Par la suite la transparence du réseau fait en sorte qu'il est possible de retracer les utilisations de ces données. Cela limitera par exemple les problématiques liées à l'utilisation sans contrôle des données des utilisateurs par de tiers partenaires.

Les risques associés aux identités décentralisées

Malgré les promesses qui nous font rêver, l'utilisation des identités décentralisées ne serait pas sans risque pour les utilisateurs si elles venaient à être développées à grande échelle. En effet il existe différents types de risques lors de l'utilisation que nous allons étudier ensemble.

Tout d'abord, la décentralisation apporte des avantages, mais donne beaucoup de responsabilités aux utilisateurs. En effet ils doivent gérer leurs propres données, mais également la manières d'y accéder, de les modifier et d'analyser l'utilisation faite par les diverses applications. Dans le cadre du fonctionnement de Bitcoin par exemple, l'accès aux fonds et à leur utilisation est défini par la possession des clés privées du wallet. En cas de perte, les fonds deviennent alors inaccessibles, même s’il existe différents moyens de mettre place des solutions de récupération en amont. Perdre des fonds est déjà fâcheux. Alors qu'arriverait-il en cas de perte d'accès à une identité ? Les services utilisés deviendraient inaccessibles et cela pourrait créer des situations extrêmement fâcheuses dans des cas particuliers, notamment avec les personnes avec peu de connaissances techniques.

Les risques peuvent également provenir de la sécurité des systèmes utilisés pour développer et entretenir ces identités décentralisées. En effet, si elles sont déployées sur des plateformes de smart-contracts immuables, ces derniers ne doivent pas être exposés à des attaques ou exploitation de failles de sécurité.

Voilà qui conclut notre article sur le sujet passionnant que sont les identités décentralisées. Si le sujet revient régulièrement dans les débats, l'évolution des plateformes blockchain ainsi que des algorithmes ZKP semble rendre la création de standards réalisables. Verrons-nous les premières identités décentralisées être utilisées par la communauté en 2020 ? Si cela semble très prometteur pour une adoption à grande échelle, certaines DApps pourraient utiliser des standards de DIDs rapidement. Si vous avez des questions ou remarques à propos de cet article, n'hésitez pas à nous en faire part dans les commentaires ou sur les réseaux sociaux.

Passionné par les crypto-monnaies, j’ai rapidement appris à développer des outils dans le domaine des technologies blockchain. J’aime partager mes connaissances sur le sujet et je participe activement au rayonnement des aspects techniques de la blockchain au sein de la communauté crypto. Je suis principalement intéressé par Ethereum et par son code Solidity.

Guillaume Chanut

64 articles

Tous ses articles