Les entreprises du monde entier sont aux prises avec la réouverture de leurs lieux de travail physiques à l'ère du coronavirus. Les entreprises et les gouvernements ont recours au suivi de localisation, à la reconnaissance thermique et aux contrôles de température pour identifier les individus potentiellement infectés par le coronavirus.

Ces méthodes de surveillance ont des implications pour la vie privée des individus et peuvent être régulées par des lois sur la protection de la vie privée telles que la California Consumer Privacy Act (CCPA), qui considère les informations thermiques comme des informations privées protégées.

De grandes entreprises technologiques telles que Google et Facebook ainsi que divers gouvernements ont également lancé des applications de suivi du coronavirus. Ces applications utilisent la technologie Bluetooth dans les appareils mobiles pour effectuer le traçage des contacts dans le but d'identifier la source de propagation de l'infection par le coronavirus. Mais elles sont généralement facultatives, nécessitent que les utilisateurs possèdent des appareils mobiles, ont des implications pour la vie privée des utilisateurs finaux et peuvent être truffées d'erreurs de faux positifs et négatifs.

Existe-t-il un moyen plus précis, basé sur le consentement, pour les entreprises d'accorder l'accès aux espaces physiques à l'ère du coronavirus ?

Utiliser l'identité auto-souveraine (SSI) pour gérer les « passeports d'immunité » COVID-19

Une proposition pour permettre aux affaires et au commerce de continuer, tout en atténuant les risques de propagation de l'infection par le coronavirus, est d'exiger que les individus présentent un « passeport d'immunité » COVID-19 pour accéder aux espaces physiques.

Un consortium de plus de 60 concurrents de solutions d'identité - dont certains offrent des logiciels traditionnels de gestion de l'identité et des accès (IAM) - se sont associés pour faire exactement cela dans le cadre de l'Initiative des Crédentiels COVID-19. L'initiative vise à déployer des crédentiels vérifiables et de confiance prouvant le statut COVID-19 d'une personne en utilisant des solutions d'identité auto-souveraine (SSI).

Comment fonctionnerait un « passeport d'immunité » ?

Imaginez que pour accéder à un immeuble de bureaux, un employé doit d'abord se présenter à l'accueil de l'immeuble pour vérifier qu'il est exempt de coronavirus. Le personnel de l'accueil doit vérifier que l'employé a subi un test COVID-19 récent d'un fournisseur médical de confiance et que les résultats du test sont négatifs.

Pour ce faire, le personnel demande à l'employé de scanner un code QR à l'aide de son application mobile. En scannant le code QR, l'employé est confronté à la question : « Voulez-vous autoriser la gestion de l'immeuble de bureaux à accéder à votre crédentiel COVID-19 ? » et il sélectionne « oui ». Le crédentiel coronavirus de l'employé, qui est stocké dans son « passeport d'immunité » ou autre portefeuille numérique sur son appareil mobile, permet l'accès à ces informations de crédentiel. L'application tablette du personnel de l'accueil reçoit les informations de crédentiel COVID-19 de l'employé, affiche une couleur verte indiquant qu'il a récemment été testé pour le coronavirus par une institution médicale de confiance et que les résultats du test étaient négatifs. L'employé est alors autorisé à accéder à l'immeuble de bureaux.

Il est important de noter que les informations personnelles de l'employé, telles que son résultat de test, sont stockées uniquement dans son « passeport d'immunité » ou portefeuille numérique sur son appareil mobile, et non sur la blockchain accessible au public. La blockchain ne stocke que l'information que l'émetteur de crédentiel a émis le crédentiel à une date et une heure spécifiques.

Bien sûr, l'exemple ci-dessus est une version simplifiée de la façon dont la SSI fonctionne pour expliquer les cas d'utilisation commerciale impliquant de telles solutions. En réalité, la technologie soutenant la SSI est assez complexe.

Qu'est-ce que l'« identité auto-souveraine » ?

Les portefeuilles numériques SSI sont comparables à un portefeuille du monde réel qui stocke des permis de conduire, des cartes d'assurance automobile, des cartes d'assurance santé et d'autres informations d'identification. Avec la SSI, ces éléments stockés dans un portefeuille numérique sont appelés « crédentiels vérifiables ».

Similaire à un portefeuille du monde réel, si l'utilisateur perd son appareil mobile, elle devra reconstruire son portefeuille numérique en se rendant au DMV pour un remplacement de permis de conduire, à son fournisseur d'assurance santé pour un remplacement de crédentiel d'assurance santé, et ainsi de suite. Encore une fois, similaire au monde réel, un utilisateur est capable de choisir avec qui elle partage ses crédentiels et données personnelles lorsque d'autres personnes ou entités veulent valider son identité. En utilisant la SSI, il n'y a pas de base de données centralisée, telle qu'un bureau de crédit, pour que d'autres personnes ou entités valident son identité sans sa permission. Cela, en théorie, aide à protéger la vie privée d'une personne.

Il convient de noter que la SSI n'est pas une auto-certification, mais nécessite des informations d'un tiers de confiance. Il est possible que des institutions peu fiables émettent des crédentiels ; c'est la responsabilité du vérificateur de crédentiel de choisir quelles institutions il fait confiance. Similaire au monde physique, de nombreuses entreprises exigent des pièces d'identité émises par le gouvernement comme un permis de conduire délivré par l'État comme preuve d'identité ; c'est parce que la personne vérifiant l'identité d'une autre personne fait confiance à la pièce d'identité émise par le gouvernement. Si une personne essaie de vérifier son identité ou son âge en apportant une copie de son annuaire de lycée comme preuve, il est compréhensible que cela ne soit pas considéré comme une forme acceptable d'identité ; n'importe qui pourrait falsifier un annuaire de lycée. Le même concept s'applique aux émetteurs de crédentiels numériques.

Quel problème commercial la SSI résout-elle ?

En utilisant cette méthode SSI, les entreprises peuvent vérifier le statut d'infection par le coronavirus des personnes sans stocker les informations personnellement identifiables (PII) de quiconque, réduisant ainsi un vecteur de menace de cyberattaque et protégeant la vie privée d'un individu. La méthode est également sans papier, sans contact et vérifiable sur une blockchain publique.

Étant donné que le coronavirus affecte presque tous les pays du monde, les crédentiels SSI acceptés à l'échelle mondiale pourraient être un moyen de reprendre en toute sécurité les voyages mondiaux. Les normes techniques pour la SSI commencent à se former. Par exemple, le World Wide Web Consortium (WC3) a publié une norme industrielle en novembre 2019 appelée « Verifiable Credentials », qui fournit un moyen pour que les crédentiels soient « cryptographiquement sécurisés, respectueux de la vie privée et vérifiables par machine ».

Autres cas d'utilisation commerciale pour la SSI

Le crédentiel COVID-19, ou « passeport d'immunité », est l'un des nombreux cas d'utilisation des solutions d'identité auto-souveraine (SSI). La SSI peut être appliquée dans les secteurs bancaire, de la vente au détail, de la santé et du secteur public. Cependant, la SSI en tant que solution a été principalement conceptuelle. Certaines entreprises travaillent sur des preuves de concept jusqu'à présent, pas de déploiements réels. Bien que la SSI ne soit pas encore largement adoptée, certaines industries ont eu des déploiements réussis de la SSI ; la plupart impliquent des institutions financières utilisant les méthodes de vérification KYC « Know Your Customer » pour prévenir la fraude.

Limitations et controverses de la SSI

Il existe cependant des limitations avec les solutions SSI. Actuellement, la SSI n'est pas universellement acceptée, elle a donc une applicabilité limitée pour les entreprises et les utilisateurs finaux. Faire confiance aux émetteurs de crédentiels peut être problématique sans moyen de certifier les certificateurs. De plus, comment les entreprises peuvent-elles prévenir l'utilisation d'identités synthétiques ? Le type de fraude d'identité à la croissance la plus rapide, l'utilisation d'identités synthétiques, dépasse la fraude d'identité « vrai nom », selon Dawid Jacobs, un spécialiste de la gestion de l'identité de renom. De plus, bien que considérées comme « inviolables », les blockchains peuvent en effet être piratées (bien que généralement par ingénierie sociale). Les blockchains publiques peuvent ne pas fournir la confidentialité que les utilisateurs finaux attendent.

Ce que certaines personnes dans la conversation sur l'identité numérique préconisent, ce sont des lois et des réglementations pour soutenir la vie privée des utilisateurs. Un groupe, la Trust over IP Foundation, vise non seulement à promouvoir des normes techniques mondiales, mais aussi des normes de politique pour ajouter plus de couches de confiance aux identités numériques, réduire la fraude et prévenir les violations de la vie privée.

D'autres appellent à une portabilité complète des données, où les utilisateurs finaux ont le contrôle de toutes leurs données, y compris les identités. La portabilité des données permettrait aux utilisateurs d'accéder, de copier ou de transférer (transférer) les données qu'une entreprise ou une entité maintient à leur sujet dans un format commun lisible par machine. Une portabilité limitée des données est actuellement accordée en vertu de certaines lois sur la protection de la vie privée, telles que le RGPD et la CCPA.

Promouvoir davantage de politiques et adopter des réglementations pour fournir aux individus des droits à la portabilité des données sera un sujet brûlant. D'un côté, les défenseurs des consommateurs et de la vie privée soutiennent que les gens contrôlent leurs données et les données collectées à leur sujet. De l'autre côté, une nuée de grandes entreprises technologiques qui ont construit leur fortune en traitant des données repousseront sans aucun doute.

Quel est l'avenir de la SSI ?

Dans des circonstances normales, nous pourrions soutenir que la SSI est une solution technologique futuriste que les entreprises n'ont pas besoin d'inclure dans leur budget pour les années à venir. Cependant, étant donné la nature mondiale de la propagation du coronavirus, associée au désir de rouvrir les entreprises en toute sécurité tout en protégeant la vie privée des individus, de plus en plus d'entreprises et de gouvernements pourraient sérieusement envisager la technologie SSI pour les « passeports d'immunité » comme solution. Pour cette raison, nous devons rester ouverts à l'adoption de la SSI et observer comment cette technologie est utilisée sur le marché.