Projets

IDéNum : les prémices bien flous d'une carte d'identité électronique

Nathalie Kosciusko-Morizet a annoncé le projet IDéNum pour remplacer les nombreux couples identifiants/mots de passe qui n'assurent qu'une sécurité douteuse sur chaque service en ligne. Mais cette annonce reste très floue et semble faire l'impasse sur l'existant sans encore apporter la véritable et tant attendue carte d'identité électronique.

PublicitéC'est a priori une bonne idée : un label créant un système de certificat électronique remplaçant les mots de passe requis pour accéder aux divers services de l'Etat sur le Web, aux sites des banques, des e-commerçants, etc. Tel est l'objet d'IDéNum, présenté hier par Nathalie Kosciusko-Morizet. Selon la secrétaire d'Etat à la Prospective et au développement de l'Economie numérique, cela devrait simplifier la vie des internautes, et leur apporter davantage de sécurité dans leurs transactions en ligne. Le principe d'IDéNum est d'instituer une authentification forte unique en associant un support physique (carte à puce, clé USB, téléphone mobile) à un code PIN. Les sites labellisés accepteront cette méthode d'authentification en lieu et place de leur système d'origine. Les services administratifs seront les premiers à proposer ce service, mais le gouvernement espère que tous les acteurs de la vie numérique en France, mais aussi en Europe, se rallieront à cette solution. Il sera possible de révoquer le certificat en cas de perte ou de vol Dans la mesure où il s'agit d'initier une démarche volontaire, IDéNum donne la possibilité aux entreprises partenaires, La Poste ou des banques par exemple, de délivrer les supports de certificat selon leurs propres conditions, notamment tarifaires. Le choix sera important, car le certificat devrait avoir une durée de vie limitée, et en cas de vol, précise Anne Murgier, de Keynectis (opérateur de service de confiance, habilité à délivrer des certificats), il faudra se retourner auprès de l'organisme émetteur pour révoquer le certificat, « exactement comme cela se passe pour les cartes bancaires ». Le dossier élaboré par l'équipe ministérielle explique que « 35 % des internautes interrogés doivent se connecter à plus de 11 portails nécessitant une authentification par login et mot de passe, et 19 % des internautes à plus de 15 portails. 33% des internautes utilisent plusieurs fois le même mot de passe ; 50% des internautes les écrivent quelque part ou les enregistrent ». En outre, est-il écrit, « 24,6% des 212 000 usurpations d'identité relevées en 2008 en France avaient pour origine le piratage de l'ordinateur ». A l'aune de ces chiffres, on ne peut qu'approuver la mise en place d'un tel dispositif. De multiples questions en suspens De multiples questions en suspens IDéNum laisse toutefois plusieurs questions en suspens. Celle de l'homonymie, notamment, puisque, à en croire la foire aux questions mise en place par le ministère, seuls le nom et le prénom seront échangés. Pour Anne Nurgier, il s'agit effectivement d'un « problème à traiter ». Qui pourrait se résoudre, dit-elle, par l'ajout d'informations sur la puce (pour le téléphone ou la carte) ou dans le coffre-fort électronique (espace crypté d'une clé USB lié à l'identifiant matériel de la clé). L'autre question concerne les dispositifs de lecture, qui risquent, du moins dans un premier temps, d'exclure les amateurs de logiciels libres. IDéNum exclut aussi des protocoles (comme OpenID) et des solutions (comme Windows CardSpace) qui existent déjà, sont reconnus à un niveau international, et permettent de jouer avec plusieurs identités numériques. N'aurait-il pas été plus simple de s'en inspirer ? « Ces protocoles ne sont pas forcément basés sur des certificats, explique Anne Murgier, or le niveau de sécurité recherché par IDéNum demandait un certificat. » Jean-Michel Planche, PDG de Witbe et grand défenseur de la neutralité du Net, regrette de son côté qu'IDéNum fixe de telles directives, sans « structurer un champ des possibles », qui aurait permis d'innover et de proposer des solutions compatibles, interopérables. Qui dit eID dit aussi traçabilité complète de l'internaute En fait, IDéNum pourrait bien amorcer le virage vers une eID, carte d'identité électronique. Il s'agirait donc d'une solution temporaire. « Comme l'a expliqué la ministre, indique Anne Murgier, la carte d'identité électronique sera délivrée par l'Etat, et le processus devrait être assez long... L'idée est d'aller plus vite. Mais à terme, IDéNum devrait y être rattaché. » Une perspective qui fait grincer quelques dents. « IDéNum est un premier pas, qui n'est pas si mal, juge Jean-Michel Planche. Mais je suis très circonspect si cela aboutit à imposer une solution unique. Une carte d'identité électronique, c'est très bien pour les services administratifs, mais s'il faut l'avoir pour la Poste, EdF, SFR, etc., on passe à une autre dimension, proche de l'exemple coréen. Sera-t-on au ban de la vie numérique si on n'a pas son eID ? » De fait, la généralisation de l'usage d'un eID pour tous les services numériques simplifierait grandement la traçabilité des actions des internautes : une aubaine pour les Hadopi et autres Loppsi ou lois en i à venir. Pour Jean-Michel Planche, une autre solution est possible, et elle ne passe pas par la technique - bien que « nous ayons besoin d'outils simples, pour des humains normaux » - mais par l'éducation. « La question est bien posée, mais la réponse est technique alors que le problème est humain. Il faut éduquer, de façon à ce qu'on puisse appréhender notre vie numérique. »