Les Identity days
Avec la première session des Identity days qui a tenu place à Paris très récemment, ses organisateurs signent un beau galop d’essai en réunissant sponsors et professionnels du milieu autour de 4 grandes thématiques :
- la Cybersécurité des annuaires & AD hardening
- IAM – Gestion des identités et des méta-annuaires
- la Gestion des identités dans le Cloud
- la Cybersécurité des identités, des privilèges et des accès
Au fil des présentations, conférences et échanges, une tendance de fond apparait : dans notre monde toujours plus connecté, ouvert et centralisé, pour être efficiente et sécurisée la gestion de l’identité devrait être le fait de son porteur et simplifiée autant que possible.
On peut ainsi émettre deux assertions, confirmées tant durant la présentation de la success story BlablaCar que pendant les conférences sur l’auto-souveraineté de l’identité, de YUBICO ou du protocole FIDO2 :
- Nous vivons à l’époque de la monétisation de l’identité. Toute donnée personnelle a de la valeur, le porteur de l’identité n’a en moyenne que peu de contrôle réel sur ce qui est fait avec les données le concernant et se retrouve souvent obligé de partager des pans entier de son identité afin d’accéder à des services, s’exposant de fait à des vol de données ou à du profilage intempestif.
- Les solutions d’identifications proposées quant à elles sont en moyenne insuffisantes (login/mot de passe), contraignantes (MFA, pas de fédération intersystèmes) ou relativement inadaptées au cloud (carte à puce) et exposent à la fois le porteur de l’identité et les entreprises aux surcouts et actions malveillantes (support utilisateur pour réinitialisation de mot de passe / solution de contournement pour oubli de badge ou phishing pour ne citer qu’eux).
Monde numérique et identité : des constats et des besoins d’évolution
Nous pourrions donc résumer la situation actuelle à une société où l’échange de données personnelles fiables est essentiel au bon fonctionnement tant des échanges internationaux que de la vie courante, où ces données sont vulnérables du fait de leur transfert permanent et de leur stockage confié à des intermédiaires et dont l’accessibilité repose sur des systèmes d’authentification souvent insuffisants ou proposant une mauvaise expérience utilisateur.
A ce stade plusieurs besoins complémentaires sont identifiables :
- La vérification de l’identité est essentielle aux échanges
- L’identité doit pouvoir être contrôlée intégralement par son porteur
- Les informations échangées pour un besoin donné doivent avoir une garantie d’intégrité et être réduites au strict minimum nécessaire à la réponse au besoin
- La vérification de l’identité du porteur doit être aussi sécurisée et facile que possible.
Une réelle nécessité de contrôle de l’identité par son porteur
Quelles solutions existent aujourd’hui afin de redonner le contrôle au porteur de l’identité ?
J’ai personnellement été séduit par le concept d’identité auto souveraine ou décentralisée qui repositionne le contenu de l’identité sur son porteur au lieu de le repartir entre des intermédiaires :
Dans ce modèle, le porteur de l’identité redevient le seul détenteur des informations le concernant (plus de stockage sur des intermédiaires mais stockage sur un « hub identitaire » possédé par le porteur, encrypté, et accessible de lui seul).
Les interactions avec les services extérieurs fonctionnent sur la base d’échanges de clés :
Reste donc un problème de taille : celui de l’authentification sécurisée aux différents acteurs avec lesquels le porteur de l’identité a besoin d’interagir.
Quel(s) futur(s) pour l’authentification ?
C’est ici qu’interviennent les initiative basées sur FIDO2 et en particulier celle sur laquelle je vais me baser : la Yubikey de YUBICO.
Cette solution aujourd’hui utilisée par des acteurs comme Google et Facebook pour leurs employés permet en effet une authentification via MFA basée uniquement sur la possession d’un objet physique qui interagit avec les différents systèmes qu’utilise un utilisateur (professionnels comme personnels : téléphone portable, pc, applications, web…) et ce sans jamais utiliser mot de passe.
Comme présenté par la compagnie commercialisant cette clé, il s’agit d’un « objet physique servant de clé à la vie digitale » de chacun, garantissant une sécurité maximale via l’intégration des protocoles les plus efficaces tout en offrant une expérience utilisateur des plus simple : connecter la clé via usb ou RFID pour s’identifier et s’authentifier.
Ce concept permet ainsi avec un seul et unique objet de s’identifier et de s’authentifier de manière extrêmement sécurisée à l’intégralité des systèmes compatibles.
Pour faire un parallèle simple, c’est la clé de la porte d’entrée du domicile de l’utilisateur : elle permet l’accès à tout ce qui se trouve à l’intérieur à son porteur, est inutilisable par quelqu’un qui ne saurait pas où se trouve le domicile ou qui ne connaitrait pas le PIN/ne possèderait pas l’empreinte digitale associée à la clé. Plus besoin pour son porteur de retenir 15 mots de passe pour sa vie courante et plus aucun risque de phishing.
Pour conclure
Deux grandes idées qui poussent dans le sens du retour du pouvoir au porteur de l’identité, l’une le replaçant au centre des composantes de son identité numérique, l’autre lui permettant d’accéder à toutes ces composantes de manière unique, efficace et sécurisée.
Dans notre monde toujours plus numérique, la quête du contrôle de l’identité par son porteur semblerait donc paradoxalement passer par la re-matérialisation et la décentralisation.
Liens utiles :