Les niveaux de garantie des titres d'identité numérique

Les modalités pratiques d'utilisation du titre numérique, plus ou moins simples, ont un impact direct sur son degré de sécurité (§ I) . Par ailleurs, en réglementant le sujet, l'Union européenne a permis un usage des titres d'identité numérique sécurisés au-delà des frontières nationales (§ II) .

L'équilibre entre simplicité et fiabilité

C'est par le biais de la procédure d'authentification que le détenteur d'une identité numérique active son titre d'identité numérique et se trouve ainsi identifié sur le service numérique convoité. De la sécurité recherchée dans l'usage de l'identité numérique dépend la facilité ou la complexité de la procédure d'authentification.

– Classement des moyens d'identification électroniques. – L'annexe du règlement d'exécution du 8 septembre 2015 pris en application du règlement eIDAS par la Commission européenne CE, règl. d'exécution, 8 sept. 2015, fixant les spécifications techniques et procédures minimales relatives aux niveaux de garantie des moyens d'identification électronique visés à l'art. 8, § 3, du règlement (UE) n^o 910/2014 du Parlement européen et du Conseil sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché́ intérieur. a classé les moyens d'identification électronique selon trois catégories en fonction du niveau de garantie qu'ils offrent à leurs utilisateurs dans le tableau suivant :

– Critères de distinction. – Il ressort de ce tableau deux critères de distinction des moyens d'identification électroniques : les facteurs d'authentification et l'usage du matériel.

La même annexe du règlement d'exécution du 8 septembre 2015 distingue trois catégories de facteurs d'authentification pour lesquels il est ici proposé quelques exemples d'utilisation :

a) « Facteur d'authentification basé sur la possession », un facteur d'authentification dont il revient au sujet de démontrer la possession.

Par exemple : le téléphone portable recevant un SMS de confirmation.

Ce facteur d'authentification est fréquemment utilisé par les banques ou établissements émetteurs de cartes de paiement : lors d'un achat en ligne, la plateforme de vente adresse une requête en paiement à l'établissement émetteur de la carte. Pour s'assurer de l'identité de l'acheteur, l'établissement bancaire demande à l'acheteur d'entrer sur son clavier téléphonique un code qu'il vient d'adresser par SMS au titulaire de l'instrument de paiement.

b) « Facteur d'authentification basé sur la connaissance », un facteur d'authentification dont il revient au sujet de démontrer la connaissance.

Par exemple : le login ou la réponse à une question personnelle.

Il s'agit du facteur d'authentification le plus fréquent ; il est utilisé par la quasi-totalité des services numériques. Pour s'identifier sur un service numérique, l'usager doit entrer un mot de passe.

c) « Facteur d'authentification inhérent », un facteur d'authentification qui est basé sur un attribut physique d'une personne physique, et dont il revient au sujet de démontrer qu'il possède cet attribut physique.

Par exemple : la reconnaissance faciale ou par empreinte digitale.

Le grand public retrouve ce facteur d'authentification dans la plupart des appareils connectés mobiles. Il sert, en premier lieu, d'authentification pour l'accès à l'appareil. Par un effet induit, si la machine a retenu certains facteurs d'authentification basés sur la connaissance de son propriétaire, alors, à l'usage, ce facteur d'authentification inhérent se substituera au facteur d'authentification basé sur la connaissance, en toute transparence pour le service.

L'incrémentation d'intelligence artificielle dans la gestion des facteurs d'authentification permet également la substitution factuelle du facteur d'authentification basé sur la connaissance : lorsque l'appareil pareillement équipé reçoit un SMS de confirmation, il va automatiquement faire le lien avec la demande d'entrée de code faite à l'utilisateur et proposer de l'insérer.

– Biométrie pour authentifier ou pour identifier. – Concernant ce dernier facteur, il s'agit en l'espèce de la biométrie prise comme méthode d'authentification. Ce cas doit être strictement distingué de la biométrie prise comme méthode d'identification. En cas d'authentification, l'utilisateur présente à un système un attribut physique que le système a précédemment enregistré et attend spécifiquement. En cas d'identification, le système d'information auquel est présenté un attribut physique le compare à sa base de données pour identifier la personne.

– Moyens d'identification matériels. – Enfin, l'exigence de détention du titre physique et une certaine facilité de révocation en cas de perte, de disparition ou de vol, pouvant être considérées en pratique comme une forme de sécurité, un titre d'identité numérique matériel peut exister sans qu'aucun des trois facteurs d'authentification précités ne soit nécessaire à son activation. Dans ce cas, l'authentification consiste en la simple présentation de l'objet. Loin d'être anodin, ce principe de fonctionnement est notamment retenu par les émetteurs de cartes bancaires dites « sans contact ».

Un usage encouragé à l'échelle européenne

Le quatrième paragraphe du préambule du règlement eIDAS précise que la Commission européenne avait soulevé dès 2010, dans son rapport sur la citoyenneté de l'Union, « la nécessité de résoudre les principaux problèmes empêchant les citoyens de l'Union de profiter des avantages d'un marché unique numérique et des services numériques transfrontaliers ». Cette volonté d'uniformiser au sein de l'Union les identifications numériques et les services y afférents est affirmée à d'autres reprises dans le préambule.

L'uniformisation des règles, étape nécessaire à l'usage transfrontalier, commence dès l'article 2, alinéa 1^er du règlement eIDAS : « Le présent règlement s'applique aux schémas d'identification électronique qui ont été notifiés par un État membre et aux prestataires de services de confiance établis dans l'Union ». C'est ainsi que les services d'identification numérique proposés par des services de confiance établis dans l'Union et agréés par un État membre peuvent être utilisés avec les mêmes garanties, notamment en matière de sécurité, dans toute l'Union.

– La carte d'identité électronique. – Le 20 juin 2019, le Parlement européen et le Conseil ont adopté le règlement n^o 2019/11587 relatif au renforcement de la sécurité des cartes d'identité des citoyens de l'Union et des documents délivrés aux citoyens de l'Union et aux membres de leur famille https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX :32019R1157">Lien . Ainsi l'Union européenne souhaite un déploiement des cartes d'identité numériques et biométriques sécurisées et interopérables à l'échelle de l'Union.

Ce règlement impose des contraintes techniques, notamment en matière de format, de sécurité, de contenu et d'interopérabilité (Règl. 20 juin 2019, art. 3) et un calendrier (Règl. 20 juin 2019, art. 5), tout en laissant à chaque État membre, pour des raisons évidentes de souveraineté, la tâche de la collecte des informations personnelles et de l'émission du titre.

Sommairement, ces cartes d'identité contiendront notamment une image faciale du titulaire de la carte et deux empreintes digitales dans des formats numériques interopérables. Il est laissé la possibilité aux États émetteurs d'ajouter un dispositif numérique complémentaire et indépendant du dispositif commun pour offrir des services complémentaires (tel un certificat de signature). Les États membres, et donc la France V. supra, n^o . , ont jusqu'au 2 août 2021 pour émettre des cartes d'identité conformes à ce règlement. Les anciennes cartes d'identité cesseront d'être valides au plus tard le 3 août 2031.