La certification digitale, barrière ultime contre la fuite des données
Pour WISeKey, spécialiste de l’authentification numérique, seules les technologies PKI combinées à des données biométriques disposent du cadre légal nécessaire à l’identification des personnes ou des objets.
Vol de données bancaires. Usurpation d’identité sur les réseaux sociaux. Phishing. Piratage de compte. Blackmailing. Contrefaçon... Jamais, les problématiques de l’identité et de l’authenticité n’auront été si vives et autant d’actualité. Mais, contrairement au couple infernal dopage/anti-dopage, la certification digitale combinée à la biométrie a une bonne longueur d’avance sur les Falciani et autres Arsène Lupin du net. Technologiquement, d’abord. Conceptuellement, ensuite. Tandis que les approches traditionnelles de sécurité informatique portent leurs efforts au renforcement des infrastructures (accès physique aux serveurs, réseaux), la certification digitale s’attache, quant elle, à protéger les données pures - le nerf de cette guerre – et, par extension, à préserver leur intégrité. Certes, la sécurité absolue n’existe pas, le risque zéro non plus. Mais, il peut être grandement minimisé grâce à ces technologies. Sécuriser les données et les transactions électroniques passe d’abord et avant tout par la gestion responsable des risques, car la confiance est une condition sine qua non à des relations fructueuses, tout particulièrement dans le domaine bancaire.
Tout individu est un risque
WISeKey, spécialiste de l’identification digitale et des transactions électroniques, n’est donc pas une société de sécurité informatique traditionnelle. Son modèle d’affaires ne consiste pas à ériger des forteresses d’infrastructures afin de protéger ses clients uniquement contre les attaques externes. La mission de WISeKey est celle de sécuriser digitalement l’individu et ses transactions, non d’empiler des firewalls! Comme de nombreuses études l’ont déjà largement exposé, le risque de vol, de falsification ou de manipulation des données est majoritairement le résultat d’actions internes, le plus souvent d’ailleurs par méconnaissance.
La faille sécuritaire se creuse exactement entre la personne physique et son identité digitale (″avatar virtuel″) qui peut accéder aux informations (compte en ligne, email). Il s’agit de la combler en apportant une authentification forte tant de l’individu que de son alter égo virtuel. La certification digitale - connue sous l’acronyme PKI - est l’unique moyen d’y parvenir. Elle permet en effet de sécuriser les données indépendamment des infrastructures en place au travers de la signature électronique, d’une part, qui assure la provenance des données (la source), et du chiffrement ou encryption, d’autre part, qui détermine qui peut avoir accès à quoi (la destination).
Le principe de l’identité digitale est comparable à celui qui régit votre carte bancaire et son code pin. Si vous veniez à perdre votre portefeuille et que celui-ci contenait également votre code pin, la banque ne vous remboursera pas en cas de débit sur votre compte. La responsabilité personnelle est pareillement engagée dans le cadre du PKI. Chaque échange d’informations se révèle ainsi un engagement formel tant de la part de l’émetteur que du destinataire. Aucune des technologies concurrentes au PKI ne possède de carde légal ni l’assurance d’identifier la personne - ou l’objet - à qui - ou auquel - on délivre une identité électronique.
Authentifier des identités déjà vérifiées
Le regain d’intérêt des banques et des gouvernements pour la gestion d’identité a propulsé les technologies d’infrastructures à clés publiques (PKI, public key infrastructures) sur le devant de la scène. Car, ce ne sont pas des systèmes identifiants, mais d’authentification d’identités vérifiées. Ce qui signifie qu’elles viennent confirmer des attributs préalablement et légalement certifiés par un tiers de confiance (administrations ou gouvernements) dans le monde réel, tels que nom, prénom, année de naissance, lieu de naissance, profession, inscription au registre du commerce, numéro de série, etc. Il s’agit en somme d’une barrière ultime contre la fuite ou l’utilisation impropre des données. Ce processus autorisant en effet la hiérarchisation des accès aux données, et à leur blocage immédiat en cas de doute (vol ou manipulation des données), l’ensemble des informations peut n’être accessible qu’aux membres de la direction d’une entreprise.
Ces principes de certification digitale sont donc adaptables à la sécurisation de données et/ou d'individus au sein de la quasi totalité des systèmes informatiques préexistants et dans tous les secteurs en quête d'authentification forte tels que, la santé, l'horlogerie, le secteur public, la téléphonie mobile (par l’intégration de certificats dans les cartes SIM), la banque (les instituts norvégiens et américains, par exemple, appuient leur système de transactions sécurités BankID sur le PKI). Cette technologie est également largement utilisée dans le monde dans le cadre des projets d’e-gouvernement: le système de télé-déclaration d’impôts sur le revenu est l’un des plus importants déploiements à grande échelle du PKI. On citera aussi les projets d’émission de cartes de crédit et de passeports numériques qui font désormais confiance à cette infrastructure.
Genève, le 16 décembre 2010