Lexique :
Attestation : preuve électronique attribuée via l’EDIW.
Attribut : détail personnel, qu’un tiers peut vérifier avant de délivrer un service.
Authentification : une vérification «un-à-un» de l’identité spécifique d’une personne. Compare les attributs (code PIN, informations biométriques, etc)
avec les données stockées en BDD (base de données).
EDIW : Electronic Digital Identity Wallet, un service qui permet à l’utilisateur de stocker ses données d’identité, ses crédits et attributs, de les utiliser pour s’authentifier en et hors-ligne, et de créer des signatures et titres. eIDAS : règlement de l’Union Européenne nº 910/2014 sur l’identification électronique et services tiers. Une première version (eIDAS1) fut implémentée en 2014, la nouvelle version significativement renforcée (eIDAS2) est prévue pour septembre 2023 assurant le cadre légal du porte-feuille numérique.
Fournisseur d’authentification : corps du secteur privé ou public fournissant une preuve d’attribut et l’éligibilité. Cela peut inclure le transport, la santé, l’assurance, les employeurs et l’université.
Identification : l’action ou le processus de collecte et de vérification d’information pour représenter sans ambiguïté une personne naturelle ou légale.
Interopérable : Capacité que possède un produit ou un système à fonctionner avec d’autres produits ou systèmes existants ou futurs, et ce sans restriction d’accès ou de mise en œuvre.
Que celui qui n’a jamais fraudé lui lance la première pierre.
Et Dieu sait que c’est une époque de fraudeurs ! Fraudes sur les aliments, la biologie, les cartes, la démocratie, l'énergie, la fiscalité... Et plus récemment les « pass ». S'il y a eu création de bases de données, d'attributs et de certificats, ce sont également des lignes de programmation humaines qui se sont développées, forçant l'irruption dans le monde réel de protocoles issus du monde informatique. D'ailleurs une seule chose suffit à démontrer le totalitarisme bien loin de la médecine qu'est le pass vaccinal : dans les outils, la durée de validité de l'attribut « être vacciné » dépend non de la durée supposée d'immunité des vaccins, mais entièrement de l'arbitraire algorithmique. Les anglo-saxons disent ainsi Code is Law, le code c'est la loi, en soutenant l'idée que celui qui développe les systèmes en est le roi. En effet, le 15 janvier 2022 par exemple, il a été décidé que la troisième dose devait se faire dans les 7 mois suivant la seconde, sous peine de perdre ses accès. L'arbitraire algorithmique, permis par un système centralisé qui vérifie les informations contenues dans les certificats pour vérifier s'ils sont valides selon le code informatique. Dans plusieurs pays du monde, par l'implémentation de tels protocoles dans la vie courante, le transhumanisme a pu profiter d'un formidable bond en avant, les systèmes humains se mettant pleinement à profit de la collecte de multiples données à chaque présentation du pass qui, comble de l'ironie, ne sont apparemment pas mises à profit de la pharmacovigilance.
Mais cette époque semble lointaine pour nombre de concitoyens, et ils ont plutôt raison puisque la suite arrive. Le projet est de collecter et connecter les données.
Electronic Digital Identity Wallet, ou EDIW, (WIDE si vous lisez de droite à gauche, le projet est effectivement vaste) se veut la clé de voûte du système techno-totalitaire européen. Au nom de la lutte contre la fraude, et ce de l'inscription (comme un certificat de naissance) au vol de compte (usurpation d'identité) en passant par le volet commercial (les comptes bancaires et services financiers, réseaux sociaux et même relation aux employeurs) toute la vie du « citoyen-consommateur-utilisateur » sera centralisée et interopérable.
La grille intelligente (smart grid) de l'Internet des objets (Internet of Things) devient la prison numérique de l'Identité des objets (Identity of Things) où l'objet, c'est nous. Dans cette grille prenons l'exemple de Linky, qui a tant fait parler de lui. Si vous êtes suffisamment doué en informatique pour créer un clone de votre compteur Linky et frauder sur votre consommation énergétique, cela ne sera plus possible avec l'EDIW. Liez tous les systèmes humains et informatiques qui vous demandent de vous authentifier, puis ajoutez ceux qui ne vous le demandent pas, comme les caméras publiques et privées, et vous visualisez le début de la toile qui se tisse avec toutes les donnés générées, collectées et connectées. Thalès dispose d'ailleurs d'une solution clé en main de sécurisation pour un environnement d'objets connectés (Intelligent Cloud Connect), directement vers les serveurs Amazon AWS.
Parmi les acteurs importants de ce maillage généralisé, on trouve les opérateurs de réseaux internet et mobile. Leur importance est double par l'installation des réseaux (numéros de téléphone, déploiement des antennes 5G, mise en place de la technologie eSIM) et le lien privilégié comme distributeur commercial auprès du grand public. Thalès écrit les concernant que le silotage interne des entreprises (par exemple la division entre une direction s'occupant de la gestion client et une s'occupant de la lutte contre la fraude) nuit au bon suivi du projet, ce qui laisse à penser que ces opérateurs vont modifier leur organisation interne. Ce sont les premiers à subir des pertes par la fraude mais ce sont également eux qui peuvent fournir des données sur la consommation mobile et internet de leurs clients.
Source image dossier Thalès"Welcoming the wallet"
Concernant les données collectées, le champ est tellement vaste qu'il faudra attendre la publication de la boîte à outil en octobre 2022 et son implémentation. En premier lieu, cela concernera tous les documents d'identité (les nouvelles cartes étant de plus équipées en NFC), sur lequel un premier papier est paru dans Le Monde1. Bien évidemment, ni Thalès ni l'Union Européenne ne sont mentionnés, puisque si ce sont les États Membres qui « proposent aux volontaires » l'EDIW, ils n'auront pas le droit d'en exploiter les données au-delà des rapports de déploiement2 qu'ils fourniront à la Commission Européenne, celle-ci s'occupant d'exploiter les données avec Thalès.
Benjamin Bayart, Président de la FDN et co-président de La Quadrature du Net, déclarait lors d'un entretien sur la chaine Thinkerview le 15 juin 2021 « Le pass sanitaire dans sa forme électronique et dans sa forme papier, celle avec un QR code etc, embarque trop d'informations et il embarque des informations qui n'ont rien à faire là, et il permet au moindre patron de boite de nuit, patron de bar, patron de salle de concert, de collecter sur la totalité des gens présents des informations beaucoup trop fortes, d’accéder à ces informations et de les conserver s'il en a envie, et ça c'est un problème. »... « Tout fichage est une potentielle violence ». Qu'il se rassure concernant les patrons de bar et de restaurant, ils n'auront normalement pas accès à d'autres informations que celles que le gouvernement leur demandera de vérifier auprès des clients, si ce n'est pas automatisé lors des entrées et paiements. En revanche les grandes puissances publiques et privées vont bénéficier du système créé par le portefeuille numérique. Voici d'après Thalès la liste initiale de secteurs qui utiliseront l'EDIW3 :
- Transport
- Energie
- Services bancaires et financiers
- Sécurité sociale
- Santé
- Eau potable
- Services postaux
- Infrastructure numérique
- Éducation
- Télécommunications
Cette liste est à mettre en relation avec la liste minimale d'attributs décidée par la Commission Européenne pour l'Identité Numérique en juin 2021:
- L’adresse
- L’âge
- Le sexe
- L’état civil
- La composition de famille
- La nationalité
- Les diplômes, titres et certificats du système éducatif
- Les diplômes, titres et certificats professionnels
- Les permis et licences
- Les informations financières et les données des entreprises4
Le contrôle des masses par des systèmes informatiques à l'échelle de l'Union Européenne et de ses États Membres avait rencontré « des problèmes d’interopérabilité tant au niveau technique que légal » issus de différents systèmes et vitesse de déploiement. La Commission Européenne souhaite elle voir au plus vite un Marché Unique Numérique. D'ici à septembre « Tout citoyen ou entreprise de l'UE pourra en demander un (porte-feuille numérique, NDLR) à son État membre (sur une base de volontariat) tandis que son acceptation sera obligatoire pour des prestataires de services spécifiques dans tous les États membres de l'UE. »5
Pour le domaine public : les frontières et titres numériques de voyage (pour remplacer les passeports et cartes d’identité), les services et transactions en ligne comme hors-ligne, permis, prescriptions et historique médical, preuve de qualification puis la carte européenne d’assurance maladie, carte grises et autres papiers de véhicules, adresse et changements, pensions, inscription à l’université et diplômes eux-mêmes.
Pour le domaine privé : prouver son identité au quotidien, l'accès aux services bancaires et financiers, souscriptions mobile et internet, hôtels, locations, concerts... “Cela pourrait devenir banal d’enregistrer sa clé de voiture numérique dans l'EDIW”6.
"Dans le même temps, les fournisseurs de services dans les secteurs privés comme public, comme banque et télécommunications devront l’accepter comme preuve de certains attributs, de la signature électronique au paiement d’amende ou l’accès au service de soins, générant des millions d’authentification chaque jour"7. Côté financier, les banques traditionnelles devront être compatibles avec les acteurs dits pure players c'est-à-dire dont l'activité est essentiellement liée au Web, et donc les services centrés mobiles incluant vérification d'identité et authentification.
Concernant ces deux notions, la présidente de la Commission Européenne Ursula von der Leyen déclarait que “Le concept d’identification numérique est déjà bien établi et utiliser son smartphone pour monter dans un avion ou prouver son statut vaccinal est une seconde nature pour des millions de personnes”8. Et pour que cette seconde nature devienne la seule nature officielle de la vie, le porte-feuille numérique est là : “Le portefeuille encrypte et enregistre toutes les données et est construit pour respecter les régulations locales. Une variété d’approche pour l’enregistrement en ligne incluant l’utilisation de QR codes, les selfies et d’autres formes de données biométriques”9.
La biométrie utilisée ici pour l'authentification inclut évidemment les données ne changeant pas, comme l'empreinte digitale, et est capable de détecter les photos imprimées, images d’un écran, vidéos, masques 3D, sculptures et autres fraudes. Les données comportementales seront également exploitées et une IA spécialement conçue pour analyser les différentes méthodes d'authentifications et l'accès aux services, via un calcul (scoring) de l'authentification elle-même. Ceci dans l'objectif de faire évoluer si besoin l'authentification, que ce soit par mesure de sécurité contre des fraudes ou peut-être un jour pour lutter contre les « mauvais comportement de l'utilisateur ». L'un des arguments officiels est également de diminuer les mots de passe, y compris pour de simples employés. Impossible de tricher sur sa présence à une visioconférence, le déploiement pour les employeurs et leur authentification sur ordinateur professionnel est d'ailleurs un objectif important.
La « lutte contre la fraude » verra à ce niveau l'individu détecté dès qu’il rentre dans un magasin ou contacte un centre d’appel.
Si des textes de lois promettent d'implémenter un cadre sauf aux données exploitées, respectant le Cyber Security Act ou le RGPD, les GAFAM ont toujours utilisé l'Union européenne pour accéder aux données des européens (traités Safe Harbor et Privacy Shield). De plus le portefeuille numérique de Thalès cite explicitement des partenaires comme Apple, Google ou Samsung... Autant dire que sur le respect des données, cela s’articule ainsi : “L'Union Européenne, Thalès et les GAFAM sauront tout de votre vie, mais vous aurez accès aux factures”.
Difficile dans un tel cadre d'imaginer frauder quoi que ce soit. La complaisance des uns lors du contrôle des “pass” devient totalement inutile par l'automatisation de ces vérifications. La numérisation des corps et des esprits s'accelère, inexorable. Cepandant, pour pasticher les mots de Charles Sannat :
Il n'est pas encore trop tard, mais tout est déjà données.
Préparons-nous !
3Dossier Thalès « Welcoming the Wallet » p.8
4ANNEXE VI de la proposition de règlement du Parlement européen et du Conseil modifiant le règlement (UE) nº910/2014 en ce qui concerne l’établissement d’un cadre européen relatif à une identité numérique.
5 Dossier Thalès « Welcoming the Wallet » p.4
6Dossier Thalès « Welcoming the Wallet » p.7
7Dossier Thalès « Welcoming the Wallet » p.2
8Discours sur l'état de l'Union, 15 septembre 2021
9Dossier Thalès « Trusted digital identity for everyone everything everyday » p.11
Partagez cet article :
VK
