Il n’est plus rare aujourd’hui de disposer d’une dizaine de comptes en ligne – voire bien plus ! – pour des usages multiples : messagerie, e-commerce, banque, services administratifs… Résultat, nous multiplions les identifiants et les mots de passe, ou nous utilisons le même pour des dizaines d’applications différentes. Un phénomène loin d’être satisfaisant et pratique, sur le plan de la simplicité aussi bien que de la sécurité : l’authentification via compte et mot de passe atteint ses limites !
L’identité, une question mal anticipée par l’internet
Dans un monde qui se digitalise à grande vitesse, l’identité est une notion essentielle car elle est à la base de la confiance dans les transactions : que ce soit entre deux personnes ou entre une personne et un service en ligne. Tout le monde a entendu parler de vols massifs de mots de passe chez certains fournisseurs ou d’usurpation d’identité. Ceci a pour effet de créer une défiance chez les utilisateurs ou des stratégies de défense compliquées pour accroître la sécurité. L’enjeu est donc de proposer un mécanisme d’identification à la fois sécurisé, simple et universel, là où il existe aujourd’hui autant de login /passwords que de services internet. « Internet a été conçu au départ comme une vaste encyclopédie : l’objectif était de pouvoir indexer et retrouver des informations en ligne et non d’identifier des individus explique Pierre-François Dubois, directeur marketing produits au Technocentre d’Orange. A l’opposé les réseaux mobiles ont conçu dès l’origine un système très performant permettant d’identifier des personnes pour pouvoir les rendre joignables à tout moment grâce au numéro de téléphone et à la carte SIM associée. Je suis persuadé que les opérateurs mobiles ont une position idéale pour répondre aux enjeux de sécurité, simplicité et universalité associés à l’identité numérique».
Quand les GAFA se transforment en fournisseurs d’identité…
A la fin des années 2000, les premiers à se saisir de cette problématique figurent, comme souvent, parmi les GAFA (Google, Apple, Facebook, Amazon). A travers leurs API (des interfaces de programmation standardisées), des acteurs comme Facebook et Google proposent à des services web d’intégrer un système d’authentification via le compte de réseau social ou de messagerie. Baptisées Facebook Connect et Google Sign-In, ces fonctionnalités font des deux géants du web californiens des solutions d’authentification. « Un début de réponse au besoin de simplicité, qui permet aux utilisateurs d’éviter la prolifération de mots de passe. Mais qui a un prix : consentir à partager les données liées à son compte Facebook ou Google, lesquels peuvent aussi suivre votre navigation sur internet… »
…et les Etats se préoccupent de l’Identité Numérique des citoyens
Un autre évènement majeur est à chercher du côté des Etats et en particulier de l’Union Européenne, qui a adopté en 2014 un règlement sur l’identification électronique et les services de confiance. Celui-ci a pour objectif l’établissement d’une identité numérique semblable à un état civil en ligne, et qui permettrait à un ressortissant européen d’effectuer en toute simplicité et sécurité des procédures transfrontalières par voie digitale. Une sorte de passeport numérique pour tous. La solution idéale reste à établir mais les échéances sont proches puisque l’on parle de 2018 pour les premiers déploiements.
Un rôle stratégique pour les opérateurs
Dans cette équation et face à ces bouleversements, les opérateurs mobiles ont un positionnement unique à faire valoir, provenant d’un atout-maître : l’identifiant que constitue le numéro de téléphone auquel sont associées plusieurs données relatives au client, ainsi que la carte SIM dans laquelle on peut enregistrer un code secret 100 % confidentiel, connu par le client uniquement, et susceptible de devenir un mot de passe universel. Dès lors, il est possible d’imaginer une authentification fondée sur la carte SIM : c’est l’objectif du projet Mobile Connect..
La réponse Mobile Connect
Développée au sein de la GSM Association (GSMA) à l’initiative de plusieurs opérateurs dont Orange, elle est techniquement accessible à plus de 2 milliards d’utilisateurs dans le monde. Qui y gagneraient en simplicité d’abord pour s’authentifier: il suffit de saisir son numéro sur le site internet de son choix (compatible avec le standard Mobile Connect) puis son code secret sur son portable, et le tour est joué. En sécurité ensuite, la solution s’appuyant sur une plateforme sécurisée intégrée à la carte SIM, déjà réputée pour sa sécurité intrinsèque. Enfin, le partage des attributs ou données civiles et contextuelles est systématiquement soumis à autorisation préalable du client, tandis que ses données privées seraient à l’abri de toute récupération par les sites sur lesquels il s’identifie – un gage sans équivalent de protection des informations personnelles.
« Aujourd’hui, le système compte entre 60 et 80 millions d’utilisateurs actifs à travers le monde, précise Pierre-François Dubois. Par exemple, en Espagne, tous les opérateurs ont lancé le service depuis plus d’un an. Il a été distingué à cette occasion en 2016 lors du Mobile World Congress par deux prix dans les catégories ‘Authentication & Identity’ et ‘Outstanding Innovation for the Connected Life’. La révolution de l’identité numérique est en marche ! »