Cette disruption n’est pas encore pleinement perceptible, mais elle le sera à mon avis.
En matière d’identification et d’authentification en ligne, nous entrons dans une nouvelle ère : le passwordless – un monde sans mot de passe. Le tandem identifiant/mot de passe a fait son temps. Les mots de passe ne suffisent plus à garantir la sécurité, tandis que le respect de la vie privée, désormais sujet clé de la société numérique, invite à repenser les modèles de stockage des données personnelles. C’est d’ailleurs ce qui a motivé la création de l’Alliance FIDO, une organisation mondiale regroupant plusieurs centaines d’acteurs majeurs du numérique, travaillant à définir les standards de ce monde sans mot de passe.
Dans ce contexte, des solutions blockchain pour l’identification des personnes sont de plus en plus plébiscitées. Elles ne font pas forcément l’unanimité dans la communauté de la cyber-sécurité, mais l’intérêt qu’elles suscitent est néanmoins palpable.
En janvier 2020, un rapport du World Economic Forum (rédigé avec FIDO) concluait :
“L’avenir de l’authentification empruntera de nombreuses voies, dont certaines que nous commençons seulement à explorer, comme les identités auto-souveraines basées sur des blockchains et les réseaux ‘zéro confiance'”.
En mars, on expliquait ici pourquoi Telekom Malaysia (opérateur historique en Malaisie, plus de 30 millions de clients) “mise gros sur les blockchains pour éliminer les mots de passe”.
Là, l’Institut du management de l’identité (organisation professionnelle mondiale centrée sur l’identification), plaçait “l’adoption d’identités auto-souveraines à base de blockchains et le stockage décentralisé de données personnelles” à la toute première place de ses “tendances 2020 à surveiller”.
Ailleurs encore, on explique “Comment les blockchains vont tuer les mots de passe”. L’article évoque notamment CULedger, solution blockchain actuellement déployée pour l’identification dans les Credit Unions, réseau d’établissements de crédit en Amérique du Nord gérant 275 millions de comptes…
Nouvelles fonctionnalités
Pour l’internaute, il existe déjà plusieurs projets solides offrant des alternatives aux mots de passe via des blockchains, comme Civic, uPort, Blockpass ou d’autres. Certains de ces services sont B2B mais beaucoup fonctionnent sur un principe similaire : les données de l’utilisateur demeurent sur sa propre machine et, pour s’authentifier (par exemple sur un site Web), il suffit de scanner un code QR. Identifiant et mot de passe sont remplacés par des échanges de clés cryptographiques, l’utilisateur pouvant savoir (et parfois décider) quelles données sont transmises aux services tiers qu’il utilise.
Mais l’évolution vers une gestion par blockchain de l’identification des personnes pourrait aller bien au-delà d’une simple modernisation de la logique de mot de passe. Les identifiants décentralisés pourraient être le premier étage d’une fusée comportant de multiples outils, services et fonctionnalités inédites.
Par exemple Dock est un service qui permet d’associer des titres et références professionnelles ou universitaires (credentials) à une identité. En montrant patte blanche avec son “identité décentralisée” (DID) créée via Dock, un individu n’a plus à fournir de preuves de son parcours (diplômes, appartenance à une entreprise), qui ont été préalablement validées et inscrites sur une blockchain. On n’est plus très loin de l’idée d’un CV automatisé et infalsifiable, avec un impact non négligeable sur le processus de recrutement…
Un autre exemple tient aux possibilités nouvelles offertes par le vote électronique. Dès lors que celui-ci s’effectue par le truchement d’une blockchain, une transparence nouvelle pourrait apparaître. Imaginez de pouvoir vous-même visualiser votre vote (et sa prise en compte dans le calcul du résultat d’une élection) sur une blockchain !
Des dispositifs de votes publics sur blockchain ont été expérimentés en de nombreux endroits du monde, à commencer par la Suisse, l’Estonie, les Etats-Unis ou la Russie. En Ecosse, des activistes militent aujourd’hui pour une “blockchain democracy“, une refonte décentralisée des processus démocratiques, votes inclus.
Le sujet est néanmoins complexe et ne fait pas l’unanimité. Au lendemain d’une élection présidentielle américaine chaotique, on a vu tout récemment et à quelques jours d’intervalle une experte du sujet à l’université d’Oxford expliquer combien le vote sur blockchain devrait s’imposer comme une alternative évidente pour accroître la transparence et la véracité des élections et, à contrario, des chercheurs du MIT publier une étude farouchement opposée au principe de vote sur blockchain.
Malgré tout, on peut penser que si la gestion des identités personnelles sur des blockchains se généralisait, leur utilisation pour des processus administratifs ou électoraux paraîtrait logique.
On pourrait également évoquer la possibilité nouvelle de monétisation des données personnelles, non plus par de grandes plates-formes centralisées, mais par les usagers eux-mêmes. Dès lors que les identifiants ne sont plus des logins et mots de passes attribués et stockés par des entreprises, on peut imaginer que les autres données personnelles suivent la même logique. Et l’on commence à voir apparaître des processus décentralisés, à base de blockchains et de crypto-monnaies, facilitant la monétisation par les internautes de leurs propres données, qu’ils s’agissent de leur consommation numérique ou de leur ADN.
Reprendre le contrôle
Tout cela doit encore se généraliser à large échelle pour être significatif, mais l’adoption de ces solutions pourrait s’accélérer avec l’implication des grands acteurs. En juin 2020, Microsoft et son partenaire Casa ont déployé (en version beta) ION, une plate-forme d’identification novatrice et décentralisée qui s’appuie sur la blockchain Bitcoin. IOHK, qui développe la blockchain Cardano et sa crypto-monnaie ADA (10e mondiale en capitalisation) vient également de lancer Atala Prism, sa solution de gestion décentralisée des identités.
Le maître mot dans cette évolution importante, qui nous concerne toutes et tous, est de mieux sécuriser les accès mais aussi (et surtout) de changer de paradigme. Blockchains et processus d’authentification décentralisés peuvent redonner à l’usager le contrôle de ses données – à commencer par son identité numérique. Ce n’est sans doute pas la moindre des disruptions.
(Ce billet fait partie d’une série où je détaille cinq des principales transformations induites par blockchains et crypto-monnaies. Précédents : 1/ La finance décentralisée ; 2/ Une transparence nouvelle ; 3/ La tokénisation de tout ; 4/ L’argent social)