Un projet financé par l'UE a mis au point un moyen sécurisé permettant aux utilisateurs de ne communiquer qu'un minimum d'informations personnelles pour accéder à des services en ligne. Cette technologie, qui renforce le respect de la vie privée, pourrait avoir des applications importantes dans des institutions de grande taille telles que les écoles, les universités et les entreprises en relation étroite avec leur clientèle.

Économie numérique

Lorsque vous vous connectez aux réseaux sociaux ou à un site à accès restreint, ou que vous menez des activités en ligne, les procédures d'identification et d'authentification qui vous sont imposées contribuent à assurer la sécurité de vos transactions. La quantité d'informations personnelles que vous devez communiquer suscite cependant de plus en plus d'inquiétude, car leur divulgation représente une intrusion inutile dans votre vie privée. C'est pourquoi le projet ABC4TRUST, financé par l'UE, a mis au point une nouvelle approche visant à préserver la sécurité des systèmes tout en protégeant l'identité des utilisateurs. Lorsque moins signifie plus «De nombreux sites exigent une 'sur-identification', ce qui signifie qu'ils vous demandent des informations personnelles qui ne sont tout simplement pas nécessaires», explique le coordinateur du projet, le professeur Dr. Kai Rannenberg de l'université Goethe de Francfort, en Allemagne. «Le fait de collecter beaucoup d'informations pour identifier et authentifier les utilisateurs risque d'avoir des conséquences néfastes si ces informations tombent entre de mauvaises mains.» Grâce à une série d'essais révolutionnaires, le professeur Rannenberg et son équipe ont montré qu'il est possible d'authentifier et d'accréditer les utilisateurs en n'utilisant qu'un minimum d'informations personnelles, et leur permettre de sélectionner les informations qu'ils sont prêts à partager. Ce résultat a été obtenu en utilisant des identifiants à base d'attributs de protection de l'identité (Attribute-based Credentials, Privacy ABC). Cette technologie présente un potentiel considérable pour les institutions devant préserver la confidentialité des données individuelles, comme dans l'éducation, mais aussi de façon générale dans le domaine commercial. «Le système Privacy-ABC permet aux utilisateurs de se connecter à un service en prouvant que certaines parties d'un certificat de plus grande taille sont valides. Dans le cas d'une école, par exemple, le fait d'appartenir à une certaine classe», explique-t-il. «Même s'il est nécessaire de fournir un minimum de données pour accéder à certains services, la vie privée de l'utilisateur est préservée». Des jeunes pionniers du numérique L'équipe d'ABC4TRUST a montré en situation réelle comment cette nouvelle technologie peut bénéficier à la fois aux utilisateurs et aux institutions. À l'école secondaire Norrtullskolan de Söderhamn en Suède, par exemple, les élèves souhaitant accéder à des services d'orientation en ligne ne pouvaient pas, jusqu'à récemment, utiliser un pseudonyme; ils devaient s'identifier par leur nom pour que l'école puisse vérifier s'ils étaient autorisés à les utiliser. Pour conserver l'anonymat tout en garantissant la sécurité, le projet pilote ABC4TRUST a transmis à chaque élève une série de certificats numériques qui valident des informations comme leur statut d'inscription, leur date de naissance etc. Les élèves, qui peuvent maintenant conserver l'anonymat, se sont montrés plus disposés à parler de leurs problèmes. «Les écoles doivent réagir à la généralisation du numérique, en introduisant par exemple des 'compétences internet' dans leurs programmes», estime M. Rannenberg. «La mise en œuvre de Privacy-ABCs dans les réseaux scolaires pourrait s'inscrire dans ce cadre. Des négociations actives sont en cours pour intégrer les pilotes dans des systèmes de plus grande taille. Dans un futur proche, nous pensons qu'un plus grand nombre de services publics européens et d'autres organisations passeront au système Privacy-ABC.» Un autre pilote testé à l'université de Patras en Grèce a fourni aux étudiants une carte à puce utilisée pour obtenir des identifiants Privacy-ABC délivrés par l'université. Les étudiants présentent leur carte à un dispositif installé dans la salle de cours, ce qui permet de collecter de façon anonyme des preuves de présence. Cette carte a également permis aux étudiants de donner anonymement leur opinion sur les cours et les professeurs, tout en s'assurant que seuls les étudiants ayant assisté à suffisamment de cours puissent participer aux sondages. «Nous avons pu montrer que la technologie Privacy-ABC est utilisable, mais il faut maintenant y apporter des améliorations, par exemple pour l'adapter à des applications pour smartphone», précise M. Rannenberg. «Ici, les problèmes ne sont pas tant liés à la technologie Privacy-ABC qu'au niveau de sécurité des smartphones actuels, qui est inférieur à celui des cartes à puce utilisées dans les essais.» La version actuelle du code source de ABC4Trust Engine peut être obtenu à partir de la page de ressources. «Le consortium a décidé de rendre accessible à tous l'implémentation de cette architecture, afin d'améliorer ses applications», déclare M. Rannenberg. «Les développeurs d'applications et les fournisseurs d'identifiants électroniques ont manifesté un grand intérêt pour nos travaux.»

Mots‑clés

ABC4TRUST, données personnelles, réseaux sociaux, cyber-sécurité, privacy ABC, étudiants, anonyme