Documation : Comment sécuriser un parcours sans créer une expérience trop lourde, le point de vue de notre expert en solutions de confiance numérique

Beaucoup de fraudes commencent par une usurpation d'identité. Comment vérifier réellement qu'une personne est bien celle qu'elle prétend être ?

Avant de répondre à ta question Eric, il me semble important de rappeler les principes fondamentaux qui régissent aujourd’hui les solutions d’identification et d’authentification.

Elles reposent sur 3 facteurs :

• Ce que je sais (mot de passe, réponse à une question, …)
• Ce que je possède (téléphone, ligne téléphonique, adresse)
• Ce que je suis (photo, empreinte digitale, biométrie, …)

Ce que l’on peut dire aujourd’hui c’est que ces 3 facteurs sont sérieusement fragilisés ces dernières années en premier lieu les «  Ce que je sais  et « Ce que je possède » fragilisé par nos pratiques imprudentes dans la diffusion de nos données personnelles sur les réseaux sociaux, lors des démarches d’achat ou de location en ligne pour lesquels nous transmettons  des copies de documents qui peuvent se retrouver sur le dark web ceci doublé par les capacité de hacking, les vols de données en masse et la sophistication des techniques de fraude

Le facteur « qui je suis » pour lequel il est encore plus souhaitable de se protéger, tout l’enjeu de la vérification de ce facteur d’identité à repose sur la nécessité de répondre avec un maximum de certitude à 3 questions :

• Le titre d’identité est-il authentique ?
• La personne est elle physiquement présente et vivante au moment de la transaction ?
• Est-ce bien la bonne personne vis-à-vis du justificatif d’identité présenté ?

Pour vérifier qu’une personne est bien celle qu’elle prétend être, nos solutions doivent donc garantir une réponse certaine à ces 3 questions via des dispositifs techniques sophistiqués d’analyse d’image et de données par des IA qui sont développés suivant des standards et des normes internationales et le plus souvent évaluée par des organisme telle que le NIST avant d’arriver sur le marché..

Pour se positionner sur les activités réglementées, ces solutions doivent être certifiées par des organismes comme l’ETSI ou des agences d’état comme l’ANSSI, si l’on se réfère au référentiel PVID. Ce référentiel fait d’ailleurs appel à du contrôle humain ce qui illustre plsu largement de conserver le contrôle par l’humain de ces nouvelle technologies.

Le RGPD ainsi que le Sec.Num.Cloud font également parti du paysage réglementaire et technique.

Doxallia est en cours de certification PVID auprès de l’ANSSI de niveau substantiel (ce qui signifie que notre dispositif permet de réduire substantiellement le risque d’usurpation). Notre solution est basée sur des technologies développées par notre partenaire Share ID qui m’a d’ailleurs donné l’occasion d’intervenir aujourd’hui.

Comment fonctionnent aujourd'hui les solutions de vérification d'identité à distance ?

Un parcours de vérification d'identité à distance se décompose en étapes successives : capture du document (photo, vidéo ou lecture NFC de la puce), et capture vidéo du visage.

• La photo ou la vidéo du titre d’identité, permet de contrôler automatiquement l’authenticité du titre basé sur des IA et du traitement d’image - j’appelle cela «  l’œil du gendarme » - Elle va vérifier les points de sécurité statiques (cohérence des données, taille de police, fabrication, type d’impression) et des éléments de sécurité dynamique comme les hologrammes sur un processus de capture vidéo.
• La vidéo du visage va assurer :
  • la détection du vivant — le "liveness" — est l'étape la plus critique et la plus attaquée. Avec deux grandes familles : active (on demande à l'utilisateur de cligner, sourire, tourner la tête) et passive (l'algorithme analyse le flux vidéo sans contrainte pour l'utilisateur).
  • Et le facematching qui par analyse biométrique va comparer la photo du flux vidéo à la photo du titre

Ces solutions sont développées pour résister aux attaques par injection vidéo — où un flux deepfake qui peut-être est injecté directement dans le pipeline de capture, contournant ainsi la caméra physique du device de l’utilisateur.

C’est une menace des plus difficile à contrer. Elles nécessitent une approche complémentaire à la simple analyse du visage : détection des signaux de l'environnement de capture, analyse de l'intégrité du flux, etc. La norme ISO 30107-3 évalue spécifiquement la résistance aux attaques par présentation — photos, masques, vidéos — et la norme CEN/TS 18099 couvre les attaques par injection.

Pour finir, l’'intégration technique se fait généralement via API ou SDK avec des enjeux d’expérience utilisateur, le fameux parcours sans-couture attendus par nos clients.

Comment sécuriser un parcours sans créer une expérience trop lourde pour l'utilisateur ?

Le bon principe est de bien positionner le curseur entre fluidité de l’expérience utilisateur et le niveau de risque du processus en cours. Il s’agit de calibrer le niveau de vérification selon l'enjeu de l'acte métier concerné. Une friction excessive génère de l'abandon, et l'abandon pousse l'utilisateur vers des canaux moins sécurisés.

Un parcours basé sur de la biométrie passive ou sur une photo du titre d’identité (utilisé pour la signature électronique avancé) permet d’alléger le parcours, l'utilisateur n'a rien à faire de particulier avec une vérification réalisée en arrière-plan en moins de deux secondes.

Ensuite, la plupart des fournisseurs de service ont aujourd’hui leur applications mobile ou leur espace client en ligne. L’enjeu côté UX est donc de ne pas «  sortir » le client de son environnement de marque. Nos clients privilégient des intégrations via SDK avec la possibilité de « brander » à leurs couleurs les interfaces du parcours de vérification. Cela minimise les abandons de parcours et on en a tous fait l’expérience d’une hésitation quant à la poursuite d’un parcours pour lequel nous sont demandés nos titres d’identité ou information bancaire

Et pour finir, il est essentiel de ne pas imposer au client de refaire le parcours à chaque acte. La vraie valeur d'une identité vérifiée, c'est de ne pas avoir à la revérifier à chaque interaction. C'est le principe de l'identité réutilisable : une vérification initiale robuste crée une attestation de confiance que l'utilisateur peut présenter lors de ses prochains parcours, chez le même acteur ou dans un écosystème de confiance partagé, et c’est ce que l’Europe est en train de créer.

L'Europe pousse l'identité numérique et les wallets. Est-ce une révolution ou simplement une évolution ?

Il me semble que c’est une évolution naturelle et souhaitable compte tenu du niveau de  numérisation de nos sociétés. La crise du COVID a été un accélérateur de ses nouveaux usages et a révélé la nécessité de s’organiser collectivement, de fixer un cadre.

Mais c’est une révolution à plus d’un titre :

Pour la première fois, l'Europe  crée un espace de confiance interopérable à l'échelle continentale, avec des niveaux d'assurance harmonisés. C'est structurellement différent d'une simple mise à jour de directive.

Il y a bien eu la réglementation eIDAS V1 notamment sur la signature électronique ou les MIE (moyen d’identification électronique) mais nous pouvons constater que chaque pays, chaque prestataire international ou local a pu interpréter cette norme et les solutions dîtes conformes ont pu faire l’objet d’implémentation fonctionnelles et technique différentes.

Avec le règlement eIDAS v2,  pas de choix ni de place à l’interprétation. C’est en soi une révolution et un vrai challenge que les divers consortium Européen adressent depuis plus de 3 ans maintenant, Potential, EWC hier, APTITUDE ou WEBUILD aujourd’hui auquel Doxallia participe.

Ensuite, c’est une révolution en termes d’usage. L’état me fournit une application qui porte la même garantie que mon titre physique. Je suis sur mon mobile et je peux justifier de mon identité lors d’un contrôle routier via France Identité.

Une application d’état sur mon mobile…

Il faudra probablement mieux communiquer qu’avec TousAntiCovid… Je ne développerai pas sur l’acceptation citoyenne mais c’est évidemment un très gros enjeux et les solutions privés ont aussi leur rôle à jouer.

Enfin, évidemment c’est une révolution pour les fournisseurs de services notamment dans le domaine bancaire et assurantiel

D’une part ces organisations vont devoir se passer du document, accepter et conserver un nouvel objet numérique «  les attestations d’attributs ». Ces attestations d’attributs issues de sources authentiques (et d’abord de l’état pour les titres régaliens) vont progressivement remplacer les documents dématérialisés difficiles à vérifier. Vous imaginez bien que les SI de connaissance de nos clients notamment les systèmes de GED et d’archivage électronique vont devoir s’adapter. Le règlement eiDASV2 introduit d’ailleurs de le service d’archivage électronique qualifié sur lequel nous nous positionnons.

Ensuite, et c’est le plus passionnant le wallet d’identité introduit un nouveau paradigme ; le citoyen, l’usager, le client va désormais consentir à transmettre ses données. Cela change fondamentalement la logique de centralisation des données et redistribue le contrôle vers l'individu.

Si l’on se met dans un contexte de KYC, les modalités de contrôle périodique vont être profondément bouleversées avec en cible la réception de notifications dans notre application pour revalider son identité et transmettre les attestations d’attributs associées (adresse et revenus pour ce qui est du KYC). Les sources authentiques pourront également mettre à jours ces données dans nos wallet, pour tendre vers la promesse du «permanent KYC »

Dans quels processus métiers ces technologies peuvent-elles être intégrées dès aujourd'hui ?

En pratique, l'adoption sera progressive. Les premières implémentations concerneront des usages réglementairement contraints — accès aux services publics, KYC bancaire- Ouverture de compte, souscription à distance. Ces secteurs ont l'habitude du cadre contraignant et cible en priorité ces processus avant de s'étendre à des usages plus larges.

Il est à noté que les banques et assurances n’ont pas encore saisis les opportunités business et la valeur ajoutée qu’il pourrait tirer de ces nouveaux usages mais cela changera sans aucun doute dans les prochaines années.

Ces wallet d’identité seront utile aux processus de vérification d’âge en ligne notamment pour les plateformes de jeux en ligne, la vente d’alcool en ligne, ou l’accès aux sites adultes.

Il existe également de nombreuses applications possibles

• dans l’industrie hôtelière qui sont les percepteur de la taxe de séjour. Je trouverai plus intéressant de ne pas transmettre mon titre d’identité et de payer directement depuis mon wallet cette taxe
• Dans les parcours de santé pour un accès sécurisé au DMP, l’intégration de ma carte sanguine, la gestion de ma carte mutuelle et des niveaux de remboursements, …
• Dans le recrutement et la gestion des accès RH, en particulier depuis la généralisation du travail hybride ou l’appel à des freelance que l’on ne voit jamais sur site
• Pour contrer la fraude au diplôme ou faire certifier une expérience, …

De très nombreux cas d’usage également pour les personnes morales.

L’avènement de ses nouveaux usages, dépendent de l’investissement et du bougé de tous les acteurs, des sources authentiques, des fournisseurs de wallet public et privé et des fournisseurs de services consommateurs mais aussi producteurs de données authentiques.