Normes techniques pour les systèmes d'identification numérique - World Bank ...
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Public Disclosure
Diffusion Authorized
publique autorisée Public Disclosure
Diffusion publique Authorized
autorisée Public Disclosure
Diffusion Authorized
publique autorisée Public Disclosure
Diffusion Authorized
publique autorisée
numérique
CATALOGUE DE
d’identification
pour les systèmes
Normes techniques© 2018 Banque internationale pour la reconstruction et le développement / Banque mondiale 1818 H Street NW Washington D.C., 20433 Téléphone : 202-473-1000 Site Internet : www.worldbank.org Cet ouvrage, initialement publié en anglais sous le titre Catalog of Technical Standards for Digital Identification Systems, a été établi par les services de la Banque mondiale avec la contribution de collaborateurs extérieurs. Les observations, inter- prétations et opinions qui y sont exprimées ne reflètent pas nécessairement les vues de la Banque mondiale, de son Conseil des Administrateurs ou des pays que ceux-ci représentent. La Banque mondiale ne garantit pas l’exactitude des données contenues dans cet ouvrage. Les frontières, les couleurs, les dénominations et toute autre information figurant sur les cartes du présent ouvrage n’impliquent de la part de la Banque mon- diale aucun jugement quant au statut juridique d’un territoire quelconque et ne signifient nullement que l’institution reconnaît ou accepte ces frontières. Droits et licences Le contenu de cet ouvrage fait l’objet d’un dépôt légal. La Banque mondiale encourageant la diffusion de ses travaux, cet ouvrage peut être reproduit, en tout ou en partie, à des fins non commerciales à condition qu’une attribution complète à l’ouvrage soit fournie. Pour tout autre renseignement sur les droits et licences, y compris les droits dérivés, envoyez votre demande, par courrier, à l’adresse suivante : World Bank Publications, The World Bank Group, 1818 H Street NW, Washington, DC 20433 (États-Unis d’Amérique). Télécopie : 202-522-2625. Courriel : pubrights@worldbank.org.
TABLE DES MATIÈRES
ABRÉVIATIONS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . v
REMERCIEMENTS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vii
À PROPOS DE L’INITIATIVE ID4D . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vii
1. INTRODUCTION . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
2. OBJECTIF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
3. CHAMP D’APPLICATION . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
4. CYCLE DE VIE DE L’IDENTITÉ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
4.1 Enregistrement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
4.1.1 Inscription . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
4.1.2 Validation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
4.2 Délivrance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
4.3 Authentification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
4.4 Gestion du cycle de vie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
4.5 Fédération . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
5. NORMES TECHNIQUES RELATIVES À L’IDENTITÉ NUMÉRIQUE . . . . . . . . . . . . . . . . . . . . 7
5.1 En quoi les normes sont-elles importantes ? . . . . . . . . . . . . . . . . . . . . . . . . 7
5.2 Organismes de normalisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
5.3 Normes techniques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8
Normes techniques pour assurer l’interopérabilité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Normes techniques pour des systèmes d’identité fiables . . . . . . . . . . . . . . . . . . . . . . . . . 9
5.4 Cadres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
5.4.1 Niveaux de garantie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
6. CAS D’UTILISATION PAYS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Exemple 1 : L
’ID-Kaart en Estonie – Carte intelligente et carte d’identité sur mobile . . . 18
Exemple 2 : Le système indien d’identification biométrique Aadhaar . . . . . . . . . . . . 20
Exemple 3 : Malawi – Biométrie et carte intelligente . . . . . . . . . . . . . . . . . . . . 22
Exemple 4 : eID intelligente au Pakistan – Biométrie et carte intelligente . . . . . . . . . 24
Exemple 5 : Carte d’identité électronique avec certificat numérique au Pérou . . . . . . 26
7. CONCLUSION . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
BIBLIOGRAPHIE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
ANNEXE A : COMITÉS TECHNIQUES MIXTES, SOUS-COMITÉS
ET GROUPES DE TRAVAIL DE L’ISO/IEC ET LEUR MANDAT . . . . . . . . . . . . . . . . . . . . 30
iiiLISTE DES FIGURES
FIGURE 1 CADRE D’INTEROPÉRABILITÉ – CINQ COMPOSANTES . . . . . . . . . . . . . . . . . . . 3
FIGURE 2 CYCLE DE VIE DE L’IDENTITÉ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
FIGURE 3 NORMES POUR SYSTÈME D’IDENTIFICATION . . . . . . . . . . . . . . . . . . . . . . . . 9
FIGURE 4 ARBRES DE DÉCISION CONCERNANT LE CHOIX DES NORMES . . . . . . . . . . . . . 10
FIGURE 5 NIVEAUX D’AUTHENTIFICATION ISO ET EIDAS . . . . . . . . . . . . . . . . . . . . . . . 17
FIGURE 6 ISO/IEC JTC 1 : SOUS-COMITÉS ET GROUPES DE TRAVAIL EN CHARGE
DE LA GESTION DE L’IDENTITÉ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
ivABRÉVIATIONS
AFNOR Association française de normalisation
ANSI American National Standard Institute (Institut américain de normalisation)
ASN.1 Abstract Syntax Notation One
BAPI Biometric Application Programming Interface (Interface de programme
d’application biométrique)
BM Banque mondiale
CAP Programme d’authentification CAP
CBEFF Common Biometric Exchange Formats Framework (Cadre de formats d’échange
biométriques communs)
CEI Commission électrotechnique internationale
CEN Comité européen de normalisation
CITeR Center for Identification Technology Research
DHS Department of Homeland Security (ministère de la Sécurité intérieure)
DIN Institut de normalisation allemand
eID Carte d’identité électronique
EMV Europay, MasterCard et Visa— Norme de paiement par carte intelligente
EMVCo EMV Company
FIDO Fast IDentity Online (protocole d'authentification forte pour les paiements en ligne)
GSM Global System for Mobile Communication (précédemment Groupe Spécial Mobile)
GSMA GSM Association
IBIA International Biometrics and Identification Association (Association internationale
de l’identité biométrique)
ID Identification
ID4D lnitiative Identification pour le développement (ID4D) du Groupe de la Banque mondiale
INCITS Comité international pour les normes relatives aux technologies de l’information
ISO Organisation internationale de normalisation
JTC Comité technique mixte
NADRA Service en charge de la base de données nationale et de l’enregistrement (Pakistan)
NICOP Carte d’identité nationale pour les Pakistanais de l’étranger
NIST Institut national des normes et de la technologie (États-Unis)
OACI Organisation de l’aviation civile internationale
OASIS Organization for the Advancement of Structural Information Standards (consortium mondial
pour la normalisation et la standardisation de formats de fichiers ouverts)vi
ODD Objectif de développement durable
OIT Organisation internationale du travail
OpenID Open ID Foundation
PIN Numéro d’identification personnel
vPKI Infrastructure à clés publiques
PSA Organisme pakistanais de normalisation
RFID Radio-Frequency Identification (identification par radiofréquences)
RMG Groupe de gestion des enregistrements
SA Standards Australia (autorité australienne de normalisation)
SIA Secure Identity Alliance
SIS Institut suédois de normalisation
SNBA Association nationale suédoise de biométrie
TI Technologies de l’information
TIC Technologies de l’information et des communications
UIDAI Autorité indienne de l’identification unique
UIN Numéro unique d'identification des personnes physiques
UIT-T Secteur de la normalisation des télécommunications de l’Union internationale
des télécommunications
WG Groupe de travail
ZLA Zone de lecture automatique
viÀ PROPOS DE L’INITIATIVE ID4D
L’initiative Identification pour le développement (ID4D) du Groupe de la Banque mondiale mobilise les connaissances
et savoir-faire de différents secteurs partout dans le monde, dans le but d’aider les pays à réaliser le potentiel
transformationnel qu’offrent les systèmes d’identification numérique, et ainsi atteindre les Objectifs de développement
durable. Mise en œuvre dans tout le Groupe de la Banque mondiale, l’initiative concerne les pratiques et unités mondiales,
qui travaillent sur le développement numérique, la protection sociale, la santé, l’inclusion financière, la gouvernance, la
parité hommes‑femmes et les questions juridiques, entres autres.
L’initiative ID4D se fixe pour mission de donner à tous les individus les moyens d’accéder aux services et d’exercer leurs
droits. Elle vise à cet effet à donner une forme officielle d’identification au plus grand nombre, en s’appuyant sur ses trois
piliers : i) leadership avisé et analyses pour créer des données probantes et combler les lacunes de connaissances ;
ii) plateformes et réunions de niveau international pour donner de l’ampleur aux bonnes pratiques, collaborer et renforcer
la sensibilisation ; et iii) engagement national et régional pour apporter l’aide technique et financière nécessaire à la mise
en œuvre de systèmes d’identification numérique fiables, inclusifs et responsables, intégrés aux données d’état-civil.
Les travaux de l’initiative ID4D sont rendus possibles avec le soutien du Groupe de la Banque mondiale, de la Fondation
Bill & Melinda Gates, d’Omidyar Network et de l’État australien.
Pour en savoir plus sur l’initiative ID4D, visiter id4d.worldbank.org.
REMERCIEMENTS
Le catalogue a été préparé par Anita Mittal, avec des contributions de Tariq Malik, Ott Köstner, Flex Ortega De La Tora,
Adam Cooper, Seth Ayers, Daniel Bachenheimer, Alastair Treharne, Dr Narjees Adennebi, Sanjay Dharwadker, Marta Ienco,
Stéphanie de Labriolle et Dr Adeel Malik.
Le catalogue a été présenté lors de deux ateliers, organisés en septembre 2017 et en mars 2018. Les discussions qui
se sont engagées à cette occasion en ont guidé le contenu et la conception. Les organisations suivantes ont participé à
ces ateliers : Accenture, l’Institut américain de normalisation, Caribou Digital, le Centre pour le développement mondial,
la Digital Impact Alliance (DIAL), Ernst & Young, la Commission européenne, l’Alliance FIDO, la Fondation Bill & Melinda
Gates, le Government Digital Service, la GSMA, ID2020, l’OACI, l’IOM, iSPIRIT, Mastercard, Mercy Corp, Microsoft,
l’Institut national des normes et de la technologie des États-Unis, Omidyar Network, One World Identity, l’Open Identity
Exchange, l’Open Society Foundation, Plan International, PricewaterhouseCoopers, la Secure Identity Alliance, Simprints,
le Forum économique mondial, le Programme des Nations Unies pour le développement, le HCR, l’UNICEF, USAID, Vital
Strategies et WFP.
vii1. INTRODUCTION
Les systèmes d’identification fiables et inclusifs, tels qu’ils privée, à la viabilité budgétaire et au choix à effectuer
sont consacrés dans la cible 16.9 des Objectifs de déve- parmi les différentes technologies, ainsi qu’à la façon de
loppement durables (ODD), qui confie aux pays la charge les mettre en œuvre.
de « garantir à tous une identité juridique, notamment
grâce à l’enregistrement des naissances », sont essen- S’ils s’inscrivent dans une approche évolutive et interopé-
tiels au développement. Les individus doivent pouvoir faire rable, les systèmes d’identification numérique fiables sont
la preuve de leur identité juridique pour avoir accès aux sources d’économies pour les populations, les pouvoirs
droits et aux services. Sans cette preuve, elles peuvent publics et les entreprises. À l’inverse, il est fort probable
se retrouver exclues de la vie politique, économique et que les initiatives disparates et les investissements com-
sociale. S’agissant des États, les systèmes d’identification partimentés dans les systèmes d’identification numérique
modernes permettent une administration et une prestation feront double emploi, et ne pourront rivaliser avec les
des services plus efficaces et transparentes, une réduc- avantages considérables que les systèmes d’identifica-
tion de la fraude et des abus associés aux virements et tion numérique universels sont capables d’apporter aux
aux paiements des prestations, une sécurité renforcée, secteurs public et privé. Les approches communes et les
une meilleure précision des statistiques essentielles à la systèmes d’identification fédérés au niveau régional ou
planification et une plus grande capacité à répondre aux sous-régional peuvent également aider à renforcer la pro-
catastrophes et épidémies. position de valeur des systèmes d’identification numérique.
La fiabilité et l’interopérabilité d’un système d’identification
En dépit des avantages que procurent ces systèmes, on dépend de son degré de respect des normes techniques
estime à environ 1 milliard le nombre de personnes qui ne (ci-après les « normes »).
disposent pas de preuve d’identité1 dans le monde. Dans le
but de combler ce « déficit d’identité », de nombreux pays Les normes fixent des protocoles de communication, des
ont commencé à réformer leurs systèmes d’identification régimes d’essai, des mesures de qualité et des meilleures
existants et à mettre en place de nouveaux systèmes. À pratiques cohérents et universellement partagés, concer-
cet effet, la plupart ont misé sur les possibilités offertes nant la saisie, le stockage, la transmission et l’utilisation
par les nouvelles technologies d’identification numérique, des données d’identité, ainsi que le format et les caracté-
notamment l’identification biométrique, les documents ristiques des documents d’identité et des protocoles d’au-
d’identité électroniques, comme les cartes intelligentes et thentification. Elles sont dès lors cruciales à chaque stade
les cartes d’identité mobiles, et les infrastructures d’au- du cycle de vie de l’identité, notamment l’inscription, la vali-
thentification en ligne. dation, la déduplication et l’authentification. Les normes
aident à s’assurer que les composants des systèmes
Ces avancées, en particulier conjuguées à d’autres tech- d’identité sont interopérables, peuvent être testés et sont
nologies numériques notamment, telles que les systèmes capables d’atteindre les cibles de performance attendues.
de paiement mobiles et en ligne, ont le potentiel de com- Sans normes, il est impossible de garantir l’efficacité d’un
bler les carences des systèmes d’identification papier. En système d’identification interconnecté et interopérable.
parallèle, l’identification numérique pose de nombreux
défis associés à la protection des données et de la vie
1
Estimation de la série de données ID4D de la
Banque mondiale, 2018.
12. OBJECTIF
Les normes sont essentielles à la fiabilité, l’interopé- ii) identifier les domaines dans lesquels l’existence de
rabilité et la viabilité des systèmes d’identification. Le normes concurrentes amène à devoir faire des choix ; et
présent rapport se propose de recenser les normes et iii) évaluer l’applicabilité des normes pour un pays en
cadres techniques internationaux actuellement appli- développement. Cette démarche devrait également facili-
cables d’un bout à l’autre du cycle de vie de l’identité en ter l’échange d’expériences parmi les pays, et ainsi éviter à
vue d’assurer l’interopérabilité technique des différents chaque pays ou acteur de « réinventer la roue ». Un arbre
systèmes. Les acteurs de l’écosystème des systèmes de décision des normes techniques, organisé par domaine
d’identification peuvent utiliser ce catalogue de normes technologique, est proposé pour faciliter la sélection des
techniques comme source de référence. Une analyse normes techniques dans le catalogue. Des études de cas
du catalogue des normes existantes, organisées en par pays illustrent l’application de cet arbre de décision
catégories et sous-catégories, devrait aider à : i) identi- pour l’Estonie, l’Inde, le Malawi, le Pakistan et le Pérou.
fier les domaines dans lesquels les normes font défaut ;
23. CHAMP D’APPLICATION
L’identité numérique est une notion générique, dont les normes techniques qui relèvent du champ d’application
acceptions diffèrent selon le contexte. Dans le présent du présent rapport sont les normes nécessaires à l’éla-
document, l’identité numérique désigne un ensemble d’at- boration de systèmes d’identification numérique fiables et
tributs et de justificatifs, saisis et stockés par des moyens interopérables, qui permettent : i) la création d’une identité
électroniques et capables d’identifier une personne de numérique pour chaque individu, après validation de son
façon unique. Les systèmes d’identité numérique peuvent identité par des processus définis ; ii) la délivrance de jus-
prendre des formes diverses, chacune encadrée par tificatifs associés à son identité ; et iii) la mise en place
des normes différentes. Cinq composantes forment le de mécanismes permettant à chacun d’établir son identité
cadre d’interopérabilité pour les systèmes d’identification (s’authentifier) au moyen de son identité numérique ou de
numérique (figure 1). Le présent rapport ne concerne ses justificatifs.
que la composante « Interopérabilité technologique ». Les
Interoperability Framework
FIGURE 1 blocks
5 building Cadre d’interopérabilité – Cinq composantes
Questions juridiques, politiques et réglementaires concernant
Juridique l’identité, la protection et la confidentialité des données
Opérabilité, sécurité, confidentialité et performance, y compris sous
Gouvernance et gestion forme de conditions contractuelles et commerciales (convention de
services (SLA), par exemple)
Normes de processus concernant les phases de travail, les cadres de
Interopérabilité des processus
confiance et la reconnaissance réciproque, notamment les fédérations
d’identité (eIDAS, par exemple)
Normes de données, et dictionnaires de données pour assurer
Interopérabilité sémantique la cohérence sémantique des données et des informations échangées
Normes concernant les composants logiciels et matériels,
Interopérabilité technologique les systèmes et les plateformes qui permettent la communication
CHAMP
machine-machine D’APPLICATION
34. CYCLE DE VIE DE L’IDENTITÉ
FIGURE 2 Cycle de vie de l’identité
1. Enregistrement (preuve de l’identité)
2. D
éliv
ran
Résolution Validation Vérification
Contrôle /
Déliv ce
Évaluation du risque ran (g
ce es
Ma
t
io
in
te
n
de
na
sj
nc
us
e
té
tité
nti
tifi
en
R
l’ide
cat
l’id
évo
ifs)
Maintenance de
cati
5. Gestion de
on
Cycle de vie de l’identité
3. Authen
Vérifi
tific
cat
tio s
isa but
n
ion
atio
ni attri
(1
m
n
M s
:1
de
d
)
i
el
’id
s
ue d’a
isq n
en
c
s r tio (po cès) tit
de alua Élig litique é
Év des rôles ibil
ité
on Gestion
ati
Autoris
4.
Partout dans le monde, les écosystèmes de l’identité numé- 4.1 Enregistrement
rique, formés de modèles d’identité disparates et d’acteurs
ayant des responsabilités, des intérêts et des priorités dif- L’enregistrement est l’étape la plus importante de la créa-
férents, sont de plus en plus complexes. Il est indispen- tion d’une identité numérique. Le processus se divise en
sable de comprendre les processus et les technologies mis deux phases consécutives : l’inscription et la validation.
en jeu dans l’identification numérique pour identifier les
normes qui s’appliquent à un système donné. À cet effet,
le présent chapitre offre un panorama du cycle de vie de 4.1.1 Inscription
l’identité numérique (basé sur le rapport Technology Lands-
cape for Digital Identification report (2018)). Ce cadre sert C’est au cours de la phase d’inscription que sont saisis et
ensuite à analyser les normes d’identification en question enregistrés les principaux attributs qui composent l’identité
au chapitre 6. d’une personne qui déclare une certaine identité. Il peut
s’agir de données biographiques (nom, date de naissance,
Les identités numériques sont créées et utilisées dans le sexe, adresse et adresse électronique, par exemple) ou
cadre d’un cycle de vie qui comporte trois stades fonda- biométriques (empreintes digitales et scan de l’iris, par
mentaux : i) l’enregistrement (inscription et validation) ; exemple), ainsi que d’autres attributs, de plus en plus
ii) la délivrance des documents ou justificatifs ; et iii) la nombreux. Les attributs saisis pendant cette phase et la
vérification de l’identité pour autoriser la prestation des méthode utilisée ont des répercussions importantes sur la
services ou l’exécution des transactions. Les fournisseurs fiabilité de l’identité (voir plus bas les observations concer-
d’identité assurent en outre la gestion continue du système, nant les niveaux de garantie), ainsi que sur son utilité et
notamment l’actualisation et la révocation ou la résiliation son interopérabilité avec d’autres systèmes d’identité
des identités ou des justificatifs (voir figure 2 ci-dessus). nationaux et internationaux.
4.1.2 Validation
Une fois que la personne a déclaré une identité pendant la
phase d’inscription, cette identité est validée par comparai-
son des attributs présentés avec les données existantes.
La phase de validation garantit que l’identité existe (le
déclarant est vivant) et qu’une seule personne la déclare
4(le déclarant est unique dans la base de données). Dans peuvent, par exemple, délivrer des cartes SIM com-
les systèmes d’identité numérique modernes, on vérifie le portant des certificats numériques. Ils peuvent aussi
caractère unique d’une identité en procédant à un exercice utiliser d’autres équipements de réseaux mobiles qui
de déduplication pour s´assurer que les attributs ne sont permettent de vérifier simplement et en toute sécu-
pas déjà utilisés et associés à une autre identité dans le rité l’identité des utilisateurs des services adminis-
système. Pour cela, on procède à une vérification 1 : N à tratifs en ligne (eGovernment) et autres plateformes
partir des données biométriques. Il est également possible publiques ou privées.
d’établir des liens entre l’identité déclarée et les identités
présentes dans d’autres bases de données (par exemple,
• Identité (justificatif) dans un entrepôt centralisé
ou dans le nuage : contrairement aux systèmes
les registres d’état civil, registres de la population, etc.). qui délivrent des justificatifs portables, cartes intel-
ligentes et cartes SIM notamment, certains sys-
tèmes se contentent de stocker les certificats et les
données biométriques sur un serveur. Ce type de
4.2 Délivrance système ne permet pas la délivrance d’un dispo-
sitif physique pour le stockage des justificatifs. Le
Avant qu’une personne puisse utiliser un justificatif pour numéro d’identité peut être délivré sous une forme
faire valoir son identité, l’identité enregistrée est soumise non électronique (en Inde, par exemple, le pro-
à un processus de délivrance ou d’accréditation, à l’issue gramme Aadhaar ne délivre qu’un reçu papier). Un
duquel les fournisseurs d’identité peuvent délivrer diffé- environnement anti-fraude avec génération et ges-
rents types de justificatifs (numéros d’identification, cartes tion de clés cryptographiques pour protéger contre
intelligentes et certificats, par exemple). Pour considérer le vol les justificatifs d’identité stockés dans l’entre-
qu’une identification est numérique, les justificatifs délivrés pôt centralisé permettra de renforcer le niveau de
doivent être électroniques, autrement dit qu'ils doivent stoc- sécurité et de garantie du système d’identité.
ker et communiquer les données de façon électronique.
Types de systèmes de justificatifs électroniques :
4.3 Authentification
• Cartes intelligentes : ces cartes intègrent des
Une fois enregistrée, et après réception de ses justifica-
éléments de sécurité avancés, et contiennent une
tifs, une personne peut utiliser son identité numérique pour
puce informatique sur laquelle sont enregistrées une
accéder aux bénéfices et services associés. Par exemple,
clé cryptographique numérique et/ou des données
les contribuables peuvent payer leurs impôts au moyen
biométriques. Les cartes intelligentes peuvent se
d’un portail de services publics en ligne, tandis que les
présenter sous la forme d’une carte avec ou sans
clients des banques peuvent utiliser leurs cartes de paie-
contact ou d’une carte SIM avec fonction NFC
ment intelligentes ou leur application de banque en ligne
(communication en champ proche). Les données
ou mobile pour réaliser des transactions. Pour accéder
stockées sur une carte intelligente peuvent être
aux services, l’utilisateur doit s’authentifier au moyen d’un
consultées hors ligne, de manière à permettre de
ou plusieurs facteurs qui relèvent le plus souvent de l’une
vérifier l’identité en l’absence de connexion Internet
des trois catégories suivantes : quelque chose que l’on
ou de réseau mobile.
connaît, quelque chose que l’on a ou quelque chose que
• Cartes avec code à barres 2D : ces cartes peuvent l’on est. L’authentification au moyen de ces attributs peut
être personnalisées au moyen d’un code à barres être réalisée au travers de différents mécanismes :
2D chiffré, contenant les données personnelles et
biométriques d’une personne. Ce code à barres • Cartes intelligentes : les possesseurs de carte
vient, soit remplacer, soit compléter, une puce intelligente peuvent prouver leur identité (s’authenti-
informatique. Le code à barres 2D est un moyen fier) au moyen d’un ou plusieurs facteurs d’authen-
économique de fournir une identité numérique et tification, lesquels offrent des niveaux de garantie
de vérifier l’identité du porteur de la carte en com- variables. Par exemple, un simple code PIN pour
parant les caractéristiques biométriques du por- les opérations présentant un risque faible, ou une
teur à celles contenues dans la carte. L’Afrique signature numérique reposant sur la technologie
(Mali et Ghana notamment), l’Amérique latine et le d’infrastructure à clés publiques (PKI) pour les uti-
Moyen-Orient (Liban notamment) ont déployé ce lisations à risque fort. Les empreintes digitales sont
système à grande échelle. Plus récemment, l’Égypte un moyen d’établir avec certitude un lien avec l’uti-
l’a utilisé pour vérifier l’identité des votants lors des lisateur. Les cartes intelligentes, dotées d’une puce
dernières élections. électronique sur laquelle sont stockées les données
• Identité mobile : il est possible d’utiliser les télé- d’identité, permettent à leur détenteur de s’en servir
phones et autres dispositifs mobiles pour offrir aux afin de s’authentifier hors ligne ou dans les régions
individus une identité numérique portable et un isolées disposant d’une connectivité limitée, sans
moyen d’authentification permettant d’exécuter une consultation d’une base d´identité centrale. En effet,
diversité de transactions en ligne. Les fournisseurs la puce permet de réaliser, en local, une procédure
5d´authentification, en comparant les données bio- 4.5 Fédération
métriques (empreintes digitales par exemple) du
détenteur de la carte avec les données stockées sur La fédération est la capacité d’une organisation d’accep-
la puce (Match on Card). ter l’identité générée et gérée par une autre organisation,
• Identité mobile : l’identité mobile utilise les appli- et repose sur la confiance entre ces deux organisations.
cations sur smartphones, l’authentification par L’organisation utilisatrice doit avoir la conviction que l’orga-
protocole USSD ou par SMS ou les cartes SIM, et nisation de confiance dispose de politiques et de normes
peut incorporer plusieurs facteurs d’authentifica- comparables aux siennes, et qu’elle les applique. Les pro-
tion offrant des niveaux de garantie variables. Par tocoles de fédération et le cadre d’assurance facilitent la
exemple, un simple code PIN pour les opérations fédération de l’identité numérique dans et entre les orga-
présentant un risque faible ou bien, pour les tran- nisations et les pays. Le fournisseur du justificatif utilise
sactions présentant un risque fort, des solutions des protocoles de fédération tels que SAML (Security
d’authentification à facteurs multiples (avec recours Assertion Mark-up Language) pour transmettre le résultat
à la biométrie notamment) ou une signature mobile de l’authentification à l’organisation utilisatrice. Cette der-
numérique reposant sur la technologie d’infrastruc- nière saisit le justificatif et l’envoie à l’organisme émetteur
ture à clés publiques (PKI) comportant un élément pour vérification. Après vérification du justificatif, l’orga-
sécurisé. Il est possible de renforcer l’authentifi- nisme émetteur envoie un ensemble d’informations sur
cation au moyen d’un troisième et d’un quatrième l’utilisateur, le résultat de l’authentification et le degré de
facteurs, comme le lieu où se trouve l’individu ou fiabilité des justificatifs utilisés pour authentifier l’utilisateur.
l’analyse dynamique de ses gestes (façon de réali- Pour une utilisation efficace de la fédération partout dans
ser sa signature, par exemple). le monde, l’accord et l’alignement avec le cadre d’assu-
rance défini par l’ISO et l’adoption de protocoles de fédé-
• Identité dans un entrepôt centralisé ou dans le
ration en tant que normes sont essentiels.
nuage : au lieu de délivrer un document d’identité
ou un justificatif mobile, un système d’identité numé-
rique peut faire appel à la biométrie pour l’authentifi- La fédération peut intervenir à des niveaux multiples :
cation à distance. Dans ce cas, l’identité est évaluée
et vérifiée au moyen d’un ordinateur ou d’un autre • Un organisme peut accepter les justificatifs émis par
dispositif doté d’un lecteur biométrique connecté au un autre organisme, tout en authentifiant et autori-
nuage. Un système basé dans le nuage élimine le sant l’individu localement :
besoin de justificatifs physiques et le coût qui y est –– Un passeport émis par le Département
associé, mais nécessite une infrastructure TIC fiable d'État des États-Unis est accepté comme
pour assurer la connectivité, la sécurité de la base justificatif valable par un pays étranger ;
de données centralisée dans un entrepôt (ou plu- pour autant, les services de l’immigration de
sieurs entrepôts pour les infrastructures TIC les plus ce pays authentifient le titulaire et exigent
robustes) et la protection des données transmises un visa (autorisation).
entre le dispositif biométrique et la base centrale
lors du processus d´authentification (confidentialité • Un organisme peut accepter les caractéristiques
spécifiques (attributs) décrivant un individu qui éma-
et intégrité des données).
nent d’un autre organisme :
–– Votre banque vous demandera votre notation
de crédit délivrée par l’un des organismes de
4.4 Gestion du cycle de vie notation du crédit, plutôt que de détenir et
d’actualiser elle-même ces informations.
Pendant tout le cycle de vie, les fournisseurs d’identité
numérique gèrent et organisent le système d’identité, • Un organisme peut accepter une décision d’autori-
notamment les installations, le personnel, la tenue des sation prise par un autre organisme :
registres, la conformité, l’audit et l’actualisation du statut –– Aux États-Unis, par exemple, un permis de
et du contenu des identités numériques. En effet, les utili- conduire vous autorisant à conduire dans
sateurs (les détenteurs d’identité) pourront être amenés à un État est accepté dans un autre.
devoir actualiser un ou plusieurs attributs liés leur identité,
par exemple leur adresse, leur situation maritale, leur pro- Le cycle de vie de l’identité exige l’application de normes
fession, etc. De leur côté, les fournisseurs d’identité pour- techniques à chaque étape et sous-étape (voir Chapitre 6).
ront devoir révoquer une identité, autrement dit annuler Dans une large mesure, les types d’attributs (biométriques,
l’identité numérique pour des questions de fraude ou de biographiques et autres) saisis pendant l’inscription et les
sécurité par exemple, ou résilier une identité dans le cas méthodes utilisées pour les enregistrer ont des répercus-
du décès de l’individu. sions importantes sur le degré de fiabilité et de confiance
que le système d’identité est capable d’offrir, ainsi que sur
son utilité et son interopérabilité avec d’autres systèmes
d’identité nationaux et internationaux.
65. NORMES TECHNIQUES RELATIVES
À L’IDENTITÉ NUMÉRIQUE
Selon la veille technologique de l’Union internationale
5.1 En quoi les normes des télécommunications (UIT), plusieurs organismes
sont-elles importantes ? s’emploient à élaborer des normes techniques pour les
systèmes d’identification numérique. Il s’agit d’organisa-
En règle générale, les normes techniques établissent le tions internationales, comme les agences spécialisées
cahier des charges et les procédures concernant le fonc- des Nations Unies, de consortiums d’entreprises et d’or-
tionnement, l’entretien et la fiabilité des matériaux, maté- ganismes nationaux. Chacun de ces trois types d’orga-
riels, produits, méthodes, procédés et services dont se nismes est brièvement décrit ci-dessous.
servent les individus ou les organisations. Les normes
garantissent la mise en œuvre de protocoles universelle- • Organisations internationales. De grandes orga-
ment reconnus, nécessaires pour assurer le fonctionne- nisations internationales prennent une part active à
ment, la performance, la compatibilité et l’interopérabilité. l’élaboration de normes techniques utiles à l’identité
Ces facteurs sont à leur tour indispensables à la mise au numérique : l’Organisation internationale de nor-
point et à l’adoption d’un produit. Si l’adoption de normes malisation (ISO), la Commission électrotechnique
influe favorablement sur la pénétration du marché et sur internationale (CEI), le Secteur de la normalisa-
le commerce international, leur absence risque de com- tion des télécommunications de l’UIT (UIT-T),
promettre l’efficacité et la fiabilité d’un système d’identité, l’Organisation de l’aviation civile internationale
en matière d’interopérabilité, de connectivité et de dépen- (OACI), l’Organisation internationale du travail
dance à un fournisseur unique notamment. (OIT), le Comité européen de normalisation (CEN),
le World Wide Web Consortium (W3C) et l’Internet
Alors que les cartes d'identité électroniques remplacent Engineering Task Force (IETF) / Internet Society.
progressivement les systèmes papier, l'interopérabilité
entre les différents systèmes, technologies et dispositifs, • Organismes nationaux. Outre les organisations
internationales, des organismes nationaux élaborent
ainsi que les impératifs de sécurité sur lesquels reposent
eux aussi des normes techniques, reposant sur
ces systèmes, sont de plus en plus complexes. Il devient
leurs besoins et systèmes propres. Parmi ces
dès lors d’autant plus important de disposer de normes
organismes, on peut notamment citer notamment
pour encadrer la gestion de l’identité, et de savoir choi-
l’Institut américain de normalisation (ANSI), l’Institut
sir parmi les différentes normes proposées. Cependant, la
national des normes et de la technologie (NIST) des
rapidité des innovations, les bouleversements technolo-
États-Unis, le Comité international pour les normes
giques, la diversification des solutions techniques, l'évolu-
relatives aux technologies de l’information (INCITS),
tion des impératifs d´interopérabilité et de connectivité, et
basé aux États-Unis, le ministère de la Sécurité
la nécessité d´améliorer en permanence la mise en œuvre
intérieure (Department of Homeland Security –
des normes ne facilitent en rien la tâche.
DHS) des États-Unis, le ministère de la Défense
(Department of Defense – DoD) des États-Unis,
Standards Australia (SA), l’Institut de normalisation
suédois (SIS), l’Association nationale suédoise de
5.2 Organismes de normalisation biométrie (SNBA), l’Institut de normalisation allemand
(DIN), l’Association française de normalisation
Les normes sont définies de façon rigoureuse par des (AFNOR), l’Organisme de normalisation néerlandais
organismes créés et mandatés expressément à cet effet. (NEN), l’Autorité indienne de l’identification unique
Dans le cas des normes qui encadrent les technologies (UIDAI), le Bureau indien de normalisation (BIS) et
de l’information et des communications (les TIC), ces l’Organisme pakistanais de normalisation (PSA).
organismes, avec l’appui d’experts, fixent, surveillent et
actualisent en continu les normes techniques destinées à • Consortiums d’entreprises. Des consortiums
satisfaire des besoins variés. Sans pour autant s´y limi- d’entreprises et quelques organisations à but non
ter, ces organismes se concentrent sur la production de lucratif participent également, soit à l’élaboration
normes liées aux divers protocoles qui facilitent la fonc- des normes, soit à la promotion de bonnes pratiques
tionnalité et la compatibilité des solutions techniques et visant à satisfaire les besoins de leurs membres.
garantissent ainsi l´interopérabilité entre les systèmes. Principaux exemples : le Biometric Consortium,
Ces normes, et les mises à jour qui s’y rapportent, sont consortium parrainé par le gouvernement des États-
régulièrement publiées à l’intention du public2. Unis, la Secure Identity Alliance (SIA), le Center
2
FAQ de l’IEEE (lien)
7for Identification Technology Research (CITeR), le Normes techniques pour assurer l’interopérabilité
Biometrics Council de l’IEEE, le Biometrics Institute
Les normes relatives à l’interopérabilité relèvent des six
(Australie), la Smart Card Alliance, l’International
grands domaines ci-dessous :
Biometrics and Identification Association (IBIA),
l’initiative Kantara, Open Identity Exchange,
Open Security Exchange, l’Asian Pacific Smart 1. Biométrie – Norme d’image. Plusieurs normes
Card Association (APSCA), l’Organization for the concurrentes sont utilisées pour prendre une image
Advancement of Structural Information of Standards du visage (PNG, JPEG, JPEG2000 dans la plupart
(OASIS), la Fast IDentity Online (FIDO) Alliance et des systèmes, et éventuellement GIF/TIFF (normes
l’Open ID Foundation. propriétaires) dans quelques-uns). L’image des
empreintes digitales a recours aux normes JPEG,
JPEG2000 et WSQ. L’image des empreintes digi-
Si on observe les grands organismes de normalisation, on
tales a recours aux normes JPEG, JPEG2000 et
constate que les pays et les consortiums d’entreprises les
WSQ. Des notes sont proposées pour guider le choix
plus actifs (par l’entremise des sous-comités et groupes
de la norme d’image, notamment pour les images du
de travail, par exemple) sont en contact et collaborent
visage ou des empreintes digitales.
avec l’Organisation internationale de normalisation, ou
ISO, pour modifier ou confirmer les normes qui concernent 2. Biométrie – Pour assurer la reconnaissance biomé-
leurs besoins. Voir l’Annexe A pour en savoir plus sur les trique dans un environnement à systèmes ouverts
comités, sous-comités et groupes de travail techniques de (au sens où le système va interagir avec d´autres
l’ISO qui travaillent sur les normes concernant le cycle de systèmes externes ou où le système utilise des appli-
vie de l’identité numérique. cation open source), il est indispensable d’appliquer
des normes qui encadrent les formats d’échange
de données biométriques et d’autres qui encadrent
les interfaces biométriques si l’on veut garantir un
5.3 Normes techniques échange complet, qui atteste de l´intégralité et de
l´intégrité des données transmises, et une interopéra-
La présente rubrique énumère les normes techniques bilité optimale. Les données biométriques conformes
recensées pour les systèmes d’identité. Elles concernent à un format d’échange de données biométriques cer-
pour la plupart le justificatif utilisé pour authentifier l’uti- tifié ISO 19794 représentent la composante essen-
lisateur. Le présent rapport ne contient et ne décrit pas tielle de l’interopérabilité biométrique. Les normes qui
les normes techniques qui concernent les applications encadrent les formats d’échange de données biomé-
d’identité partagées avec une application logicielle (appli- triques définissent des formats différents selon les
cation web / ordinateur de bureau / portail). Les normes modalités biométriques utilisées. Les parties qui s’en-
techniques sont regroupées en deux tableaux. Le premier tendent sur un format d’échange de données biomé-
tableau dresse la liste des normes nécessaires pour assu- triques certifié ISO 19794 devraient pouvoir décoder
rer l’interopérabilité. Le second dresse la liste des normes leurs données biométriques mutuelles sans difficulté.
qui concernent la fiabilité des systèmes d’identification et Les normes applicables à l’interface biométrique sont
énoncent diverses contraintes, en matière de sécurité et les normes ISO 19785 – Technologies de l'informa-
de qualité notamment. Ces normes sont réexaminées en tion – Cadre de formats d'échange biométriques com-
continu par les organismes de normalisation. Dans les muns et ISO 19784 – Technologies de l'information
deux tableaux, les normes sont accompagnées d’un lien – Interface de programmation d'applications biomé-
dirigeant vers un site Internet contenant des informations triques (BioAPI). Ces normes facilitent l’échange de
à propos de la norme en question. La page du site de l’ISO données biométriques au sein d’un même système
énumérant les différentes normes donne des informations ou parmi plusieurs systèmes. La norme ISO 19785
sur la version la plus récente de la norme en question, définit la structure de base d’un registre d’informa-
si elle est disponible, et contient un lien dirigeant vers tions biométriques (BIR) normalisé, qui comporte le
cette version. registre dans lequel est consigné l’échange de don-
nées biométriques, avec des métadonnées comme la
date de saisie, la date d’expiration, la présence de
chiffrement ou non, etc. La norme 19784 définit une
API système ouverte, qui facilite les communications
entre les applications logicielles et les services de
technologie biométrique sous-jacents.
3. Carte / Carte intelligente – Pour les pays qui délivrent
un justificatif tangible, carte d’identité électronique
physique, par exemple, les normes comme ISO 7810
sont utiles pour assurer l’interopérabilité et l’inter-
connectivité. Pour les cartes avec contacts sur les-
quelles est insérée une puce informatique en relief,
8la norme ISO / IEC 7819 s’applique par- FIGURE 3 Normes pour système d’identification
tout dans le monde. Pour les cartes sans
contact, lorsque la puce informatique est
incorporée à l’intérieur de la carte, c’est CHOIX
la norme ISO / IEC 14443 qui est suivie.
Pour les cartes qui peuvent également
servir de documents de voyage élec-
troniques, incluant les cartes d´identité, Normes
les passeports, les permis de conduire biométriques
électroniques et les autres documents
de voyage lisibles à la machine (MRTD)
utilisés pour franchir les frontières, la
conformité à la norme OACI 9303 est Normes
préconisée. Chaque système d’identité
sélectionnera un type de carte en fonc-
encadrant
les documents
tion de critères variés, comme le coût ou
les éléments de sécurité.
Normes
4. Signatures numériques – Plusieurs
pour système Normes
normes non concurrentes sont indiquées. d’identification encadrant
Elles s’appliquent en fonction de l’utilisa-
tion de la signature numérique pour les les signatures
systèmes d’identité. numériques
5. Code à barres 2D – La colonne contenant
les notes d’aide au choix de la norme pré- Normes
sente les avantages et les inconvénients encadrant
des deux formats de codes à barres à
deux dimensions couramment utilisés
les codes
dans les systèmes d’identité, le PDF417 à barres
et le code QR.
6. Protocoles de fédération – On a de plus
en plus recours à l’association Open Protocole
ID Connect et OAuth pour répondre de fédération
aux besoins de fédération, alors que le
protocole SAML a été beaucoup utilisé
précédemment.
La liste des normes applicables pour un sys- 2. Les normes citées à l’extrémité de la branche de
tème d’identité va consister en la somme des normes rete- l’arbre sont les normes applicables en fonction des
nues dans chacune des six catégories ci-dessus. décisions prises en matière de choix de technologie
et de conception système.
La figure 4 présente un schéma d’arbre de décision, qui 3. À certains embranchements, il faudra choisir parmi
permet de sélectionner les normes applicables en fonction plusieurs normes concurrentes. Le tableau contient
des technologies retenues pour la mise en œuvre du sys- des notes d’aide au choix qui aideront à sélectionner
tème d’identification. l’une des normes concurrentes disponibles.
4. Le tableau dressant la liste des normes contient une
1. Partir du sommet et descendre le long de l’arbre en brève description des normes et un lien renvoyant
suivant chaque branche tant que la catégorie de à celles-ci.
technologies ou de normes mentionnée à chaque
embranchement s’applique au système d’identité.
Normes techniques pour des systèmes d’identité fiables
Le tableau « Normes techniques pour des systèmes aux responsables de la mise en œuvre des systèmes
d’identité fiables » énumère les normes qui contiennent d’identification les moyens d’adopter des lignes directrices
des lignes directrices concernant les aspects des sys- et des bonnes pratiques en terme de normes pour leurs
tèmes d’identification liés à la qualité, aux méthodes d’es- systèmes. Dans le cadre de son système Aadhaar, l’Inde
sai, à la confidentialité des données et à l’accessibilité, en a par exemple publié un document définissant des lignes
vue de renforcer la fiabilité de ces systèmes. Elles donnent directrices en matière de sécurité encadrant le recours à la
9Vous pouvez aussi lire
