Label IDéNum, un contrôle centralisé par l’Etat est-il une bonne idée ? par Priscilla Gout

priscillaPriscilla Gout est rédactrice Web au sein de l’équipe éditoriale de RegionsJob depuis deux ans. Elle alimente le contenu quotidien du Fil Info de RegionsJob et du blog Mode(s) d’Emploi avec Fabrice Mazoir. Elle est notamment spécialisée sur la question de L’Emploi au féminin, l’une des rubriques du blog.

IDéNum : « identité numérique multi-services »

En finir avec les multiples mots de passe sur le Web, voilà la volonté première du gouvernement en lançant le label identité numérique multiservices, « iDéNum », dont la version bêta devrait voir le jour d’ici la fin 2010. Il permettra aux internautes français d’avoir une seule identité pour effectuer leurs transactions et leurs démarches en ligne « en toute sécurité ». Il concernera dans un premier temps les sites administratifs mais l’objectif du gouvernement est d’y rallier à terme tous les acteurs de la vie numérique. Mais un tel service, qui plus est centralisé par l’Etat, ne comporte-il pas quelques inconvénients ?

IdNum

1. Le constat : un usage des services en ligne trop complexe

  • Une multiplicité des authentifications

Ce n’est pas une nouvelle, la France accuse un sérieux retard en matière d’e-administration. Les services en ligne dits à forte valeur ajoutée ont chacun de leur côté développé leur système d’identification (banques et assurances en ligne, fournisseurs d’énergies ou de services, grandes entreprises, administration du type CAF, CPAM, impôts, etc.). D’où une multiplication de codes à mémoriser et un certain flou pour les utilisateurs. Pourtant il y a urgence car 76% des internautes français effectuent des démarches administratives en ligne (TNS 2008). Et 35% d’entre eux doivent se connecter à plus de 11 portails différents nécessitant chacun une authentification par login et mot de passe (étude Plugsuit pour Createst – juin 2007).

  • Un système actuel vulnérable

Cette multiplicité des authentifications n’est pas sans conséquence sur la sécurité des données numériques du consommateur. Il faut dire que 33% des internautes utilisent les mêmes mots de passe pour leurs différents comptes en ligne, que ce soit auprès des fournisseurs de services ou d’énergie (eau, gaz, électricité, téléphonie, Internet), des administrations (CAF, sécurité sociale, service public de l’emploi…), des banques, assurances et mutuelles, caisses de retraite, ou les réseaux sociaux (boite email, Twitter, Linkedin, Viadeo, Facebook…). Pire, 50% des internautes les écrivent ou les enregistrent quelque part…

  • Des surcoûts pour les entreprises

Pour les entreprises, la multiplication des logins, mots de passe, et services en ligne a un coût. Par opposition, la dématérialisation des services représente quant à elle une économie non négligeable de plusieurs milliards d’euros par an (40 millions pour le e-commerce, 1,3 milliard pour le secteur financier, 150 millions pour les assurances, 1,3 milliard pour l’administration…) selon le Secrétariat d’Etat à la Prospective.

  • Une méfiance des consommateurs

Toujours selon l’étude TNS de 2008, les internautes les plus prudents sont 27% à ne pas utiliser les services administratifs en ligne par peur du piratage. Pour les non-internautes qui n’envisagent pas d’utiliser Internet, la création d’un label comme IdéNum constitue la mesure qui les inciterait le plus à changer d’avis quant à l’utilisation d’Internet. Toutefois rien n’indique que ces non-initiés se mettront à effectuer leurs démarches en ligne après le lancement du label…

2. IdéNum, LA solution pour un meilleur développement des services en ligne ?

  • Le principe du label

Avec IdéNum, finies les authentifications multiples, partout où l’internaute ira, il pourra s’identifier une seule et unique fois grâce à un e-certificat qu’il « transportera » sur un support physique associé à un code PIN (sa clef USB, son téléphone mobile, une carte à puce…). Les internautes seront libres de choisir s’ils souhaitent utiliser un certificat labellisé IdéNum ou non, et de faire confiance à un opérateur plutôt qu’un autre. Chaque opérateur, parmi lesquels on trouvera SFR, La Caisse des Dépôts, La Poste, la Fédération Française des Sociétés d’Assurance (FFSA) ou encore la Fédération Française Bancaire, proposera son propre certificat. Pour être labellisés iDéNum, les certificats devront être conformes au cahier des charges prévu par l’Etat.

  • Les avantages d’IdéNum

Comparée à une navigation classique, le label comporte de nombreux avantages pour les internautes : plus de simplicité grâce à une seule et unique authentification, un meilleur niveau de sécurité et une meilleure protection des données personnelles, un gain de temps, une meilleure protection de l’identité numérique (en évitant notamment l’usurpation d’identité)… Et les points positifs du projet sont nombreux : liberté de choix du fournisseur et du support ; possibilité de souscrire à un ou plusieurs certificats ; conformité des certificats à un même cahier des charges quel que soit l’opérateur ; pas de capture possible de la preuve d’identité ou de la signature électronique ; niveau de confiance identique pour tous les fournisseurs ; révocation possible de son certificat en cas de perte ou de vol du support physique qui l’héberge…

3. Le débat : les inconvénients d’IdéNum

  • La commercialisation du service

Mais tout cela a malheureusement un prix, dont les modalités n’ont pas encore été fixées pour le moment. « Chaque opérateur est libre de sa politique commerciale. » A titre indicatif, la Belgique propose une carte d’identité électronique valable cinq ans pour un tarif allant de 10 à 15 Euros. Mais une chose est sûre, si le prix français est trop élevé, disposer d’un certificat pourrait être un luxe et la portée du label pourrait en être limitée. L’Etat justifie cette commercialisation par le coût que représente la garantie sur l’identité de l’internaute. « Quelqu’un doit d’une part vérifier qui est l’internaute, et d’autre part prendre la responsabilité de garantir cette identité. » Ce serait là toute la différence entre IdéNum et Open ID, qui est gratuit. Open ID ne garantit pas l’identité, et n’engage donc aucunement sa responsabilité juridique. Cette technologie, tout comme Facebook Connect ou Windows Live ID, proposait l’identification unique bien avant IdéNum, et gratuitement qui plus est. Alors même si la commercialisation d’IdéNum est justifiée par l’Etat, autant dire que cette perspective est très loin d’être populaire auprès des internautes.

  • IdéNum, le nouveau Big Brother ?

Une question sur toutes les lèvres : l’Etat pourra-t-il se servir d’IdéNum pour surveiller les internautes ? Selon Nathalie Kociusko Morizet, qui répondait aux doutes des internautes au sujet d’IdéNum sur son blog le 8 février dernier, l’Etat « n’aurait ni le moyen de savoir quel internaute se procure un certificat, ni celui de tracer les navigations ou les différentes utilisations du certificat. » Il se bornera à en « définir le cahier des charges » et en vérifier la conformité. L’Etat n’aura certes pas le moyen de tracer les internautes mais rien ne l’empêche d’accéder à l’identité des internautes et aux données récoltées par les opérateurs privés en cas d’enquête policière ou sous l’injonction d’un juge par exemple. Les certificats ne comporteront que très peu de données personnelles nous dit-on : le nom, le prénom de l’internaute, et un numéro de certificat. Ce numéro servira justement à différencier les internautes, quoique le problème de l’homonymie reste encore au programme du calendrier du groupe de travail d’IdéNum. Par souci de transparence, l’usage d’un pseudonyme n’est pas envisagé. L’anonymat ne sera donc pas possible sur les sites affiliés. Enfin, aucun enregistrement des données biométriques des internautes n’est prévu dans le label. Mais rien n’empêche donc les opérateurs privés de mettre en place un enregistrement des données personnelles.

Idnum 2

  • Un label franco-français ?

Une autre problématique entache le lancement d’IdéNum : son incompatibilité à l’international. L’Etat a choisi de ne pas utiliser les solutions existantes comme OpenID. Pour le moment, les certificats créés sous le label IdéNum ne seront valables qu’en France. Les voyageurs et expatriés français n’auront donc pas la possibilité d’effectuer leurs démarches en ligne via leur certificat. Un inconvénient qui risque de devenir majeur pour les sites internationaux, alors même que les autres solutions d’authentification déjà existantes comme OpenID sont reconnues au niveau mondial. Pourquoi la France ne s’en est-elle pas inspirée ? Les réponses du gouvernement restent floues à ce sujet : « Ces protocoles ne sont pas forcément basés sur des certificats, explique Anne Murgier, or le niveau de sécurité recherché par IDéNum demandait un certificat. »

  • Des dommages collatéraux

IdéNum comporte également plusieurs risques généraux déjà pointés du doigt par les internautes. Le premier étant la généralisation de l’authentification à tous les sites Internet, blogs, forums, etc. Un phénomène qui pourrait lentement mettre fin à l’anonymat sur la toile et à la navigation libre. Mais une telle évolution est peu probable selon NKM, puisque les études prouvent (cf CNIL) que demander trop d’informations aux internautes les feraient fuir et ne seraient donc pas dans l’intérêt des sites… D’autres questions se posent comme celle de la compatibilité d’IdéNum avec l’utilisation de logiciels libres.

Enfin, la liberté de choix ne se transformera-t-elle pas finalement en obligation ? Souscrire un certificat pour surfer sur le net ou effectuer ses démarches en ligne ne sera a priori pas exigé. A terme, si la technologie se généralise, l’internaute qui ne dispose pas de son login IdéNum pourra-t-il naviguer en toute liberté ? Ne sera-t-il pas bloqué sur les sites qui seront de plus en plus nombreux à recourir à une authentification ? Sur les forums, certains internautes comparent déjà IdéNum à ces nouvelles technologies a priori non obligatoires mais devenues indispensables pour jouir pleinement du service (avoir Internet sans certificat IdéNum reviendrait à acheter un PC sans Windows ou une télévision sans décodeur TNT…).

IdéNum, bonne ou mauvaise idée ?

  • Des regrets…

Déjà, pourquoi ne pas avoir directement lancé la tant attendue carte d’identité électronique (eID) ? IdéNum constituerait « une première étape » vers l’eID selon NKM, dont le processus est jugé très long. D’autres pays comme la Belgique l’ont pourtant déjà mise en place… Avec le label, il s’agit d’aller vite « devant l’urgence des usurpations d’identité » notamment. Pourquoi avoir créé une nouvelle technologie au lieu d’utiliser OpenID, compatible à l’international ? Réponse de l’Etat : « Ces protocoles ne sont pas forcément basés sur des certificats, or le niveau de sécurité recherché par IDéNum demandait un certificat. » Les choix opérés sont finalement assez peu justifiés… Et il semblerait que les directives fixées par IdéNum ne laissent que peu de place à l’ouverture au sens large du terme, autant vers d’autres technologies compatibles que vers l’international en général.

  • Plusieurs points importants à définir

Au-delà des reproches que l’on peut faire à cette première mouture du label, un certain nombre de choses restent à clarifier. En particulier le modèle économique que vont adopter les émetteurs de certificats. Pour le moment on sait seulement que chaque opérateur sera libre d’appliquer son propre tarif. Mais reste à savoir quel sera le niveau de sécurité appliqué, et à quel prix. De plus, rien ne dit que les internautes auront envie de souscrire à un certificat initié par l’Etat à l’heure de la mise en application des lois Hadopi et Loppsi.

A peine lancé, IdéNum connaissait déjà son premier bug quant au nom de domaine de son site, qui avait déjà été déposé par « des petits malins » dans la plupart des extensions fréquemment utilisées. Une erreur de taille qui n’a d’ailleurs pas manqué de susciter les moqueries des internautes et de la presse alors même qu’IDéNum est censé faciliter la gestion de l’identité numérique. L’idée d’une véritable administration en ligne totalement sécurisée est évidemment séduisante. Proposée par l’Etat, elle l’est nettement moins. Même s’il fallait bien que quelqu’un montre l’exemple…

Le site officiel du label : http://www.idenum.fr/
Le blog Mode(s) d’emploi, où officie Priscilla
Son Twitter

OFFRES D'EMPLOI WEB

Responsable Marketing CRM H/F

En collaboration étroite avec la Direction, vous accompagnez la Caisse Régionale dans son développement commercial et prenez la responsabilité de l'équipe CRM composée de 4 personnes. En lien avec le Pôle ...

Concepteur Développeur JAVA H/F

Geser-Best : société de service et d'ingénierie (300 personnes / 10 agences) accompagne ses clients depuis 1990 en proposant une offre de services étendue en France et à l'International allant ...

Concepteur Développeur J2EE H/F

Geser-Best : société de service et d'ingénierie (300 personnes / 10 agences) accompagne ses clients depuis 1990 en proposant une offre de services étendue en France et à l'international allant ...

Commentaires

  1. angela merquelles
    26 mai 2010 - 10h00

    mé c kwa idénum ? un écran de fumée nkm ? sava fonctionner comment , ki va opérer la plate-forme à kelkoo, à partir de demain on raze gratisse ?

Laisser un commentaire

Il est possible d’utiliser ces balises HTML :
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>
Ce blog supporte le système Gravatar, pour obtenir le vôtre, inscrivez-vous sur Gravatar