Cyberidentité, questions en suspens (Ph. Davadie)
Par Olivier Kempf le mercredi 6 février 2013, 20:20 - Cyber - Lien permanent
La question de la cyberidentité a suscité, voici quelque temps, un débat fourni sur égéa. Il est nécessaire d'y revenir. C'est pourquoi je suis heureux d'accueillir ce texte de Philippe Davadie, qui aborde un peu plus précisément la question. Ou plus exactement qui soulève, de façon ordonnée, les principales questions soulevée par le sujet. Mais on ne trouve de solution à un problème que si on pose la bonne question !
L'usurpation d'identité via l'internet est un sujet qui préoccupe de plus en plus, ce qui est compréhensible au vu du fort développement des activités réalisées grâce à ce média.
Quelques exemples récents l'illustrent :
- le faux tweet de Torreton adressé à Depardieu, démenti par l'épouse de Torreton ;
- l'alerte relative à facebook car des applications liées à ce système enverraient des billets (posts) en lieu et place du propriétaire du compte sans le prévenir.
Ces exemples, pour pertinents qu'ils soient, biaisent dès le départ le sujet. En effet, ils ne concernent que des usurpations d'identité privée, alors qu'il est également possible d'usurper l'identité d'une personne morale, tant une institution (faux courriels de hameçonnage par exemple) qu'une entreprise car un concurrent pourrait annuler ou modifier une commande passée via l'internet. De plus, ils ne concernent qu'un nombre restreint d'actes réalisables via l'internet.
Malgré la double restriction évoquée supra, la question de la preuve de l'identité dans le cyberespace pose principalement quatre problèmes :
- quels éléments constituent l'identité déclinable sur l'internet (nom, prénom, etc.) ;
- par quels moyens prouver son identité sur l'internet ;
- faut-il que chaque internaute dispose d'un « passeport électronique » comme le préconisait en septembre 2009 M. Kasperky ;
- à quelles occasions faut-il contrôler l'identité des internautes ?
Par quels éléments définir une cyberidentité ?
Avant de débuter toute argumentation, il convient de définir le terme cyberidentité. Nous appellerons cyberidentité l'identité permettant d'identifier chaque internaute, qu'il soit ou non connecté, de même que l'identité réelle permet d'identifier chaque personne dans le monde réel. À l'instar de l'identité réelle, la cyberidentité doit être précise, exhaustive, univoque et appropriable par l'intéressé.
Cette question des éléments constitutifs de la cyberidentité est pertinente, car le cyberespace n'est pas une simple transposition informatique ou numérique d'un milieu physique dans lequel nous évoluons au gré de nos besoins ou envies (terre, air, mer). Il possède deux caractéristiques qui le distinguent de ces trois milieux physiques : il permet l'ubiquité et il est hypermnésique. En effet, je peux simultanément traiter des affaires avec un interlocuteur situé à Rio et un autre à Vladivostok, et tout ce que je fais sur l'internet est enregistré pendant une durée potentiellement illimitée.
Cette hypermnésie pose la question incidente de la durée de conservation des traces. En effet, si un État décide de fixer une durée maximum de conservation des traces de connexion, est-il sûr que les identifiants de connexion antérieurs à la date permise par la loi sont effacés ? Car il est envisageable que leur propriétaire les ait conservés et simplement déconnectés de l'internet.
Ceci dit, de quoi peut se composer la cyberidentité ? Des mêmes éléments que ceux requis pour l'identité réelle ? Mais ceux-ci ne sont pas universels. Selon le pays dans lequel on vit, la filiation est primordiale ou accessoire pour justifier son identité. Et surtout, quelle est la pertinence de mentionner dans sa cyberidentité des éléments inutiles pour identifier une personne sur l’internet ? Si la taille et le sexe sont pertinents pour identifier une personne dans le monde réel, ces éléments deviennent inutiles dès que l'on entre dans le cyberespace.
Le nom et le prénom sont utiles dans le monde réel, moins dans le cyberespace et, tant dans le monde réel que dans le cyber, ils ne préservent pas des homonymies.
Nous pouvons alors déduire de ce qui précède que comme les caractéristiques physiques ne permettent pas d'identifier un internaute, elles ne peuvent servir de base à une cyberidentité. Il est donc nécessaire, si on tient absolument à définir une cyberidentité, de trouver des éléments précis, exhaustifs et univoques.
Vient alors à l'esprit l'hypothèse suivante : puisque le cyberespace est un lieu où le numérique est prépondérant, puisqu'on y trouve abondance de 0 et de 1 à l'état brut (si l'on peut dire), alors pourquoi ne pas définir une identité numérique au sens propre, c'est-à-dire élaborée à partir de chiffres et formant un nombre unique ? En France, le numéro INSEE en est un excellent exemple. En préfixant ce numéro1 par un code propre à chaque pays, chaque internaute se verrait porteur d'une cyberidentité universelle, précise, exhaustive et univoque.
Certes, mais il lui manquerait le dernier élément de l'identité, à savoir qu'elle ne serait pas appropriable par les intéressés. Qui, en effet, est capable de déclarer, le plus sérieusement du monde, que son identité, donc ce qui le résume, est une pure suite de chiffres ? Au contraire, cette nouvelle identité générerait un fort refus, puisqu'un des slogans souvent entendu dans différentes contestations est « nous ne sommes pas des numéros ! ».
De plus, la CNIL a rejeté l'idée selon laquelle le numéro INSEE pourrait figurer dans toutes les demandes envoyées à l'administration, car la facilité des recoupements possibles serait attentatoire aux libertés publiques.
Enfin, cette solution « numérique » signifierait que les parents ne peuvent plus donner d'identité à leurs enfants, puisque l’État y pourvoirait, au moins partiellement, dans le cyberespace. Où résiderait alors la liberté individuelle ?
Prouver sa cyberidentité
Bien que cette première question des éléments constitutifs de la cyberidentité ne soit pas encore résolue, elle appelle tout naturellement la seconde, comment prouver son identité sur l'internet, c'est-à-dire par quels moyens ?
Les moyens utilisés pour prouver la cyberidentité de l'internaute doivent être fiables, car l'identité doit être inviolable2, ce qui signifie que le support de la cyberidentité doit être infalsifiable et que les moyens de contrôle de cette cyberidentité ne doivent pas pouvoir être piratés. De plus, comme l'internet est hypermnésique, les bases de données dans lesquelles sont mentionnées les éléments du contrôle de la cyberidentité (lieu3, date, heure, notamment) doivent également être fortement sécurisés.
Contrairement aux problèmes soulevés par l'interrogation précédente, ceux que soulève la présente question sont essentiellement d'ordre technique. L'habitude d'une navigation très rapide sur l'internet ayant été prise, il est indispensable que les opérations de contrôle de cyberidentité soient rapides et ne ralentissent pas la navigation de l'internaute.
Mais si le contrôle est rapide, une éventuelle profusion de contrôles risque de ralentir la navigation. Apparaît alors la nécessité de définir une durée de validité du contrôle d'identité qui pourrait être exprimée en temps ou en nombre de rebonds sur les sites visités par exemple. Là encore, le dispositif retenu pour signaler que l'internaute ne doit pas être contrôlé doit être vérifiable rapidement pour ne pas ralentir la navigation.
Une autre question, tout aussi technique, se pose. Comment peut-on actuellement sécuriser un éventuel titre de cyberidentité, son dispositif de contrôle et le lieu de stockage des données ainsi récoltées, alors que les failles de sécurité sont, si ce n'est incalculables, du moins en grand nombre ? Quelle confiance peut-on avoir envers une société qui déclarera avoir sécurisé les titres de cyberidentité, si un jour elle se fait, elle aussi, pirater4 ?
Cette question n'est pas identique à celle des vols d'identifiants de cartes bancaires, car si dans ce cas le préjudice est facilement estimable dans l'attente de la fabrication d'une nouvelle carte, en cas de vol de cyberidentité, le préjudice n'est pas aisément estimable. Et changer de cyberidentité en cas de vol de la précédente revient alors à ne pas en disposer, car les changements sont potentiellement très nombreux et ne peuvent cesser qu'à la mort de l'internaute.
Le titre de cyberidentité
Supposons que les questions précédentes soient résolues, que les éléments constitutifs de la cyberidentité aient été définis et que le processus de preuve de la cyberidentité soit également validé.
Se posent alors les questions de la délivrance et de la détention d'un titre de cyberidentité.
Qui délivrera les titres de cyberidentité ? Les États dont les internautes sont les citoyens (mais est-ce pertinent si l'internet n'a pas de frontières ?) ou un organisme supranational chargé de la régulation dans le cyberespace ? Ce qui pourrait être au moins tout autant pertinent puisque l'accès au cyberespace est possible à partir de n'importe quel pays de la planète. Et comme les organismes chargés de la délivrance de ces titres (États ou organisme supra-national) feront vraisemblablement sous-traiter leur réalisation, qu'adviendra-t-il de ces données en cas de changement ou de défaillance du prestataire de service ? À qui seront-elles réputées appartenir ?
Quelle sera la durée de validité du titre de cyberidentité ? Faudra-t-il le renouveler régulièrement, mais sur quelles bases, ou sera-t-il valable indéfiniment ? Puisqu'on peut légalement changer de nom, donc d'identité, dans le monde réel, cette procédure sera-t-elle applicable dans le cyberespace ?
L'organisme qui délivrera ces titres sera-t-il également habilité à les supprimer ? Selon quelles modalités et pour quelles raisons cette suppression aura-t-elle lieu ?
Si le cyberespace se distingue du monde réel du fait de sa création par l'homme, certaines questions posées dans le monde réel n'en ont pas moins un impact dans le cyberespace. Ainsi des clandestins et des apatrides.
S'il revient aux États de délivrer des titres de cyberidentité, comment géreront-ils la question des clandestins à l'intérieur de leurs frontières physiques ? Ceux-ci exigeront-ils un titre de cyberidentité pour naviguer sur l'internet ? Mais alors, comme certains refusent de déclarer leur identité réelle pour ne pas être expulsés vers leur pays d'origine, comment leur donner une cyberidentité qui ne sera pas usurpée ? Et comme il ne peut qu'y avoir un lien fort entre cyberidentité et identité réelle, le pays hôte se substituera-t-il au pays d'origine pour donner une identité réelle et légale à ces personnes ?
Mais dans ce cas, comme on ne peut ignorer l'existence d'organisations criminelles spécialisées dans la traite des êtres humains, cela revient à leur accorder de facto la possibilité de se constituer un stock de cyberidentités valables, puisque leurs détenteurs viendront demander « asile » dans différents pays, au gré de leur « employeur ». Quant aux apatrides, si cette question a perdu de son acuité depuis la fin de la guerre froide, sommes-nous sûrs qu'elle est derrière nous ? Les apatrides seront-ils, de facto, exclus de l'internet ?
Contrôler la cyberidentité
Si le titre de cyberidentité voyait le jour, se poserait la question de savoir à quel moment il serait exigé. Le serait-il dès qu'on se connecte à une machine reliée à l'internet ou dès qu'on souhaite accéder à l'internet ? Dans le premier cas, cela signifie qu'une personne ne disposant pas de titre de cyberidentité se verrait refuser l'accès à toutes les ressources informatiques existantes, ce qui peut sembler un bien dur châtiment qui, d'ailleurs, serait applicable pour quel type de fautes ?
Si l'on part du principe que la cyberidentité doit être déclinée dès que la connexion à l'internet est demandée, faudra-t-il alors déclarer son identité pour envoyer un courrier électronique ? Dans ce cas, quel avenir pour le secret des correspondances ?
Et, de même que dans le monde réel les passeports diplomatiques procurent une certaine immunité, verrons-nous apparaître leur équivalent dans le cyberespace ? Quelles seront alors les privilèges conférés à leurs détenteurs ?
Une des commodités de l'internet est de tester ses idées par l'intermédiaire de pseudo. Notons cependant que les pseudonymes n'ont pas attendu l'ère numérique pour être utilisés, des écrivains s'en sont parfois servi : le doublon Romain Gary / Émile Ajar en est un récent exemple. Si la connexion à l'internet impose de déclarer son identité réelle, quel est l'avenir de ce dispositif ? Existera-t-il un service officiel d'anonymisation qui, en échange de la déclaration de sa véritable identité remettra à l'internaute un pseudonyme ? Qui conservera ces correspondances entre identité et pseudonyme ? Et qui sera habilité à lever l'anonymat du pseudonyme ?
Enfin se pose l'épineuse question des contrôles d'identité, car si des titres de cyberidentité sont délivrés, c'est bien pour qu'ils soient utilisés, donc pour que chaque internaute prouve son identité lors d'un contrôle.
Qui sera donc habilité à contrôler les identités ? Uniquement des cyber forces de l'ordre (ou des cyber forces du cyber ordre?) ? Mais selon quelles bases légales, et dans quelles limites « territoriales » si l'expression est permise.
Car si l'internet n'a pas de frontières, un cyber policier allemand sera-t-il habilité à contrôler la cyberidentité d'un internaute français qui consulte à partir de son ordinateur personnel, installé physiquement en France, un site dont les serveurs sont en France ? Cela peut sembler absurde, sauf si la connexion est transmise par un serveur situé physiquement en Allemagne. Mais que va-t-il contrôler ? Que l'internaute a le droit de fureter sur l'internet à une heure tardive ou les sites qu'il compte consulter ? Et si l'internet a des frontières, alors cela signifie qu'un pays hostile à celui de l'internaute peut lui refuser l'accès à ses ressources pour des motifs hautement estimables de son point de vue, mais pas forcément de celui de l'internaute.
Si le contrôle est à la charge des sites visités, une fois encore, quelle sera la base légale de ces contrôles ? Tous les sites internet accepteront-ils d'effectuer ces contrôles et d'en respecter les règles ? On peut en douter lorsqu'on a vu il y a quelques temps, les médecins et pharmaciens se soulever contre l'obligation qui leur serait faite de refuser la délivrance de soins ou de médicaments à une personne présentant une carte vitale ornée d'une photo autre que la sienne. De plus, nous pouvons nous demander s'il est utile ou nécessaire de systématiquement décliner sa cyberidentité pour acheter via l'internet ou s'y promener, alors que ce n'est pas toujours le cas dans le monde réel.
Poursuivons, quelles seront les bases légales du refus d'accès à une ressource disponible sur l'internet ? L'âge ? Mais cela peut varier d'un État à l'autre. La nationalité ? D'autres critères, mais lesquels alors ?
Et s'il y a refus d'accès, il faudra que le vigile qui, soit dit en passant, pourra être un algorithme ait de bonnes raisons de refuser l'accès. Qui donc vérifiera l'implémentation des algorithmes ? Seront-ils infaillibles ? Au vu de la controverse soulevée à propos du référencement des sites selon l'algorithme utilisé par le moteur de recherche, le débat risque d'être passionné à défaut d'être passionnant car réservé aux seuls techniciens des algorithmes. Ne court-on pas le risque d'une censure ou d'un contrôle plus que strict de l'internet ?
Et qui dit refus d'accès dit contentieux. Comment prouver le refus d'accès ? Délivrera-t-on un récépissé de refus d'accès ? Et quelles seront les voies de recours possibles ? Quel procédure sera utilisée ? Quel délai sera nécessaire pour trancher ? Car si l'unité de temps dans le cyberespace est de l'ordre de la fraction de seconde (qui tend d'ailleurs à diminuer de plus en plus), l'unité de temps de la justice des hommes est plutôt le mois. Sauf pour les comparutions immédiates, mais cela suppose que l'auteur des faits soit déjà identifié.
Enfin un dernier point doit être évoqué. Dans le monde réel, particulièrement dans les banlieues françaises, les contrôles d'identité sont mal vécus car estimés discriminatoires et vexatoires, leur répétition ne faisant qu'amplifier les choses. À quelles occasions faudra-t-il vérifier les titres de cyberidentité ? Exceptionnellement ou de manière régulière ? Mais si c'est de manière régulière, ce qui est mal dans le monde réel sera-t-il subitement paré de toutes les cyber vertus ? La rapidité du contrôle le parera-t-elle de toutes les (cyber) vertus, prétexte à une fréquence qui, dans le monde réel, serait qualifiée d'abusive ?
Conclusion
La question de la cyberidentité n'est donc pas aussi simple qu'il y paraît, car elle ne peut se résumer à des identifiants permettant l'authentification sur l'un ou l'autre site visité. Elle soulève des questions fondamentales qu'il n'est pas possible d'occulter sous peine de bâtir un cyberespace sur des bases chancelantes.
Elle prouve, si besoin était, que le cyberespace n'est pas simplement un milieu nouveau comme l'ont été la mer et l'espace au moment de leur conquête, mais qu'il est un révélateur actuel des questions qui fondent une civilisation : qu'est-ce qu'une personne, quelle est son identité, quels rapports l’État et l'individu peuvent-ils établir, comment l’État s'accommode-t-il de la liberté de ses citoyens ?
Cependant, si on pense, comme certains philosophes que « toute l'individualité de l'homme s'inscrit dans son corps5 » comment peut-on alors définir une identité dans un monde dématérialisé comme l'est le cyberespace ? On en vient à se demander si l'impossibilité de disposer de moyens techniques garantissant l'inviolabilité de la cyberidentité n'est pas caractéristique du cyberespace, ce qui pose la question de la cyberidentité d'une manière différente : sa définition ne créerait-elle pas davantage de problèmes que de solutions ?
Philippe Davadie
- Ou un équivalent pour chaque pays du monde.
- La recherche permanente de titres d'identité infalsifiables en est une preuve dans le monde réel.
- Si tant est que ce terme ait un sens dans le cyberespace. Ce pourrait être le site internet visité, mais la migration du serveur de site d'un pays vers un autre pourrait créer des complications en cas de vérification des sites visités par un internaute.
- Au premier semestre 2011, la société RSA a été victime d'une attaque visant à récupérer des éléments relatifs à leur système d'authentification forte SecurID.
- Aline Lizotte in La personne humaine.
Commentaires
Un grand merci tout d'abord!
Ressortissant de ...
Les contrôles d'identité dans la vie hors -encore possible?- et dans Cyber se font habituellement au travers du binôme document présenté/présence de l'humain concerné. Reconnaissance biométrique ou autre pour accéder au mini-portique de chaque poste connecté? DOS sinon, base Interpol des marqueurs biométriques perdus ou volés? Certes, mais les infractions sont constatées principalement à des points de passage obligés...
Comment se sont organisées les indiens pour leur recensement à vocation exhaustive, et l'attribution à chacun d'un document d'identification?
Des questions, un questionnement plutôt; pas de réponse...Désolé!
« Vous aurez beau dire, n’y a pas que seulement que de la pomme. Ce serait pas de la betterave ? »
Voici deux petites observations qui feront peut-être avancer le schmilblick bien que je sois un peu « largué » dans ce domaine.
1 On semble confondre « identité » et « identification », ce qui n’est pas exactement la même chose : l’identité dans le cyber espace ne sert à rien. Ce qui est utile, c’est l’identification limitée à l'usage que l'on veut en faire. Exemples : pour un achat dans le e-commerce, comme pour un retrait dans un DAB, ce qui est utile c’est le numéro de la carte, non de savoir si le titulaire a les oreilles décollées, si sa grand’ mère faisait du vélo ou s’il aime le calva. Je crois d’ailleurs me souvenir (je ne suis pas sûr) que la collecte et le stockage électronique d’infos personnelles est strictement cadré par une loi de 1978 dite « informatique et liberté ». Par conséquent, il faut s’intéresser à l’identification limitée aux seuls besoins de la transaction et non s’intéresser à l’identité des utilisateurs.
Même chose dans le cas de la poursuite des infractions : si sur ce blog je transgressais la loi de 1881 et me rendais passible de poursuites judiciaires, les enquêteurs devraient pouvoir m’identifier avec certitude. Ce n’est pas l’identité qui importe, mais l’identification. On pensera peut-être que je pinaille, mais je ne crois pas et c’est pourquoi je souligne la différence.
2 L’illustration de ce billet, avec cette empreinte digitale, oriente vers l’identification des personnes physiques. Mais il faut penser à l’identification des personnes morales qui peuvent elles aussi transgresser la loi dans le cyberespace, ce qui fait que le problème est vaste : ça va de la grosse entreprise avec pignon sur rue (par exemple une banque qui offrirait des comptes courants rémunérés, ce qui je crois est interdit en France, par bascules automatiques du livret A au compte chèque et inversement à chaque fois qu'une transaction a lieu sur le compte concerné) jusqu’aux associations de malfaiteurs qui se rendent coupables d’escroquerie organisée, échappant à l’identification individuelle précisément grâce à leur organisation. Par conséquent le champ est très vaste et difficile à couvrir par des principes généraux qui s’adapteraient à tous les cas.
égéa : Yves, l'avantage du cybe, c'est que tout le monde est largué donc tout le monde a qq chose à dire si c'est pertinent. La matière est par construction interdisciplinaire !
En outre, je sais que vous portez une grande attention aux illustrations que je place en tête de billet. Sachez qu'elles sont u peu le fait du hasard et de la recherche du moment, et qu'elles ne sont pas "pensées". Mais l'intuition est un facteur important d'accès à la vérité, et j'accepte donc tout à fait vos interprétations. Mais il s’agit d 'interpréter des intuitions, non des "pensées" écrites comme celles du billet.
Identité / identification (ou plutôt authentification)
Pour que des enquêteurs identifient un contrevenant avec certitude, il faut qu'ils apportent les éléments de preuve suffisants pour que le magistrat soit convaincu que celui qui signe X le billet incriminé soit bien X, né le ... à ... Sinon, rien n'empêche Y de signer X (cf. faux tweet de Torreton).
Si l'authentification suffit pour effectuer les démarches courantes, l'identité de l'auteur des démarches est indispensable en cas de contestation.
Sinon, nous sommes dans le cas de propriétaires de tracteurs qui reçoivent des avis de contravention parce qu'ils ont été flashés à 180 km/h sur l'autoroute.
@n°3 Bien sûr, les éléments de preuve, vous avez raison. Mais la difficulté réside dans l’identification (c’est-à-dire l’action d’identifier) et non dans l’identité elle-même. J’interviens dans ce débat citoyen parce que je vois que les raisonnements fondés sur la cyberidentité (qui serait une solution facile pour la cyberidentification, mais une solution liberticide) conduisent à la création d’une espèce de cyber-Ausweis ou à l’équivalent du permis de conduire sur la Toile. Un permis de s’exprimer, ce serait un peu beaucoup contraire au principe de la liberté d’expression, suffisamment cadré aujourd’hui par la loi de 1881.
Dans le cas du véhicule en excès de vitesse (on écarte évidemment le cas du tracteur à 180 sur l’autoroute), le coupable est le conducteur et c’est lui qu’il faut identifier pour le sanctionner : du fait que cette identification est impossible, on sanctionne le propriétaire du véhicule à moins qu’il dénonce le conducteur. Il s’agit bien d’une question d’identification (action d’identifier) et non d’identité, qui ne pose pas de problème en elle-même.
Je comprends que mon objection ci-dessus ressemble à du pinaillage, mais non : je vois que le débat présente deux défauts qui sont courants lorsqu’on examine les problèmes de société. 1 l’illustration par des cas limites dont la presse fait généralement des gorges chaudes : ils posent effectivement problème mais font oublier le fond de la question. 2 le glissement sémantique qui mène à des solutions inadaptées.
Heureusement on n’est pas dans un de ces débats télévisés qui cultivaient de telles approximations pour déclencher les passions et donc attirer l’attention du public. Merveille d’internet : on peut débattre posément.
Et je reviens au sujet : peu importe que l’argument développé le soit par vraiment moi, né le…à …, ou par quelqu’un d’autre (après tout « yves cadiou » pourrait être un pseudo et non pas mon vrai nom) : c’est l’argument en lui-même qui importe, non l’identité de celui qui le présente. Sauf en cas d’infraction à la loi de 1881 : dans ce cas, il faudra une identification et pour ça il est inutile, et liberticide, de créer une cyberidentité.
Le problème, dès qu'il s'agit d'imputer un quelconque acte à quelqu'un est bien l'identification de l'auteur.
La difficulté est déjà apparue avec les radars automatiques qui imputent a priori la faute au conducteur déclaré du véhicule identifié par la photo, ce qui pose le problème des fausses plaques, mais aussi des vraies doublettes. C'est une des limites de l'automatisation, encore que nous rencontrons les mêmes problèmes avec les témoignages humains. Pour imputer des faits de manière certaine, il faut contrôler l'identité du fautif juste après qu'il a commis son forfait...
Dans le cyberespace, où par définition la présence physique est plus que restreinte, la difficulté n'en est que plus ardue. D'où les tentations de créer des certificats d'identité numérique, la dernière à ma connaissance ayant été (re)lancée par Fleur Pellerin à Lille : Fleur Pellerin a annoncé "le lancement d’un projet d’identité numérique. Dans le cadre des investissements d’avenir, l’État, le Groupe La Poste, Euro-Information (Groupe Crédit Mutuel/CIC), ainsi que Pages Jaunes et SFR se sont unis pour créer la société Idénum. Sa mission sera de fédérer en France le plus grand nombre d’acteurs du numérique autour de référentiels communs et de solutions d’identités numériques universelles. Pour la ministre, l’objectif est de « préserver notre souveraineté nationale face aux alternatives étrangères et non sécurisées »."
D'où la profonditude de ma perplexité qui m'a poussé à commettre ce billet.
égéa : oui, mais alors, c'est pas bien, ce certificat d'identité numérique ? au début, il n'y avat pas de carte d'identité et on l'a créée. IL n'y avait pas de permis de conduire et on les a créés. Il n'y avait pas d'empreinte digitale, d'ADN, de biométrie... et on a trouvé. Pas de carte bleue avec code et numéro de certification à trois chiffres.... etc. C'est ...on, IdeNum ?
Est-ce bien IdeNum?
L'internet étant un espace de liberté, cela dépend de quel côté on se place.
Si on se place du côté de l’État totalement libre, il faut alors qu'il soit libre de contrôler tout ce qui se passe sur le net, au détriment de la liberté individuelle, mais pour notre plus grande sécurité.
Du côté de l'homme libre, je ne peux que laisser la parole à Bernanos, dans "La France contre les robots" « L'idée qu'un citoyen, qui n'a jamais eu affaire à la justice de son pays, devrait rester parfaitement libre de dissimuler son identité à qui il lui plaît, pour des motifs dont il est seul juge, ou simplement pour son plaisir, que toute indiscrétion d'un policier sur ce chapitre ne saurait être tolérée sans les raisons les plus graves, cette idée ne vient plus à l'esprit de personne. Le jour n'est pas loin peut-être où il nous semblera aussi naturel de laisser notre clef dans la serrure, afin que la police puisse entrer chez nous nuit et jour, que d'ouvrir notre portefeuille à toute réquisition. Et lorsque l'État jugera plus pratique, afin d'épargner le temps de ses innombrables contrôleurs, de nous imposer une marque extérieure, pourquoi hésiterions-nous à nous laisser marquer au fer, à la joue ou à la fesse, comme le bétail ? L'épuration des Mal-Pensants, si chère aux régimes totalitaires, en serait grandement facilitée. »
M'est avis qu'IdeNum (et ses innombrables variantes), c'est un peu laisser notre portefeuille ouvert avant même qu'on nous le demande.
Il me semble que l'identité est étroitement liée à une notion territoriale. Ainsi, lorsque je voyage hors de France, mon identité française, matérialisée par ma carte d'identité nationale, ne suffit pas. J'ai une identité "internationale" représentée par mon passeport, garantie par la France, et qui est validée par un visa du pays dans lequel je voyage. Parfois, ce pays me donne une autre identité: carte de séjour ou autre.
De même, les territoires dans le cyberespace correspondent à des domaines: sur internet ce sont les sites web, qui vous attribuent une identité que vous créez avec un pseudo et une identification par mot de passe la plupart du temps. Comme pour le passeport, certains domaines garantissent une identité valable sur plusieurs sites à leurs ressortissants: ainsi je peux utiliser mon identité Facebook ou Google+ pour m'identifier sur tel ou tel site. Pour les données bancaires il en va de même: il s'agit d'un autre domaine du cyberespace, le "continent" données bancaires étant divisé en plusieurs "pays" banques...
Les territoires du cyberepace seraient des périmètres de données auxquelles on accède si on a un visa, une identité valide. Sinon on est un clandestin...
Je ne pense pas que l'identité soit à géographie variable. Car l'identité "internationale" est la même que l'identité "nationale", seul le support change pour des questions administratives ou de sécurité ou de contrôle ou de ce qu'on veut.
Quant aux sites web, ils n'attribuent pas d'identité mais simplement des identifiants qu'on peut changer comme on veut.
L'identité est bien plus qu'un identifiant donné par défaut lors de la première connexion à un site internet, de même que l'identité est bien plus que la photographie de la carte d'identité ou l'empreinte digitale demandée pour l'établir.