Les citoyens possèdent généralement de nombreux certificats : carte d’identité, permis de conduire, diplômes, certificats d’aptitudes pédagogiques, cartes bancaires, carte d’assurance maladie, prescriptions médicales, extrait de casier judiciaire, carte de stationnement pour personnes handicapées, titres de propriété, billets de concert… Ces documents peuvent être physiques ou numériques et contiennent des données personnelles souvent sensibles.
Lorsque vous présentez un tel certificat, vous divulguez souvent plus d’informations à propos de vous que celles strictement nécessaires. Or, cela peut poser problème, notamment dans un monde numérique. Les données sont lues en une fraction de seconde et peuvent ensuite être conservées pendant de nombreuses années, ce qui permet de dresser votre profil de manière plus complète.
Voici deux exemples :
Pour acheter de l’alcool ou des feux d’artifice, ou pour accéder à des sites web à contenu érotique, il suffit en principe de prouver que l’on est majeur. Pour participer à des jeux de hasard ou à des paris, l’âge minimal est de 21 ans. La date de naissance exacte, sans parler du lieu de naissance ou du numéro de registre national, n’ont pas d’importance. Ce n’est qu’en cas d’abus, tel que la tricherie, que l’identité de la personne concernée doit pouvoir être révélée.
Pour participer à un sondage organisé par la ville de Louvain, il suffit en principe de prouver que l’on réside effectivement dans cette ville et que l’on n’a pas encore participé, éventuellement en communiquant des informations supplémentaires telles que la tranche d’âge et la commune, à des fins statistiques.
Les technologies de certification couramment utilisées aujourd’hui ne permettent pas une divulgation sélective des données personnelles ; soit vous montrez le certificat complet avec toutes les données personnelles qu’il contient, soit vous ne montrez rien. Au cours des dernières décennies toutefois, de nombreux travaux de recherche et de développement ont été menés pour mettre au point une technologie capable de remédier à cela facilement. Cette technologie, appelée “titres numériques anonymes”, a déjà été abordée dans un précédent article de blog.
Il s’agit d’une technologie favorisant la confidentialité qui recourt aux preuves à divulgation nulle de connaissance (zero-knowledge (ZK)proof) pour divulguer de manière sélective des informations personnelles. Les preuves ZK permettent à une partie de prouver une affirmation (par exemple, être âgé de plus de 18 ans) à une autre partie sans divulguer plus de détails sur cette affirmation (par exemple, la date de naissance exacte). Bien que le titre numérique lui-même soit délivré par un émetteur autorisé, la divulgation sélective ne nécessite plus le recours à un tiers de confiance.
David Chaum a réalisé en 1985 les premiers travaux novateurs et révolutionnaires en proposant une monnaie numérique anonyme. Chaum mettait déjà en garde à l’époque contre l’impact des évolutions technologiques sur la vie privée des citoyens. Sur cette base, les deux premières propositions de titres numériques anonymes ont suivi rapidement. En 2000, Stefan Brands a publié sa solution U-Prove, et en 2001, Jan Camenisch (IBM) et Anna Lysyanskaya (MIT) ont proposé Idemix, une solution plus avancée.
Au cours de ces années, j’ai manié cette technologie dans le cadre de mon doctorat, ce qui m’a valu, entre autres, un best paper award à SECRYPT 2009 à Milan, avec une solution permettant aux détenteurs de titres numériques d’utiliser un service de manière anonyme, mais pas plus d’un nombre déterminé de fois par période, par exemple pas plus de 10 fois par mois.
Caractéristiques
Tout comme pour les certificats numériques classiques, un titre numérique anonyme est délivré par un émetteur autorisé (issuer ou identity provider) au détenteur (holder). Au moyen de preuves ZK, ce dernier peut ensuite prouver de manière sélective des informations issues du titre numérique à un vérificateur (verifier).
Les caractéristiques de base des titres numériques anonymes sont les suivantes :
Infalsifiabilité (Unforgeability). Il est impossible de falsifier un titre numérique anonyme. Seul l’émetteur peut créer des titres numériques anonymes.
Divulgation sélective d’attributs (selective attribute disclosure). Seule une partie sélectionnée des informations contenues dans le titre numérique anonyme est divulguée. Il peut s’agir de valeurs d’attributs, telles que la date de naissance, mais aussi d’informations dérivées, telles que la majorité. Toutes les autres informations contenues dans le titre numérique restent cachées au vérificateur. Idemix et U-Prove prennent tous deux en charge cette fonctionnalité.
Non-corrélabilité (Unlinkability). Des présentations multiples d’un même titre numérique anonyme à un vérificateur (identique ou différent) ne peuvent pas être reliées entre elles. U-Prove ne disposait pas encore de cette fonctionnalité, contrairement à Idemix.
En fonction de la technologie spécifique, des fonctionnalités supplémentaires peuvent être prises en charge, notamment :
Durée de validité limitée. Le détenteur prouve au vérificateur que la date d’expiration du titre numérique anonyme n’est pas encore atteinte, sans divulguer d’autres informations sur cette date d’expiration.
Révocation. Un titre numérique anonyme peut être révoqué, par exemple après que la clé privée correspondante a été compromise ou parce que les données personnelles ont été modifiées, par exemple en cas de déménagement ou de retrait du permis de conduire. Chaque fois qu’un détenteur présente un titre numérique à un vérificateur, il prouve également que l’identifiant du titre numérique figure sur une liste blanche ou qu’il ne figure pas sur une liste noire. Ces listes peuvent être compressées en une seule valeur compacte, laquelle est actualisée à chaque nouvelle révocation. C’est ce que l’on appelle un accumulateur dynamique.
Anonymat conditionnel. En cas d’abus, l’anonymat du détenteur du titre numérique peut être levé, avec la coopération d’un tiers de confiance, et son identité est alors révélée. La justice peut ainsi faire son travail et éventuellement engager des poursuites.
Délégation. Un détenteur de titres numériques peut déléguer des titres numériques anonymes. Une personne pourrait ainsi déléguer son droit (ou son obligation) de vote à son partenaire, ce qui équivaut alors à une procuration. Pour des raisons juridiques, la délégation ne sera généralement possible que pour des individus ayant une capacité juridique et donc pas pour des mineurs, par exemple.
Combinabilité. Une divulgation sélective peut être dérivée de plusieurs titres numériques anonymes, potentiellement émis par différents émetteurs. Par exemple, un détenteur de titres numériques peut prouver avec une seule preuve ZK qu’il est titulaire d’un permis de conduire valide et qu’il est assuré, sans pour autant divulguer d’identifiant commun, tel que son numéro de registre national. Il prouve simplement que les deux titres numériques anonymes contiennent le même identifiant, comme illustré dans un précédent article.
Il est évident que les titres numériques anonymes constituent une technologie particulièrement puissante et recèlent un potentiel considérable. Malheureusement, cela ne signifie pas nécessairement qu’ils sont adoptés à grande échelle. Les sections suivantes traitent 1) des initiatives destinées à parfaire cette technologie et à la faire adopter, 2) de son utilisation dans la pratique et 3) des défis liés à la résistance à l’informatique quantique.
Initiatives
Lorsque j’ai commencé à travailler avec Idemix il y a environ vingt ans, la signature d’un accord de confidentialité était indispensable. Depuis, la situation s’est complètement inversée et il existe désormais divers projets open source. Les principaux sont IBM Idemix, Microsoft U-prove, Yivi et Hyperledger AnonCreds. Ces deux derniers proposent actuellement leurs propres implémentations d’Idemix.
La Commission européenne a déjà investi des dizaines de millions d’euros dans la recherche et le développement de technologies de titres numériques anonymes à travers des projets tels que PRIME (2004-2008), PrimeLife (2008-2011) et ABC4Trust (2011-2014).
Le battage médiatique autour de la blockchain (entre 2015 et 2019 environ) s’est accompagné d’un regain d’intérêt pour les titres numériques anonymes, en tant que concrétisation technologique du paradigme de l’identitié auto-souveraine (Self-sovereign identity – SSI). La blockchain et les titres numériques anonymes promettaient en effet quelque chose de très similaire : redonner le contrôle aux citoyens, en le retirant des mains des autorités et des intermédiaires. Beaucoup ont alors supposé à tort que la SSI nécessitait la blockchain. Ce n’est pas nécessairement le cas, mais la blockchain peut néanmoins jouer un rôle, notamment pour répertorier de manière distribuée les émetteurs reconnus et donc dignes de confiance.
Hyperledger est un projet open source sous l’égide de la Linux Foundation destiné à développer une technologie pour les réseaux blockchain autorisés (fermés et contrôlés). Hyperledger a adopté le paradigme SSI ; Hyperledger AnonCreds, actuellement un projet en incubation, met spécifiquement en œuvre une technologie de titres numériques anonymes.
Sovrin était le pionnier le plus influent dans le domaine de la SSI utilisant la blockchain et recourrait notamment à Hyperledger AnonCreds comme base. Malheureusement, le réseau Sovrin est passé à la trappe au début de cette année. Les raisons invoquées étaient une baisse de l’utilisation, une incertitude législative, des défis techniques et un engagement limité de la part de la communauté.
Le portefeuille d’identité numérique de l’UE (EU digital identity wallet ou EUDIW en anglais), défini dans la réglementation eiDAS 2.0 (en vigueur depuis mai 2024), offre en principe une nouvelle occasion d’exploiter le potentiel des titres numériques anonymes (avec ou sans blockchain). Malheureusement, il semble que l’on ne s’oriente pas dans cette direction. En juin 2024, un groupe de cryptographes éminents a formulé des critiques à l’égard de la conception actuelle de l’EUDIW et estime qu’une nouvelle conception, avec un soutien explicite aux titres numériques anonymes, s’impose pour améliorer la confidentialité. La conception actuelle de l’EUDIW n’autorise par exemple pas la non-corrélabilité. L’intégration de titres numériques anonymes est l’un des “sujets en suspens”, mais aucun plan d’action n’a encore été établi à ce jour.
Depuis 2012, un projet appelé IRMA, qui signifie “I Reveal My Attributes” est en cours aux Pays-Bas. Il a été développé à l’université Radboud de Nimègue. En 2023, il a été rebaptisé Yivi. Yivi entend redonner aux citoyens le contrôle de leurs données, sans recourir à la technologie blockchain.
Dans la pratique
Yivi dispose notamment de sa propre implémentation du protocole Idemix ainsi que de sa propre app, qui serait utilisée par des centaines de milliers de Néerlandais. Elle est proposée par la ville de Nimègue comme solution d’identité respectueuse de la vie privée. La ville l’utilise notamment pour mener des enquêtes anonymes auprès de ses habitants.
Parallèlement, les compagnies d’assurances soutiennent Yivi, étant donné que les autres solutions d’identité numérique aux Pays-Bas ne sont pas utilisables dans ce contexte ; DigiD n’est possible qu’auprès des institutions gouvernementales, iDIN passe par une banque et n’est utilisable que par les personnes titulaires d’un compte bancaire aux Pays-Bas. Les considérations pratiques semblent ici primer sur l’aspect de la vie privée.
L’administration de la province canadienne de Colombie-Britannique a investi massivement dans le développement et l’adoption de titres numériques anonymes. Elle a consacré plus d’un million de lignes de code au projet Hyperledger Aries. La Colombie-Britannique utilise également cette technologie dans la pratique, notamment avec Hyperledger AnonCreds :
OrgBook BC met à disposition de nombreuses informations sur les entreprises de la province : numéros d’entreprise, adresses, certificats d’enregistrement, licences de vente de cannabis… Afin d’accroître la confiance dans leur exactitude, ces données sont mises à disposition sous la forme de titres numériques anonymes révocables, délivrés par des organismes du secteur public. Les citoyens peuvent obtenir, stocker et présenter des titres numériques vérifiables les concernant ou concernant leur entreprise grâce à leur BC Wallet.
Le Justice Project permet aux juges et aux avocats de consulter en ligne des documents judiciaires sensibles, auxquels seuls les juristes agréés ont accès, sans révéler leur identité.
Les applications ci-dessus se situent au niveau local. Cependant, il ne faut pas oublier que les titres numériques anonymes sont également utilisés à l’échelle mondiale.
Signal, l’application de messagerie sécurisée populaire qui compte quelque 70 millions d’utilisateurs, utilise des titres numériques anonymes pour gérer des groupes privés ; les serveurs de Signal ne voient pas quels sont les membres d’un groupe privé. Lorsqu’un membre du groupe ajoute ou supprime quelqu’un du groupe, les serveurs de Signal ne voient pas qui exécute cette action, mais seulement que cette personne en a le droit. Signal utilise pour cela des Keyed-Verification Anonymous Credentials (KVAC), i.e. des titres numériques anonymes, où l’émetteur et le vérificateur partagent une clé secrète, ce qui permet de gagner en efficacité.
Un TPM (Trusted Platform Module) est une puce de sécurité intégrée à un ordinateur. Il est notamment capable de prouver l’intégrité du système à une entité externe dans le respect de la vie privée. Pour ce faire, il utilise la technologie Direct Anonymous Attestation (DAA). Celle-ci utilise une sorte de titre numérique anonyme, lié à la puce TPM. La technologie SGX d’Intel utilise une variante de la DAA, appelée Enhanced Privacy ID (EPID). À ce jour, plus de 2,5 milliards de titres numériques EPID ont été émis. Il s’agit probablement aujourd’hui de l’application la plus réussie de la technologie des titres numériques anonymes.
Malgré ces quelques cas d’usage à l’échelle mondiale, nous ne constatons à ce jour qu’une adoption très limitée des titres numériques anonymes dans le contexte où nous les attendons le plus, à savoir la gestion des identités.
Résistance à l’informatique quantique
Comme déjà expliqué en détail dans des articles précédents de Smals Research, il existe un risque que de puissants ordinateurs quantiques puissent à l’avenir briser la cryptographie moderne à clé publique.
L’illustration ci-dessous présente les principales techniques en matière de titres numériques anonymes proposées par le monde académique. La première génération était basée sur RSA ou les courbes elliptiques. À partir de 2004, une génération basée sur les applications bilinéaires (pairings) a suivi. La troisième génération de titres numériques anonymes est basée sur les treillis et est la première génération à utiliser une cryptographie supposée résistante à l’informatique quantique.
Illustration 1 Chronologie des principales publications relatives aux titres numériques anonymes (source)
À l’heure actuelle, seuls quelques systèmes résistants à l’informatique quantique ont donc été proposés pour les titres numériques anonymes. Ces systèmes sont encore récents et leurs performances sont insuffisantes pour être utilisés dans la pratique. De plus amples recherches s’imposent donc pour trouver des solutions efficaces et résistantes à l’informatique quantique pour les titres numériques anonymes.
Nous avons mentionné plus haut qu’un groupe éminent de scientifiques spécialisés en cryptographie plaidait en faveur de la prise en charge des titres numériques anonymes dans le portefeuille d’identité numérique de l’UE (EUDIW). Ils avancent deux arguments valables pour expliquer pourquoi la menace quantique n’est pas (encore) d’actualité.
Les titres numériques anonymes sont utilisés pour l’authentification ; une session d’authentification n’est valable que pendant un très court laps de temps, quelques minutes tout au plus. Pensez par exemple à l’authentification avec itsme, à des années-lumière du chiffrement (par exemple, la communication), où un pirate dispose de plusieurs années pour déchiffrer les données chiffrées interceptées (harvest now decrypt later). On a ainsi beaucoup plus de temps (au moins une décennie, selon votre auteur).
Les technologies de titres numériques anonymes les plus populaires aujourd’hui, comme celles proposées par Camenisch et Lysyanskaya en 2004, offrent une sécurité inconditionnelle ; même un pirate hypothétique disposant d’une puissance de calcul infinie (classique ou quantique) ne pourrait la briser, bien que la technologie – cela peut sembler contradictoire – utilise en coulisse des éléments constitutifs qui pourraient être brisés par de puissants ordinateurs quantiques.
Sur le plan technologique, rien n’empêche donc l’adoption de la technologie des titres numériques anonymes. Il existe toutefois un autre obstacle… la perception ! Emad Heydari Beni, chercheur en cryptographie au COSIC (KU Leuven) et chez Bell Labs, a récemment publié le message suivant sur LinkedIn : “Si ce n’est pas post-quantique, les acteurs de l’industrie ne veulent pas en entendre parler.” La double argumentation évoquée plus haut n’est donc probablement pas suffisamment convaincante pour l’industrie.
Dans tous les cas, veillez à ce que votre solution soit crypto-agile si vous utilisez des titres numériques anonymes, afin de pouvoir migrer rapidement vers une technologie plus récente si nécessaire.
Conclusion
En résumé, après des décennies de recherche et de développement, et malgré leur nombreux avantages, les titres numériques anonymes ne sont encore que peu utilisés dans la pratique pour réellement protéger les données à caractère personnel. Leur potentiel est loin d’être pleinement exploité, même si des projets tels que Hyperledger leur donnent une impulsion positive. Grâce notamment à Signal et Intel SGX, certains types de titres numériques anonymes sont toutefois largement adoptés.
L’absence de normes constitue un obstacle à leur adoption dans le contexte de la gestion des identités. Grâce au travail préparatoire réalisé notamment par le W3C, la Decentralized Identity Foundation, l’IETF/IRTF et l’ISO, cela devrait être possible assez rapidement, à condition qu’il y ait une volonté politique, selon le groupe de cryptographes mentionné précédemment. La technologie doit toutefois relever un autre défi, à savoir devenir résistante à l’informatique quantique.
Il est donc encore trop tôt pour dire si cette technologie va s’imposer comme un outil de gestion des identités respectueux de la vie privée. Peut-être est-ce au secteur public de prendre l’initiative et de faire des titres numériques anonymes un succès.
N’hésitez pas à nous contacter si vous êtes intéressé !
Cette contribution a été soumise par Kristof Verslype, cryptographe chez Smals Research. Elle a été rédigée en son nom propre et ne prend pas position au nom de Smals.
Yivi dispose notamment de sa propre implémentation du protocole Idemix ainsi que de sa propre app, qui serait utilisée par des centaines de milliers de Néerlandais. Elle est proposée par la ville de Nimègue comme solution d’identité respectueuse de la vie privée. La ville l’utilise notamment pour mener des enquêtes anonymes auprès de ses habitants.
OrgBook BC met à disposition de nombreuses informations sur les entreprises de la province : numéros d’entreprise, adresses, certificats d’enregistrement, licences de vente de cannabis… Afin d’accroître la confiance dans leur exactitude, ces données sont mises à disposition sous la forme de titres numériques anonymes révocables, délivrés par des organismes du secteur public. Les citoyens peuvent obtenir, stocker et présenter des titres numériques vérifiables les concernant ou concernant leur entreprise grâce à leur BC Wallet.
