Applications de l’eID - Applications prêtes à l’emploi

1157 Analyse des applications de l’eID

7.2 Analyse des applications de l’eID existantes

7.2.2 Applications prêtes à l’emploi

7.2.2.1 Applications de l’eID

Applications de l’eID - identification Description

Les applications de l’eID axées sur l’identification constituent le groupe le plus nombreux parmi les applications prêtes à l’emploi. L’eID est utilisée pour introduire les données personnelles dans un fichier. Étant donné qu’il s’agit d’une identification, ces applications sont utilisées principalement de façon locale, par exemple, dans un contact physique ou à un automate. Il y a toutefois quelques exceptions, notamment les applications Web où le code pin ne doit pas être introduit.

Les applications prêtes à l’emploi pour l’identification sont utilisées principalement dans un contexte B2C mais peuvent également se situer dans un contexte B2B.

Exemples

Les entreprises qui commercialisent les applications eID focalisées sur l’identification, sont entre autres : @rrowUp, Arena Solutions, RoadByte, PlanetWinner, BSYS, Vsecurity, Sun Solutions, XLN-t, Vasco,…

Une sélection des produits offerts :

119

Applications locales (non connectées)

x eID reading (@rrowUp) : application pour lire des données publiques de l’eID et pour stocker des données dans une base de données MS Access.

x eID capture & print (@rrowUp) : application pour lire et imprimer les données publiques de l’eID.

x .be eID Registration (@rrowUp) : application pour l’enregistrement des données présentes sur l’eID des visiteurs avec indication de l’heure de la visite, de la durée de la visite, de la personne contactée, etc. Il y a moyen d’imprimer un badge visiteur et il y a aussi moyen de scanner à l’aide d’un lecteur de code barres. Cette application est utilisée à la réception de Fedict et chez Certipost.

x Enregistrement des visiteurs (Arena Solutions) : application pour l’enregistrement des données présentes sur l’eID des visiteurs avec indication de l’heure de la visite, de la durée de la visite, de la personne contactée, etc. il y a moyen d’imprimer un badge visiteur et d’ajouter des données de façon manuelle.

x .be Guest (@rrowUp) : application pour l’enregistrement de données présentes sur l’eID des clients d’hôtel avec indication de la date/l’heure d’arrivée et de départ. Il y a moyen d’imprimer une fiche d’hôtel.

x l’eID Hotel (RoadByte) : logiciel pour la réservation et la gestion quotidienne d’un hôtel.

x Winner (PlanetWinner) : système de gestion intégrée pour des hôtels, des centres de conférence et des restaurants à l’aide de l’eID. Il est utilisé pour rechercher les invités, les enregistrer, actualiser les données, créer une fiche client et une fiche de police, ainsi que pour le paiement dans un hôtel-restaurant et pour la création d’une facture.

x Fitness Ledenbeheer (BSYS) : application pour la gestion des membres et la gestion des abonnements à l’aide de l’eID. Le contrôle d’accès se réalise à l’aide des cartes de membre à code barres étant donné que ceci va plus vite qu’avec la puce de l’eID et qu’il y a moins de risque d’« usure ».

x .be Rent (@rrowUp) : application pour l’enregistrement de données présentes sur l’eID des clients qui louent un objet, y compris la date et l’heure à laquelle les biens loués doivent être rendus. Il y a moyen d’imprimer une fiche.

x Registr8 (Vsecurity) : application pour l’enregistrement des visiteurs aux événements, aux bourses et aux congrès. La liaison avec une base de données des visiteurs est possible. Pour les discothèques, une liaison avec une carte membre est possible.

Remarque : la vente des billets en ligne ne s’effectue pas encore à l’aide de l’eID, il s’agit d’une fonctionnalité qui sera implémentée à l’avenir.

x Sun Solutions : application pour l’enregistrement dans des centres de bronzage automatisés et non automatisés et un accès aux centres de bronzage non automatisés, avec l’eID.

Applications Web

x Check eID (@rrowUp) : application en ligne dans laquelle les données présentes sur l’eID peuvent être affichées et imprimées, en utilisant la plate-forme digIDs. Le middleware ne doit pas être installé séparément et est intégré dans la solution.

x Register eID (@rrowUp) : application en ligne pour l’enregistrement des données présentes sur l’eID dans un site Web, basée sur le cadre BluePrint qui utilise la plate-forme digIDs. Le middleware ne doit pas être installé séparément et est intégré dans la solution.

Appareils mobiles

Il existe également des applications eID qui sont intégrées dans le hardware, par exemple des appareils mobiles pour l’identification. Celles-ci sont analysées en annexe.

120

Analyse d’applications de l’eID pour l’identification

Stimulants Inhibitions

Technique ^- Ne doit pas être intégrée dans d’autres systèmes (prêts à l’emploi).

- Une connaissance technique préalable n’est pas nécessaire pour utiliser l’application.

- Fonctionnalité limitée qui ne révèle pas vraiment les possibilités de l’eID, mais toutefois pratique.

- Lit toutes les données, même s’il n’y a qu’une seule donnée nécessaire.

- La lecture de la carte prend parfois trop de temps ; lorsqu’il y a beaucoup de monde à identifier, cela peut provoquer du retard.

- L’installation du lecteur de carte et du middleware est assez compliquée et peut constituer un obstacle – pas applicable pour les applications qui n’exigent pas une installation séparée du middleware.

Juridique - Se fait principalement face à face, un vol

d’identité est quasiment impossible. - Pour le stockage des données, en particulier le numéro de registre national, on a besoin du consentement de la commission de la protection de la vie privée.

- Il existe une confusion concernant le traitement des données personnelles et les informations qui doivent être fournies à ce sujet et/si le consentement doit être demandé.

Économique - Coûts d’entrée minimaux et une formation minimale.

- Economie de temps.

- Un accès aux données correctes augmente la qualité et l’efficacité de l’application.

- À tout moment il doit y avoir une alternative pour les gens qui n’ont pas la carte avec eux, qui ne veulent pas la montrer, qui n’en ont pas encore une ou quand il s’agit d’un étranger.

Psychologique - Les utilisateurs ne doivent plus faire un effort pour noter leurs données, ce qui crée une situation gagnant-gagnant.

- Facile pour le client.

- Si ces applications deviennent populaires et beaucoup de commerçants ou d’entreprises utilisent l’eID pour l’enregistrement des données personnelles, il peut en résulter une accoutumance.

- Pas de contrôle du traitement des données par le propriétaire de la carte.

- Pas de possibilité de donner un pseudonyme - moins anonyme.

- A l’heure actuelle, la carte d’identité est surtout utilisée dans le contact avec les instances officielles ou en tant que contrôle. Il peut en résulter une résistance auprès du citoyen : « Big Brother is watching you ».

121

Conclusions : applications de l’eID pour l’identification

x Les applications de l’eID prêtes à l’emploi pour l’identification constituent un gain de temps, sont simples à utiliser, personnalisées et bon marché. Elles sont idéalement appropriées pour l’enregistrement des données personnelles des clients, des visiteurs, des clients d’hôtel, des personnes inscrites à un cours, etc.

x Ces applications sont utilisées principalement en cas de rencontre physique. De cette façon, un vol d’identité est quasiment impossible, car la personne peut être identifiée à l’aide de la photo sur la carte.

x Il y a quelques applications pour l’identification qui sont offertes par l’intermédiaire du Web ou à un automate. Ici il y a donc une plus grande chance de vol d’identité en utilisant la carte d’une autre personne.

x Les inhibitions se situent principalement au niveau technique, par exemple par l’installation nécessaire d’un lecteur de carte et du middleware, bien que l’installation d’un middleware ne soit pas exigée pour certaines applications.

Applications de l’eID - authentification Description

Les applications de l’eID axées sur l’authentification sont utilisées en toutes circonstances où l’on doit faire preuve de son identité. La plus grande partie de ces applications sont activées par Internet ou par lntranet. Elles sont principalement utilisées pour accorder un accès aux systèmes, aux réseaux, aux informations et aux services.

Exemples

Les entreprises qui commercialisent de telles applications eID sont entre autres : RoadByte, Lithium ICT, Time Solutions, Imprivata, Vasco, Arena Solutions,…

Une sélection des solutions offertes : Utilisation locale

x eID Password Lock (RoadByte) : application pour le stockage sécurisé des mots de passe à l’aide de l’eID.

Applications en ligne

x Snelbalie (lithium ICT) : guichet numérique, sécurisation du site Web, identification des clients pour donner des informations personnalisées et une possibilité de paiement en ligne par l’eID. À l’heure actuelle, les autorités locales sont les clients les plus importants.

x Time Solutions : les employés peuvent se connecter avec l’eID au système pour consulter leurs données de pointage et pour remplir leur carte de congé - le système est aussi utilisé pour l’enregistrement de nouveaux employés.

x OneSign (Imprivata) : application pour la gestion d’authentification par Single Sign-On et pour la gestion intégrée d’accès physique/logique. Ceci permet à l’utilisateur de se connecter une seule fois au réseau et d’obtenir un accès à toutes les applications. L’utilisateur peut utiliser son eID et n’est pas obligé de retenir des mots de passe supplémentaires. La solution est basée sur une automatisation extrême de la ‘password policy’ : pour chaque application individuelle, des mots de passe uniques et puissants sont créés à l’arrière plan et des changements éventuels des mots de passe sont exécutés automatiquement.

122

x e-banking (Keytrade Banque) : l’accès à l’application est effectué à l’aide de l’eID, en utilisant un simple lecteur de carte et ceci en remplacement des anciens codes d’accès et des codes de confirmation. Remarque : pour un certain nombre d’opérations qui exigent une sécurisation plus élevée, on utilise un Digipass supplémentaire ; celui-ci ne fonctionne pas avec l’eID.

Appareils mobiles

Il existe également des applications eID qui sont intégrées dans le hardware, par exemple, des appareils mobiles pour l’authentification. Celles-ci sont analysées en annexe.

Analyse d’applications de l’eID pour l’authentification

Stimulants Inhibitions

Technique ^- Un accès sécurisé par l’utilisation du code pin.

- La sécurité est augmentée par un contrôle supplémentaire de la validité des certificats.

- Les applications fournissent un échange électronique des données sécurisées (SSL : Secure Sockets Layer).

- Fedict met gratuitement à disposition l’application « Mon dossier », ce qui est une bonne illustration et rend en outre les choses plus claires pour le citoyen.

- L’installation du lecteur de carte et du middleware est trop compliquée et peut constituer un obstacle. L’infrastructure Keypad est essentielle pour introduire le code pin.

- Temps supplémentaire nécessaire pour examiner la validité du certificat.

- Des PC non sécurisés avec des cartes qui restent dans le lecteur de carte ou un code pin qui est tapé sur un clavier pourraient permettre des fraudes (phishing et skimming).

- Le certificat est stocké sur le PC et peut être lu par d’autres applications.

- L’environnement sécurisé peut donner des erreurs étranges en conséquences desquelles l’utilisateur décroche.

Juridique - Plus de protection juridique pour le vendeur

du fait qu’il connaît l’autre partie. - Le numéro de registre national et les données personnelles se trouvent dans le certificat.

Stricto sensu on a besoin de l’autorisation de la commission de la vie privée pour stocker le certificat.

Économique - L’environnement sécurisé permet de mettre à disposition des informations sensibles et des services par Internet. Ceci crée d’une part de nouvelles opportunités d’affaires ; d’autre part, l’automatisation peut créer un gain de temps considérable.

- Les applications commerciales peuvent utiliser le système PKI des autorités. Les autorités supportent les frais opérationnels pour ce système.

- Dans un contexte commercial, l’utilisation de la carte bancaire ou de la carte de crédit donne une fonctionnalité suffisante. L’eID n’est souvent pas une alternative car la solvabilité de l’acheteur ne peut pas être contrôlée par l’eID.

- Tous les maillons doivent être pris en

considération lors de l’élaboration de la sécurité d’un processus. L’utilisation de l’eID avec un seul maillon peut créer un faux sentiment de sécurite. Ainsi il ressort, lors des enchères en ligne, que la solvabilité de l’acheteur n’est pas le point faible, qui porte plutôt sur l’honnêteté des transporteurs.

- L’Internet est international, l’eID est typiquement une initiative nationale et crée donc des frontières. Des investissements supplémentaires seront essentiels pour résoudre ce problème.

123

Stimulants Inhibitions

Psychologique - En général, le fait que vous êtes au courant du fait que tout le monde a dévoilé son identité donne un certain soulagement.

Exemple : les espaces de discussion (« chatrooms ») pour enfants.

- Environnement virtuel : la sensation d’insécurité augmente car on ne voit pas ce que l’on fait et avec qui on fait certaines choses.

- l’eID réduit l’anonymat, donc l’« Effet Big-Brother » augmente car vous devez vous identifier partout. Les gens veulent souvent rester anonymes sur Internet.

Conclusions : applications de l’eID pour l’authentification

x L’augmentation de la sécurité se fait au détriment de l’anonymat. Il convient de bien prendre en compte les avantages par rapport aux inconvénients, les gains, les coûts, la perte d’image et l’attractivité. Dans certains cas, les autorités devront rendre l’utilisation de l’eID obligatoire.

x Du fait que l’eID n’est pas (encore) universelle, des systèmes parallèles sont utilisés - en général valables au sein d’une communauté fermée ou d’un domaine délimité. Par exemple, la carte bancaire peut offrir les mêmes garanties de sécurité et de fiabilité. En outre, une carte bancaire permet à la banque de faire du « branding ». Pour cette raison, elle reste pour la plupart des banques un outil d’authentification plus attractif que l’eID.

x Il est difficile de convaincre l’utilisateur tant qu’une situation gagnant-gagnant claire n’a pas été créée.

x L’utilisation de la fonctionnalité d’authentification de l’eID est idéale pour le remplacement de plusieurs noms d’utilisateur et des mots de passe - un ‘single sign on’ universel.

x Plus on utilise l’eID, plus l’effet des standards et de la stabilité du software sera important.

124

Applications eID - signature électronique Description

L’ajout d’une signature électronique à un document lie le contenu du document de façon irréfutable avec l’identité du signataire. Le moment de la création du document signé et de la validité du certificat à ce moment est important pour la force probante du document signé.

L’apposition d’une signature électronique est une authentification implicite. L’eID belge fournit cette fonctionnalité et contient un certificat séparé pour l’apposition de la signature électronique.

Exemples

Les entreprises qui commercialisent les applications eID axées sur la signature électronique sont entre autres : Certipost, Ometa, Arcabase, the eID Company,…

Une sélection des produits offerts :

x MyCertipost (Certipost) : cette boîtes aux lettres en ligne est un service qui permet de recevoir, de saisir et d’envoyer des informations à titre confidentiel de façon électronique et pour une lettre recommandée électronique, par exemple : les factures et les fiches de paie, les formulaires administratifs des autorités, etc.

x Trust² (Certipost et Microsoft) : application pour protéger des documents électroniques et des e-mails avec l’eID de façon à assurer l’intégrité des informations échangées.

x E-Signing (Certipost) : application pour l’apposition d’une signature légale obligatoire sur un document électronique et la vérification de la signature électronique sur un document reçu.

x MS SharePoint eID (Ometa) : application pour lire les données présentes sur l’eID dans Sharepoint et lier des documents aux données présentes sur l’eID. Cette application permet également l’authentification et la signature électronique via Microsoft Office Forms (e-forms).

x eID plateform (Arcabase) : authentification pour un accès aux sites Web et pour la signature électronique des documents et des actions à partir de l’application Web.

x eID Service Platform (the eID Company) : plate-forme de service eID et modules de logiciel eID pour informatiser les procédures par Internet ou par Intranet, en utilisant l’eID. Il y a moyen de consulter des dossiers personnels (authentification), de faire un échange électronique des documents, de signer électroniquement des formulaires et de faire des commandes et des paiements en ligne. Il y a aussi moyen d’enrichir les données présentes sur l’eID avec des données provenant de sources externes et/ou de bases de données commerciales.

x BluePrint (Agilesoft) : framework web portail compatible avec l’eID qui permet de développer les solutions basées sur le web. Le framework supporte l’identification, l’authentification et la signature électronique, et il est compatible avec l’eID. Il comprend des services web pour que les fonctions eID puissent être intégrées rapidement.

125

Analyse d’applications de l’eID pour la signature électronique

Stimulants Inhibitions

Technique - Circulation de documents électroniques entièrement possible.

- La signature électronique détermine le contenu de façon irréfutable ; aucune virgule ne peut être changée.

- Matière très compliquée.

- Certaines applications demandent un code pin pour l’authentification et un code pin pour la signature électronique. Cette situation est assez troublante pour les Belges car le même code est utilisé pour les 2 utilisations.

- La procédure et la technologie pour l’apposition de l’horodatage électronique avec l’eID sont loin d’être parfaites.

- La sauvegarde de longue durée d’un document demande des investissements particuliers.

- Il existe encore beaucoup de problèmes pratiques quant à l’utilisation de la signature électronique dans un contexte international.

Juridique - Moins de possibilité de fraude, plus de

transparence. - Les actes authentiques ne peuvent pas encore être signés électroniquement, du point de vue légal.

- Pas de soutien juridique complet cf.

l’horodatage et l’archivage.

Économique - La gestion des documents électroniques en remplacement des documents en papier donne une économie d’espace considérable quant aux archives.

- La possibilité d’une informatisation prolongée des processus, donc un temps écoulé plus rapide des processus.

- Meilleur accès aux informations correctes et plus grande disponibilité de celles-ci.

- Possibilité d’optimisation du rapport coût/efficacité.

- Opportunité commerciale pour livrer des services (tiers de confiance).

- L’eID est liée à un individu, une personne. A l’heure actuelle, elle n’est pas liée à un mandat ou à une entreprise.

Psychologique - Sécurité élevée grâce à la connexion du

contenu avec la signature. - Il ne s’agit pas d’une signature visuelle.

- Les gens ne peuvent pas s’imaginer dans quel but elle peut être utilisée.

- Confusion au sujet des termes ‘signature électronique’ et ‘signature numérique’.

- Beaucoup de malentendus relatifs à la notion

‘signature électronique’. Beaucoup de gens la considèrent comme une signature numérisée.

126

Conclusions : Applications de l’eID pour la signature électronique

x Un document signé électroniquement est reconnu légalement, mais peu utilisé en général.

x La signature électronique s’applique certainement à un environnement e-gouvernement et pourtant même dans ce domaine-là on constate peu d’utilisation.

x La signature électronique permet de traiter entièrement les documents de façon électronique ce qui peut donner des avantages considérables en matière d’efficacité et de fiabilité.

x Il y a toutefois encore une multitude d’obstacles qui empêchent une bonne mise en œuvre de cette technique.

o Du fait qu’il s’agit d’un sujet complexe, beaucoup de gens ne le comprennent pas.

Pour cette raison ils ne sont pas tentés de l’utiliser.

o Le soutien juridique n’est pas encore entièrement mis au point : l’horodatage et l’archivage sont en théorie possibles avec l’eID, mais le cadre légal n’est pas encore prêt.

o L’eID peut uniquement être utilisée à titre personnel et pas au nom d’une société ; pour résoudre ce problème il faudra un système de mandats.

x Il ne s’agit pas du remplacement d’une signature ordinaire par une signature électronique. Il faudra une « réingénierie des processus d’affaires » approfondie pour intégrer la fonctionnalité de la signature électronique dans la gestion de l’entreprise. Ce sont des processus de longue durée impliquant une composante importante de gestion du changement.

7.2.2.2 L’eID intégrée dans les logiciels

Dans le document Étude prospective sur les potentialités économiques liées à l utilisation de la carte d identité électronique et de la signature électronique. (Page 120-128)