Contenu de la thèse - Identités numériques : gestion inter-organisationnelle centrée sur l'util

I.3 Contenu de la thèse

L

es travaux présentés dans la thèse se focalisent sur un initiateur qui est une personne physique, et sur un fournisseur de services hébergé par une organisation. Cette ap-proche permet de mettre en lumière la problématique du respect de la vie privée que l'on pense a priori de moindre importance lorsque les interlocuteurs sont des entités organisationnelles. Ce choix présente aussi l'avantage de mettre en valeur la notion de né-gociation s'appuyant sur des certicats, aussi riche entre usagers et organisations, qu'entre organisations. Pour autant, ces travaux n'écartent en aucun cas les négociations entre or-ganisations, ou entre personnes physiques.

L'utilisateur se situe au c÷ur des échanges, il a le rôle de l'initiateur et il souhaite consom-mer de multiples services et ressources oerts par des fournisseurs. Ce sont les objets de la négociation. Les organisations qui hébergent ces derniers basent une partie des conditions d'accès sur des informations certiées, les certicats. L'initiateur en diusera certaines de manière contrôlée. En eet, il ne souhaite révéler certaines informations aux fournisseurs que pour un certain niveau de conance. De manière générale, moins il révèle d'infor-mations sur lui-même, plus il s'en satisfait. Il estime en quelque sorte la sensibilité et la valeur de ces informations, et les diusent en fonction de son sentiment de conance. Ré-ciproquement, pour obtenir la conance de l'utilisateur, le fournisseur diusera lui aussi des informations certiées avec les mêmes exigences. Les échanges multiples de règlements et de certicats constituent la négociation. Les informations certiées proviennent du do-maine de conance de leur interlocuteur. Il est possible que leur fourniture agisse sur le sentiment de conance de chacun par transitivité. Cela conduit alors à une négociation visant à établir une relation de conance graduelle permettant d'aboutir à un consensus satisfaisant les conditions de chacun. Il résulte d'une négociation menée avec succès la fourniture de l'objet à l'initiateur.

L'établissement d'une relation de conance est une notion subjective. Dans le monde physique, l'ouïe et la vue sont les interfaces de capture de l'information qui permettent à notre système cognitif d'interpréter le contexte, avec pour paramètres les plus inuents l'interprétation de comportements et l'expérience. Il est également possible de traduire abusivement cette interprétation par le concept d'intuition. Dans le monde numérique, celui des télécommunications, les interfaces de l'homme sont celles oertes par son termi-nal d'accès. La notion d'interface homme-machine a alors une place prépondérante dans cette étude. Une partie des travaux est donc dédiée, d'une part, aux interactions de l'utili-sateur, et d'autre part, au rendu visuel de l'interface. Il s'agit de retranscrire la notion de négociation pour la rendre intuitive dans le monde numérique, même face à une machine pour interlocuteur. Cela suppose d'apporter une dimension interactive à la négociation

an que l'utilisateur ressente qu'il en est l'acteur et qu'il n'est pas seulement soumis aux exigences des fournisseurs.

Il est également nécessaire de pouvoir constituer des domaines de conance, et d'obtenir et de présenter des informations en provenance de ceux-ci. Cela soulève le besoin d'une architecture de conance permettant de véhiculer entre organisations des informations sur les interlocuteurs.

En outre, les informations véhiculées sont synonymes de descriptions des interlocuteurs et de leurs comportements et permettent donc leur prolage. Une seconde problématique est alors celle du respect de la vie privée dans un monde numérique où la puissance de calcul, les dimensions vertigineuses des espaces de stockage ainsi que l'exposition des canaux de communication, combinées à la facilité attendue de consommation des services, peuvent grandement mettre ce respect en péril. Par conséquent, une attention toute particulière est portée à l'association des identités numériques que nous décrivons comme une menace potentielle au respect de la vie privée. Nous nous attachons donc à produire une architec-ture d'échange des informations d'identité respectueuse de la vie privée.

L'enjeu de ces travaux est donc de dénir une couche de gestion des identités qui n'a de sens que si elle est pervasive. Si les travaux présentés ici devaient se résumer en une seule phrase, ce serait : l'étude des échanges d'informations certiées pour les négociations de conance dans un environnement numérique ouvert. Les contributions attendues ont trait en particulier à la description du domaine, des concepts et des mécanismes technologiques, ainsi que des enjeux humains et sociétaux. Les études menées portent sur les protocoles cryptographiques, la négociation de conance, le contrôle d'accès basé sur les échanges d'informations certiées, la prise en considération des inter-actions utilisateurs et, enn, la conception d'une architecture et d'une interface utilisateur apparentées aux résultats de recherche attendus. Nous utiliserons donc au cours de la thèse la terminologie issue de la première généralisation du concept de négociation introduite dans ce chapitre.

La première partie vise à dénir les concepts généraux mais également à étudier les manques des architectures existantes. Le but de cette partie est de mettre en lumière les enjeux de ces travaux et de justier pourquoi la prise en compte des notions d'univer-salité et de pervasivité est fondamentale.

Le chapitre 2 décrit les notions générales de la gestion des identités numériques, précise celles de conance et d'anonymat, décrit le besoin de respect de la vie privée inhérent à ces travaux et liste sommairement les enjeux d'une telle architecture pour les utilisateurs

I.3. Contenu de la thèse 31 et les organisations.

Au chapitre 3 sont étudiées les architectures existantes adressant les échanges de certi-cats entre organisations. Il ne s'agit pas ici de faire une étude comparative de tout ce qui pourrait se référer aux domaines étudiés. En eet, les architectures existantes n'adressent qu'une partie des problématiques soulevées ici. Cependant, cela permet de mettre en relief les attentes énumérées au chapitre précédent et les technologies couramment employées aujourd'hui, d'étudier les sources de normes et de standards qui seront employées en troisième partie, et surtout, de rendre compte d'un constat, celui du besoin d'une archi-tecture plus respectueuse de la vie privée. Nous verrons que ce constat pousse à prendre en considération un environnement utilisateur enrichi, ce qui justie les besoins en termes d'universalité et de pervasivité.

La seconde partie a pour objectif de décrire les briques technologiques nécessaires à la réalisation d'une architecture d'échanges de certicats et de négociation de conance. Pour cela, les états de l'art des domaines concernés sont menés an, d'une part, de mettre en relation diérentes contributions existantes, et d'autre part, d'étendre au besoin cer-taines d'entre elles.

Au chapitre 4 est faite une étude des besoins en matériel cryptographique an de per-mettre des échanges de certicats anonymes, de mener de multiples négociations non-associables, et de permettre la présentation sélective d'informations contenues dans les certicats. Sont également présentés la notion de système à pseudonymes, ainsi que les besoins architecturaux pour permettre la mise en ÷uvre de pièces d'identité civile ano-nymes, de la révocation de l'anonymat et, enn, de la non-transférabilité des certicats. Un bilan des travaux scientiques existants est présenté et des composants pour bâtir notre architecture de certicats sont choisis. Une description générale et quelques notes d'implémentations sont présentés concernant les réalisations menées en langage de pro-grammation C.

Le chapitre 5 précise les notions de connaissance et de reconnaissance d'un tiers, d'iden-tité connue publiquement et de conance acquise en dehors du système de négociation. La notion d'anonymat est discutée à la vue de ces concepts. L'apport des travaux du chapitre précédent permet notamment de discuter plusieurs considérations pratiques sur l'emploi de pseudonymes qu'il est possible d'envisager entre deux interlocuteurs. La condentialité des échanges basée sur le pseudonyme employé comme clé publique permettant l'échange du secret de condentialité est ensuite étudiée. Nous justions la certication de la clé publique dans chacun des certicats, par une signature à l'aveugle si la non-associativité est requise. Il est alors justié le concept de conance croissante dans la condentialité du

canal de communication. Le pseudonyme étant une information sensible, il est supposé renouvelable d'un pseudonyme à usage unique vers un pseudonyme déjà employé. Cette étude est illustrée à l'aide du protocole TLS.

Au chapitre 6, la négociation de conance est dans un premier temps justiée au regard des objectifs de l'architecture, notamment de la diusion ne et contrôlée de l'informa-tion par les usagers. L'utilisateur est considéré comme étant au centre de l'architecture et aux commandes des échanges. Il est nécessaire de l'assister et d'améliorer son expé-rience par l'automatisation de ses choix. Nous nous appuyons sur les travaux scientiques portant sur les négociations de conance automatisées pour traiter ces problématiques d'utilisabilité. Une étude est faîte pour déterminer un langage de contrôle d'accès adapté à la négociation. Il est enn présenté la faisabilité de ces objectifs par un cas d'étude. Outre la description de cet objectif de recherche sur l'utilisabilité, ce chapitre permet de présenter plusieurs considérations de mise en ÷uvre, notamment la détermination des générateurs disponibles satisfaisant les conditions de contrôle d'accès d'un consommateur. La troisième partie vise à mettre en ÷uvre les mécanismes précédemment décrits. Il s'agit notamment de décrire quels sont les moyens qui permettent d'espérer satisfaire aux condi-tions de l'universalité et de la pervasivité.

Le chapitre 7 explore l'idée d'une couche de gestion des identités dédiée au contrôle d'accès des applications. L'objectif est de soulever les enjeux et les problématiques ma-jeurs d'une telle ambition. Une description fonctionnelle de l'agent de négociation est ensuite donnée de manière à ce qu'il soit adapté à l'environnement des utilisateurs comme outil de gestion des identités numériques et aux organisations comme outil de contrôle d'accès aux applications.

Le chapitre 8 constitue la synthèse des besoins aliés à la notion d'universalité en vue de parvenir à la pervasivité. Il est donné un sens pratique à la notion de conance entre organisations. Les notions d'interopérabilité, d'espaces de noms communs et de standardi-sation, notamment par les standards du Web, sont présentées. Il est proposé une solution pour la sérialisation des certicats anonymes basée sur des données publiques des géné-rateurs de certicats. La réalisation d'une application XML de ces données implémentée en langage C à l'aide des librairies libxml2 et xmlsec1 est présentée. Une solution de sé-rialisation du protocole de négociation basée sur l'enrichissement de documents XML est également proposée. La mobilité des usagers est un paradigme pour lequel des proposi-tions sont faites, notamment basées sur une plateforme de conance. Enn, l'emploi de la négociation de conance dans les environnements pervasifs et ubiquitaires et la notion

I.3. Contenu de la thèse 33 d' identité en tout lieu2 sont discutés.

Le chapitre 9 vise à donner un visage à l'environnement client. Cela permet no-tamment de comprendre en quoi il est possible que celui-ci soit une source de conance pour l'utilisateur. Les questions d'ergonomie et d'acceptation utilisateur sont abordées an d'introduire les tests utilisateurs permettant d'initier l'expérimentation nécessaire pour évaluer la proposition faite au chapitre 6.

Dans le document Identités numériques : gestion inter-organisationnelle centrée sur l'utilisateur et respectueuse de la vie privée (Page 30-36)