574 Contexte économique de l’eID
4.4 Opportunités et obstacles à l’utilisation de l’eID selon les modèles commerciaux
Sans perdre de vue les motivations commerciales, examinons comment l’utilisation de l’eID peut apporter une plus-value dans chacun des modèles commerciaux.
Business-to-Consumer (B2C)
L’eID peut jouer un rôle à ce niveau étant donné qu’il est question de commerce avec des particuliers qui peuvent s’identifier avec leur eID. Il faut toutefois se demander dans quels cas une identification est requise.
69
L’e-commerce (ou commerce électronique)
Dans le commerce électronique, les informations relatives aux moyens financiers de la personne (par exemple, la carte VISA) suffisent généralement pour effectuer la transaction.
Il convient de se demander si une protection accrue avec l’eID est nécessaire dans ce domaine.
À l’heure actuelle, la plupart des paiements en ligne s’effectuent via les fonctions de paiement du Home banking ou par carte de crédit. Comme indiqué ci-dessus, de nombreuses mesures ont été prises pour améliorer la sécurité des paiements en ligne :
x le label de qualité BeCommerce pour les boutiques en ligne
x les fonctions de paiements via le compte Home banking (protection par Digipass)
x les paiements par carte de crédit via des plate-formes sécurisées (par ex. Ogone)
x l’ajout d’un mot de passe à la carte de crédit (« Verified by Visa » et « MasterCard Secure Code »)
x la protection par la législation belge en cas de vol ou de perte de la carte de crédit
Dès lors, faut-il encourager l’utilisation de l’eID comme authentification pour les achats en ligne étant donné que :
x de nombreuses mesures de sécurité ont déjà été prises pour les paiements par carte bancaire ou carte de crédit
x la carte de crédit sert à la fois d’identification et de moyen de paiement
x les commerçants n’y ont aucun intérêt spécifique : le paiement est plus important que l’authentification (à vrai dire, les commerçants se soucient peu de savoir si le demandeur est ou non le propriétaire légitime de la carte VISA)
x la carte de crédit est généralement acceptée (dans le monde entier)
Dès lors, un aspect évident de sécurité doit être lié aux transactions en ligne pour justifier l’utilisation de l’eID.
L’eID ne peut être utile que dans le cas de transactions spécifiques liées à des aspects de sécurité, par exemple, le contrôle de l’âge lors de l’achat d’articles interdits aux enfants, tels que des cigarettes ou des billets de la Loterie nationale.
Il existe sur le marché certaines applications qui donnent accès à des distributeurs automatiques après avoir contrôlé l’âge sur l’eID. Ces applications sont évoquées plus loin dans ce rapport. Ces applications prêtes à l’emploi ne nécessitent pas un investissement important et conviennent par conséquent très bien aux PME.
La communication avec les clients
L’eID offre d’autres opportunités dans la communication entre les entreprises ou les organisations et leurs clients, par exemple via l’Internet. Exemples :
x Ethias : utilisation de l’eID pour permettre aux clients d’accéder à leur portefeuille d’assurances en ligne (projet pilote, voir l’étude de cas Ethias).
x Mutualité chrétienne : utilisation de l’eID pour permettre aux utilisateurs d’accéder aux services en ligne, tant pour les travailleurs que pour les membres de la MC, afin de consulter leur dossier et des informations personnalisées (voir l’étude de cas Mutualité chrétienne).
Ces études de cas montrent qu’il existe des opportunités pour l’utilisation de l’eID dans la communication entre les entreprises et leurs clients. Les études de cas citées offrent des exemples d’applications présentant peu d’aspects de sécurité cruciaux étant donné qu’il ne s’agit pas de
70
transactions financières. Pour cette raison, ces applications utilisent des lecteurs de cartes
« ordinaires » : le code pin est introduit via le clavier de l’ordinateur.
Étant donné que ces applications ont peu de chances de constituer une cible intéressante, les risques de piratage sont (théoriquement) faibles. Il existe toutefois un risque d’utilisation abusive indirecte, si le code pin de l’eID est découvert et utilisé abusivement dans d’autres applications impliquant des transactions financières. Par exemple, si le même code est utilisé pour l’eID et la carte bancaire ; une étude de Safeboot a, en effet, montré que 60% des consommateurs utilisaient un seul code dans des applications différentes!
Les applications de banque en ligne reposent toutefois sur le principe du Digipass. Même en cas d’utilisation conjointe avec la carte bancaire dont le code aurait été dérobé, ces applications restent protégées par le principe des mots de passe dynamiques ou de « challenge-response authentification » (voir ci-dessous).
Home Banking
Le domaine de la banque en ligne, et plus particulièrement la réalisation de transactions financières, est lié à des aspects de sécurité essentiels. Ces applications emploient dès lors toujours un système sécurisé. Le Digipass est le plus utilisé. Il en existe plusieurs types :
x le Digipass qui génère des mots de passe uniques dynamiques liés au temps : une nouvelle valeur est générée à intervalles réguliers.
x le Digipass fonctionnant suivant le principe « Challenge-response » (question-réponse) : le système envoie aux fins de contrôle un « challenge » (données aléatoires) et, sur la base de la clé privée, une réponse est calculée et renvoyée.
Les deux types de Digipass peuvent être utilisés seuls, c’est-à-dire sans autre support de données, ou conjointement avec un support de données, par exemple une carte bancaire, la carte SIM d’un GSM, un token USB ou la carte eID.
Si le Digipass est utilisé en combinaison avec un système PKI, une clé privée est nécessaire. Deux possibilités se présentent : soit le Digipass constitue lui-même le support d’une clé privée, soit on utilise la clé privée du support de données (la carte bancaire, la carte SIM, le token USB ou l’eID).
Le Digipass est principalement utilisé en Belgique par les banques et les compagnies d’assurances qui le proposent souvent conjointement avec la carte bancaire. Il n’existe pas encore de Digipass fonctionnant simultanément avec la carte bancaire et l’eID. Par conséquent, les personnes qui possèdent un Digipass avec une carte bancaire et souhaitent également utiliser l’eID, par exemple, pour apposer une signature électronique, doivent aussi acquérir un lecteur eID.
Possibilités d’utilisation du Home banking avec l’eID :
L’eID peut aussi être utilisée conjointement avec un Digipass car elle contient une clé privée, tout comme une carte bancaire.
Bien qu’il existe déjà sur le marché un Digipass eID générant des mots de passe dynamiques uniques, l’eID sert uniquement, sur ce Digipass, à débloquer l’appareil, la clé privée de l’eID n’étant pas encore utilisée. Cet appareil peut, en principe, être utilisé conjointement avec un système PKI pour l’eID, par exemple, pour contrôler la validité des certificats de l’eID, mais aux dires du fabricant, il n’y aurait pas encore de demande en ce sens.
La banque Keytrade utilise l’eID pour permettre aux utilisateurs de se connecter sur son site portail, mais pour les opérations spécifiques liées à des aspects de sécurité, elle emploie un Digipass ne fonctionnant pas avec l’eID.
Pourquoi les banques n’ont-elles pas encore adopté ce système? Plusieurs raisons sont évoquées :
x L’eID n’est pas commercialisable, ce qui est très important pour les banques (voir ci-dessous).
71
x Compte tenu de l’existence d’un Digipass fonctionnant avec la carte bancaire, il n’y a pas besoin de Digipass pour l’eID.
x Les pouvoirs publics n’ont pas informé suffisamment le secteur bancaire des possibilités de l’eID.
x Les banques souhaitent exercer un contrôle complet sur la carte, ce qui est plus aisé avec un système propre.
Conclusion : Même s’il est, en principe, possible d’utiliser l’eID au lieu de la carte bancaire pour accéder aux applications de banque en ligne, les banques ont choisi de conserver des systèmes basés sur la carte bancaire ou des applications recourant à une autre méthode d’authentification.
Limitations de l’eID
Une première limitation de l’eID tient au fait que seuls les Belges disposeront de l’eID. Dans les autres pays, soit l’eID n’existe pas, soit le système est incompatible, et de plus, les non-Belges habitant en Belgique ne disposeront pas de l’eID.
Pour cette raison, l’utilisation de l’eID n’est pas opportune pour les entreprises ou les organisations visant ce segment de marché, par exemple, les hôtels. Il existe toutefois sur le marché des applications eID pour l’enregistrement des clients dans les hôtels (voir le chapitre consacré aux applications eID), celles-ci permettent aussi de compléter les données manuellement.
Plusieurs universités, par exemple, l’Université de Gand et la KULeuven, utilisent l’eID pour l’inscription de leurs étudiants, mais pas comme badge d’accès, car un système alternatif doit être développé pour un groupe trop important de la population, les étudiants étrangers et les professeurs invités.
Une deuxième limitation de l’eID est qu’elle n’est pas commercialisable : vous ne pouvez par exemple, pas y faire apparaître le logo de l’entreprise. L’eID ne présente donc aucune valeur de marketing. C’est la raison pour laquelle certaines entreprises ont choisi d’utiliser l’eID uniquement pour l’identification – par exemple, pour l’enregistrement des clients d’un dancing – mais pas pour l’accès, une autre carte est utilisée à cette fin. L’utilisation d’une carte distincte offre non seulement un avantage marketing – impression du logo de l’entreprise – tout en permettant de réclamer un prix, par exemple la carte de membre d’un club sportif.
Une troisième limitation de l’eID tient à l’impossibilité de remplacer immédiatement la carte en cas de perte. Il faut donc toujours disposer d’un système parallèle avec des badges d’accès classiques.
Le chapitre consacré aux applications eID présente certaines applications spécifiquement conçues pour l’enregistrement des visiteurs aux événements, dancings, etc.
Business-to-Business (B2B)
Dans le commerce inter-entreprises, les partenaires commerciaux sont généralement bien connus. Il s’agit d’un réseau de dirigeants d’entreprises qui font des affaires ensemble. Cette forme commerciale se base sur la confiance mutuelle et l’on est conscient de ce qu’un comportement non conforme peut être sanctionné dans tout le réseau.
La confiance mutuelle repose sur des aspects commerciaux – chiffre d’affaires, résultats, moyens financiers, offre de produits, etc – et pas sur l’identité de la personne qui par exemple signe un bon de commande. L’autorité liée à la signature d’un bon de commande est déterminée par des procédures internes indépendantes de la personne concernée.
Pour ces raisons, le potentiel d’utilisation de l’eID est réduit et les entreprises utilisent des systèmes internes fermés comme Isabel.
72
L’eID peut toutefois être utilisé lorsque des procédures formelles et des mesures de sécurité sont d’application, par exemple, pour les affaires traitées avec le gouvernement, dans lesquelles tout est réglé par des procédures strictes qui requièrent des signatures officielles de personnes mandatées.
L’eID peut être utilisé dans ce cas, mais les entreprises qui possèdent un système interne (tel qu’Isabel ou quelques produits de Certipost) disposent généralement de certificats d’entreprise, permettant la signature électronique, qui peuvent alors être utilisés.
Pour les indépendants et les petites PME qui n’investissent pas dans un système interne, l’eID peut être utilisé dans leurs contacts avec les autorités, comme cela existe déjà pour Tax-on-web : le dirigeant d’entreprise et le comptable peuvent utiliser ce service avec leur eID, c’est-à-dire en leur nom propre.
Business-to-Government (B2G)
Le commerce entre les entreprises et les autorités est généralement fort réglementé par des procédures d’achat strictes. Si à l’avenir, les autorités annoncent les marchés via l’Internet et prévoient la possibilité de soumissionner en ligne, l’eID pourra constituer un instrument utile pour l’authentification et la signature électronique de documents. Cette question ne sera pas approfondie car elle fait partie de l’e-gouvernement. Toutefois, il faudra veiller à ce que cela n’avantage pas les entreprises belges par rapport aux autres, ce qui constituerait alors une entrave à la libre circulation des biens et des services.
Business-to-Employee (B2E)
Les processus de communication entre employeur et travailleur sont de plus en plus automatisés en utilisant l’Internet ou l’Intranet. Caractéristiques types de ces processus :
x Les informations échangées entre les parties sont pour la plupart confidentielles, par exemple, les informations relatives au salaire, aux maladies, à l’invalidité, à la situation familiale, etc.
x Les informations concernant la gestion des affaires et les produits sont également protégées, en fonction du profil du travailleur.
x La multiplicité d’applications, la complexité des systèmes ICT, le télétravail, la politique de sécurité des entreprises alimentent le besoin d’une approche intégrée avec un système d’identification unique (« single-sign-on »).
L’eID offre de nombreuses opportunités à ce niveau, notamment pour :
x L’inscription de nouveaux travailleurs
x La connexion au réseau de l’entreprise, la consultation d’informations personnelles, l’horodatage – tant au bureau qu’en télétravail
x La signature électronique de documents de l’entreprise et la sécurisation de documents et d’e-mails
x L’accès au réseau pour les partenaires de l’entreprise via un Extranet sécurisé
73
L’eID peut également offrir une alternative au badge d’entreprise, par exemple, pour l’accès aux bâtiments, au parking, au restaurant d’entreprise. Le tableau suivant présente tous les aspects du badge d’entreprise combinés à l’utilisation de l’eID et d’un autre système.
Aspects du badge
d’entreprise eID Autre système
Certificats et système PKI Mis à disposition gratuitement par les
autorités Requiert un investissement Technologie Carte contact avec puce Plusieurs possibilités : RFID, puces
mémoires compartimentées...
Coût du badge Uniquement en cas de perte ou de vol
(quelques dizaines d’euros) Coûts variables de quelques euros à 50 cents pour les grandes quantités Disponibilité
(perte ou vol du badge) Temps d’attente, coût élevé Remplacement immédiat, faible coût Durabilité Sensibilité à l’usure des contacts Possibilité d’opter pour des systèmes plus
durables, par ex. RFID Protection de la vie privée Données personnelles sur l’eID e.a.
numéro de registre national Seules les données liées à la fonction du travailleur figurent sur la carte : l’entreprise peut décider elle-même du contenu de la carte
Indépendance Liée au cadre réglementaire de l’eID Indépendance en ce qui concerne le cryptage utilisé et l’utilisation des emplacements de mémoire
Possibilités d’application Possibilités d’application moindres Possibilités d’application illimitées : solde restaurant, solde chèques repas...
En conclusion, l’eID peut offrir une opportunité d’utilisation intéressante comme badge d’entreprise dans les PME – à condition de résoudre les problèmes liés à la vie privée et au numéro de registre national – car elle permet d’économiser différents coûts. Dans les grandes entreprises, ces avantages ne compensent toutefois pas les inconvénients, notamment la disponibilité, l’usure de la carte, l’absence d’indépendance, les possibilités d’application limitées, etc.
Le chapitre consacré aux applications présente certaines applications spécifiquement conçues pour la communication entre l’employeur et le travailleur, par exemple l’inscription de nouveaux travailleurs, la connexion au système, l’horodatage, le contrôle d’accès physique, etc.
Consumer-to-Consumer (C2C)
Le commerce entre consommateurs offre de nombreuses possibilités d’utilisation de l’eID. Ces dernières se situent essentiellement dans le commerce électronique.
La différence avec le B2C est que dans le C2C, le vendeur est un consommateur et pas une entreprise Internet soumise à la législation et aux labels de qualité définis par le secteur ; il ne risque pas de ruiner sa « réputation » en cas de pratiques malhonnêtes.
Si une entreprise doit répondre à une législation spécifique, par exemple, l’identification des commerçants, le numéro de registre de commerce, etc, la réglementation et les obligations sont quasiment inexistantes dans le domaine C2C. De plus, le consommateur reste anonyme, ce qui ouvre la porte aux fraudeurs.
74
Certaines places de marché en ligne telles qu’eBay ont mis en place des évaluations de fiabilité, mais celles-ci peuvent être contournées par de fausses inscriptions.
Les principaux problèmes auxquels l’eID peut offrir une solution ont trait à la fraude et à l’accès des mineurs d’âge.
Fraudes possibles
x Certains articles ne parviennent pas aux acheteurs
x Certains articles sont d’origine frauduleuse, par exemple, des articles volés
x Des produits illégaux sont mis en vente, par exemple, des organes
x Certains commerçants tentent d’éluder ainsi l’impôt
Il existe une initiative conjointe du SPF Economie et de la police : eCops. Ce guichet électronique permet de signaler une fraude : toutes les informations relatives aux entreprises malhonnêtes sont stockées dans une banque de données commune.
Problèmes liés aux mineurs d’âge
x Le commerce électronique soulève de nombreux problèmes liés aux mineurs d’âge : pour le moment, ceux-ci ne doivent pas s’identifier et peuvent donc acheter et vendre librement.
x Le problème des mineurs d’âge se pose de manière d’autant plus aiguë qu’il est aujourd’hui possible d’effectuer des paiements par SMS. Les enfants ne peuvent théoriquement pas conclure de contrat, mais la jurisprudence l’accepte pour de petites dépenses, sans l’autorisation des parents. Cette situation comporte des risques car où se trouve la limite entre petites et grandes dépenses? Quelle forme de contrôle exercer?
L’authentification avec l’eID peut apporter une solution à ces deux problèmes. Celle-ci permettrait d’améliorer la sécurité des transactions en ligne en garantissant l’identité de la personne.
Authentification avec l’eID sur des places de marché en ligne telles qu’eBay
L’utilisation de l’eID comme moyen d’authentification sur des places de marché en ligne telles qu’eBay permettrait de sanctionner les fraudes en établissant la preuve du contrat, les coûts pourraient donc être remboursés.
Les commerçants malhonnêtes qui se font passer pour de simples consommateurs afin de contourner la réglementation et d’éluder l’impôt pourraient ainsi être plus facilement confondus.
Le principal obstacle avec eBay est que l’entreprise est internationale mais que l’investissement ne porterait ses fruits qu’en Belgique. Il faut se demander s’il existe des abus à suffisamment grande échelle pour justifier un investissement dans une application sur la base de l’eID et si les obstacles – par exemple économiques, psychologiques ou techniques – ne décourageraient pas son utilisation.
Cette analyse est menée de manière approfondie dans l’étude de cas sur eBay.
Mineurs d’âge
L’authentification permet de vérifier l’âge d’une personne. S’il apparaît que celle-ci est mineure, on pourra automatiquement lui refuser la vente.
Consumer-to-Business (C2B)
Dans ce modèle commercial qui voit les particuliers proposer des produits et services aux entreprises, l’eID peut avoir son utilité étant donné que ce modèle recouvre principalement des transactions effectuées via l’Internet. Le particulier qui propose ses services peut utiliser l’eID pour
75
l’identification, l’authentification et la signature électronique de documents dans sa relation avec l’entreprise pour laquelle il accomplit des services.