L
avie priv´ee, comme l’identit´e, est un concept social et culturel et qui se rapproche du concept de libert´e individuelle ´enonc´e dans la d´eclaration universelle des droits de l’homme. A.F. Westin [35] en donne la d´efinition suivante : ”La vie priv´ee est la revendication pour un individu, un groupe d’individus ou des institutions `a d´eterminer pour eux-mˆemes quand, comment et pour quelle raison une information `a leur propos est communiqu´ee `a un tiers. Du point de vue de la relation entre un individu et la soci´et´e, la vie priv´ee constitue le retrait volontaire et temporaire d’une personne `a la vie sociale par des moyens physiques ou psychologiques, soit dans un ´etat de solitude, dans un petit groupe d’intimes ou en ´etant anonyme au sein de groupes plus importants”. Pour garantir ce droit dans le monde abstrait des syst`emes d’informations, les l´egislations ont cherch´e `a prot´eger les donn´ees personnelles des individus, c’est le cas notamment avec la directive europ´eenne 95/46/CE [36]. Cedroit permet `a un individu de contrˆoler, modifier voire supprimer toute donn´ee personnelle. Or telle que nous l’avons d´efinie, l’identit´e num´erique consiste justement en un ensemble de donn´ees relevant de ce droit. L’identit´e num´erique doit donc ˆetre prot´eg´ee face `a un certain nombre de menaces faites `a la vie priv´ee de l’entit´e qu’elle d´esigne. Dans cette partie, nous pr´esentons ces menaces et les concepts associ´es. Ces concepts ont ´et´e principalement propos´es par D.J. Solove [37, 38], par A. Pfitzmann et Hansen [7] ainsi que par M. Deng [39]. Les traductions fran¸caises des termes sont propos´ees par Y. Deswarte dans [7].
1.5.1 Tra¸cabilit´e - Inassociabilit´e
L’inassociabilit´e10
consiste `a cacher le lien qui existe entre deux ou plusieurs entit´es. Pfitzmann et Hansen [7] d´efinissent cette propri´et´e ainsi : ”l’inassociabilit´e entre au moins deux ´el´ements d’int´erˆet (sujets, messages, actions, . . . ) du point de vue d’un attaquant signifie qu’`a l’int´erieur d’un syst`eme (en compromettant ces ´el´ements et en ayant la possibilit´e d’en compromettre d’autres) l’attaquant ne puisse suffisamment distinguer si ces ´el´ements sont li´es”. Cela signifie par exemple, que si un individu dispose de plusieurs identit´es num´eriques sur un syst`eme, un attaquant ne pourra pas ´etablir de lien entre ces identit´es. De mˆeme, si les deux identit´es de l’individu sont pr´esentes sur deux syst`emes diff´erents, un attaquant ayant compromis les deux syst`emes ne pourra ´etablir de lien entre ces deux identit´es.
1.5.2 Identification - Anonymat et pseudonymat
Paradoxalement, il existe un risque associ´e `a l’identit´e num´erique concernant l’identification de l’individu qu’elle d´esigne. En effet, nous avons vu dans la partie ”D´e-finitions” qu’un individu pouvait poss´eder plusieurs identit´es num´eriques. Si certaines revendications de ces identit´es peuvent reprendre des ´el´ements permettant d’identifier une personne dans le monde r´eel (son nom, son adresse, . . . ), cette derni`ere peut aussi choisir d’utiliser des revendications dites anonymes qui ne permettent pas de l’identifier au sein d’une population. Ainsi, Pftizmann et Hansen [7] d´efinissent : ”l’anonymat d’un sujet du point de vue de l’attaquant signifie que ce dernier ne peut pas suffisamment identifier le sujet au sein d’un ensemble de sujets, l’ensemble d’anonymat”. Comme ils le pr´ecisent, le terme ”suffisamment” indique qu’il existe un
seuil `a partir duquel l’anonymat est lev´e.
Pour l’identit´e num´erique, la notion de k-anonymat d´efinie par Sweeney [40] et approfondie par Ciriani et al. [41] permet d’expliciter ce seuil. La propri´et´e de k-anonymat demande qu’aucun des enregistrements d’une table de base de donn´ees ne soit caract´eristique de moins de k individus. Cette d´efinition se base sur l’entropie d’un message d´efinie par Shannon [42].
Un pseudonyme va constituer une identit´e num´erique qui va permettre `a un individu de se construire une r´eputation sur des services en ligne comme les r´eseaux sociaux, les blogs ou encore sur des encyclop´edies en ligne comme Wikipedia. Selon Pf-tizmann et Hansen [7] ; ”un pseudonyme est un identifiant du sujet autre que son vrai nom. Le pseudonymat est l’utilisation de pseudonymes comme identifiant. Un sujet est pseudonymique si un pseudonyme est utilis´e comme identifiant `a la place de son nom”.
1.5.3 Non-r´epudiation - R´epudiation
La r´epudiation est explicit´ee par Roe dans [43] et stipule qu’il peut exister des entit´es qui ne souhaitent pas qu’une action puisse leur ˆetre imput´ee pour des raisons propres `a leur vie priv´ee. Dans le domaine de l’identit´e num´erique, cela signifie qu’il n’existe pas de lien entre une action et une identit´e num´erique.
1.5.4 D´etection et observation - Ind´etectabilit´e et
Inobservabi-lit´e
La propri´et´e d’ind´et´ectabilit´e11
est d´efinie par Pftizmann et Hansen [7] comme suit : ” l’ind´etectabilit´e d’un ´el´ement d’int´erˆet du point de vue de l’attaquant signifie que ce dernier ne peut suffisamment distinguer si cet ´el´ement existe ou non. Si on consid`ere les messages comme des ´el´ements d’int´erˆet, cela signifie que ces derniers ne sont pas discernables du bruit de fond”. Les techniques de st´eganographie pr´esentent par exemple cette propri´et´e d’ind´etectabilit´e. La propri´et´e d’inobservabilit´e12
est d´efinie dans [7] comme la combinaison de la propri´et´e d’ind´etectabilit´e vis `a vis d’entit´es externes et de la propri´et´e d’anonymat vis `a vis d’entit´es impliqu´ees dans
11. Traduit de l’anglais : undetectability 12. Traduit de l’anglais : unobservability
l’´el´ement d’int´erˆet.
1.5.5 Vol d’information - Confidentialit´e
La propri´et´e de confidentialit´e est la mˆeme que la propri´et´e de s´ecurit´e, mais elle est ´egalement importante pour prot´eger la vie priv´ee. En particulier, dans le cas de l’identit´e num´erique, la confidentialit´e de cette derni`ere va permettre la protection de donn´ees identifiantes.
1.5.6 Conscience du contenu
Cette propri´et´e propos´ee par Deng [39], pr´ecise que le sujet doit ˆetre conscient des donn´ees personnelles qu’il poss`ede et qu’il divulgue. Cette propri´et´e est int´eressante du point de vue de l’identit´e num´erique, et reprend en partie la troisi`eme loi de l’identit´e ´enonc´ee par Cameron [10] ”parties l´egitimes”13
qui pr´ecise que les entit´es qui utilisent une identit´e num´erique doivent le faire de mani`ere l´egitime et limiter la collecte abusive de donn´ees non n´ecessaires au traitement qu’elles proposent. Par exemple, les travaux du projet de plate-forme pour les pr´ef´erences li´ees `a la vie priv´ee (P3P) [44], permettent `a un site Web de d´eclarer l’usage qui va ˆetre fait des donn´ees qu’il collecte. M. Deng ajoute `a cette loi le fait que le propri´etaire de l’identit´e num´erique doit ´egalement tenir `a jour ses informations afin d’´eviter les d´ecisions prises sur des donn´ees p´erim´ees.
1.5.7 Conformit´e `a une politique et au consentement
Cette derni`ere propri´et´e ´egalement ´enonc´ee par Deng [39], se concentre sur les syst`emes qui utilisent l’identit´e en pr´ecisant que ces derniers doivent s’assurer du consentement du sujet pour proposer leurs services. Cette propri´et´e est ´equivalente `a la premi`ere loi de l’identit´e de Cameron [10] ”contrˆole et consentement” et est ´egalement en accord avec les l´egislations ´evoqu´ees en introduction [36].
1.6 Conclusion
D
ans cette partie, nous avons d´efini ce qu’est une identit´e num´erique, c’est-`a-dire un ensemble de donn´ees sur des revendications faites par une entit´e `a propos d’elle-mˆeme ou d’une autre entit´e. Le but de ces revendications ´etant de permettre l’´etablissement d’une relation de confiance entre ces deux entit´es. Nous avons vu qu’elle soulevait deux probl´ematiques : la s´ecurit´e et la protection de la vie priv´ee. Nous nous sommes donc int´eress´es `a ces probl´ematiques en pr´esentant et d´efinissant un certain nombre de menaces et propri´et´es et leurs applications `a l’identit´e num´e-rique.Tout d’abord, nous avons vu que cette identit´e ´etait un moyen d’assurer la s´ecurit´e puisqu’elle est la r´eponse directe `a l’authentification d’une entit´e. Cependant, pour faire confiance en cette identit´e, une entit´e doit pouvoir ´egalement ˆetre assur´ee de la s´ecurit´e de cette derni`ere et donc se baser sur une autre identit´e num´erique. La gestion de l’identit´e est un mod`ele r´ecursif o`u pour valider la s´ecurit´e, il est n´ecessaire de se baser sur un ensemble de validations de niveau inf´erieur. Pour aider cette validation, nous avons pr´esent´e un certain nombre de m´ecanismes cryptographiques qui permettent de s’assurer des autres propri´et´es de s´ecurit´e comme l’int´egrit´e de la donn´ee.
Nous nous sommes ensuite int´eress´es `a la probl´ematique de la protection de la vie priv´ee et ´enonc´e, comme pour la s´ecurit´e, un certain nombre de propri´et´es. Ces propri´et´es peuvent sembler ˆetre en contradiction avec les propri´et´es de s´ecurit´e et la d´efinition mˆeme d’une identit´e num´erique. Il est bien souvent consid´er´e que l’augmentation de la s´ecurit´e se fait au d´epens de la protection de la vie priv´ee et de l’utilisabilit´e d’un syst`eme. Cependant, cette inad´equation est largement remise en question actuellement [45]. Pour le cas de l’identit´e num´erique, il apparaˆıt que ces deux probl´ematiques doivent ˆetre abord´ees conjointement afin de garantir le respect des libert´es fondamentales.
Au chapitre2, nous pr´esentons un ´etat de l’art des solutions de gestion d’identit´e qui ont cherch´e `a r´epondre `a ces probl´ematiques. Nous commen¸cons par ´enum´erer les diff´erents mod`eles de gestion d’identit´e puis nous d´etaillons les protocoles et langages utilis´es. Cet ´etat de l’art va nous permettre ensuite de r´ealiser un inventaire des fonctionnalit´es pr´esentes dans les syst`emes de gestion d’identit´es.