Contrôle d’identité en ligne: plates-formes blockchain contre gouvernements et Facebook

Nous vivons à une époque d’inquiétude sans précédent sur l’identité. Les craintes abondent que nos données personnelles soient abusées par des tiers distants, alors que ces données sont devenues plus précieuses pour nous à un moment où nos identités et les politiques identitaires que nous fondons autour d’elles sont devenues plus centrales dans nos vies. C’est dans ce contexte que la technologie blockchain est apparue, et bien que son application au-delà des crypto-monnaies soit encore limitée, la protection de nos identités et données en ligne de manière plus sécurisée semble être l’une de ses applications les plus centrales..

Dans ses grandes lignes, l’utilisation de blockchains dans le domaine de la sécurisation des données personnelles est simple: nos données sont stockées sous forme cryptée sur un réseau décentralisé, et nous pouvons accorder à d’autres parties l’accès à (certaines de) ces données en utilisant nos clés privées, de la même manière que l’utilisation de nos clés nous permet d’envoyer de la crypto-monnaie à quelqu’un d’autre. En vertu de ce cadre de base, la technologie de la blockchain promet de remettre le contrôle sur nos données entre nos mains, à un moment où Facebook et d’autres géants de la technologie en abusent et en abusent. Et vu comment les géants de la crypto comme Coinbase sont récemment passés dans le domaine de l’identification décentralisée, il semblerait qu’il bénéficie déjà d’un soutien et d’un soutien solides au sein de l’industrie de la crypto-monnaie.

Cependant, aussi solide que tout cela soit en principe, il existe une variété de défis – certains techniques, d’autres commerciaux – qui doivent être surmontés avant que les blockchains puissent être utilisées à grande échelle pour sécuriser les données personnelles. Les entreprises travaillant dans ce domaine abordent toutes ces problèmes sous des angles différents, mais il semblerait que pour les résoudre, il soit nécessaire de s’écarter (partiellement) des idéaux de décentralisation «complète»..

Et même lorsque les défis techniques seront tous surmontés, il restera la question du sevrage des personnes hors des plateformes telles que Facebook, qui – grâce aux bénéfices de la centralisation – peut se permettre d’offrir au public un service séduisant “ gratuit ” et soigné..

Contrôle et confidentialité

Alastair Johnson, PDG et fondateur de la plate-forme de commerce électronique et d’identification Nuggets, Johnson comprend trop bien les pièges du stockage de masses de données d’identification dans des silos centralisés.

"Aujourd’hui, la réalité est que les individus ne contrôlent pas leurs données personnelles de manière significative. En moyenne, une personne dispose de données personnelles – sous forme de détails de carte de paiement, d’adresses de domicile, d’adresses e-mail, de mots de passe et d’autres informations personnelles – réparties sur environ 100 comptes en ligne. Ils peuvent accéder à ces données mais ne les possèdent pas."

En revanche, l’utilisation de la technologie blockchain accorde un nouveau contrôle à l’utilisateur, qui sera habilité à partager ses données d’identification uniquement avec les parties qu’il approuve. Ceci est réalisé principalement grâce à l’utilisation d ‘«identifiants décentralisés» (DID), comme l’explique la Fondation Sovrin, qui construit une plateforme de blockchain visant à fournir aux individus "identité auto-souveraine" (c’est-à-dire un identifiant qu’ils peuvent emporter avec eux d’une plateforme à l’autre). Comme il le note dans son papier blanc, "identifiants décentralisés" (DID) non seulement encodent des informations qui identifient une personne comme, par exemple, une femme, une asiatique, 35 ans et vivant en France, mais ils contournent également la nécessité d’une autorité centralisée pour vérifier les demandes d’identité..

"Un DID est stocké sur une blockchain avec un document DID contenant la clé publique du DID, toute autre information d’identification publique que le propriétaire de l’identité souhaite divulguer et les adresses réseau pour l’interaction. Le propriétaire de l’identité contrôle le document DID en contrôlant la clé privée associée."

En d’autres termes, un protocole pour une blockchain appropriée est créé, les utilisateurs enregistrent leurs données d’identification sur cette blockchain, puis utilisent leurs clés privées pour décrypter ces données pour les parties choisies. C’est le type de système également utilisé par Nuggets, bien que dans son cas, il soit appelé "stockage sans connaissance," puisque personne d’autre ne sait ce que vos données disent de vous. Et c’est aussi le système sur lequel travaille Coinbase, qui a annoncé le 15 août son acquisition de Distributed Systems, une start-up axée sur l’ID. Après avoir acheté la société basée à San Francisco pour un montant non divulgué, elle va maintenant développer un système de connexion décentralisé pour sa propre plate-forme d’échange de crypto-monnaies qui permettra aux utilisateurs de conserver la propriété de leurs identifiants..

“Une identité décentralisée vous permettra de prouver que vous possédez une identité, ou que vous avez une relation avec l’administration de la sécurité sociale, sans faire une copie de cette identité”, a écrit dans son communiqué de presse.

Avec une telle configuration, il y a peu de chance d’un scandale de style Cambridge Analytica où les données sont partagées avec des groupes ou des individus indésirables, tout en accordant également un pouvoir sans précédent à l’utilisateur individuel, qui est susceptible d’être traité avec beaucoup plus de respect par les entreprises maintenant que son les données sont si rares. Comme expliqué par Johnson, cela fournit une grande amélioration par rapport à la phase actuelle des affaires.

«[Les données personnelles] sont stockées et contrôlées dans une série de bases de données centralisées contrôlées par des institutions telles que des détaillants, des sociétés de marketing, des sociétés de services publics et des sociétés de communication de données. Pour effectuer des achats en ligne, les particuliers autorisent simplement ces différents organismes à relier les différentes informations qu’ils détiennent afin d’autoriser une transaction. »

Cependant, alors que l’utilisateur individuel dépend actuellement de centaines d’entreprises différentes pour stocker et transmettre ses données afin d’accéder aux services, l’introduction de la technologie blockchain inverse complètement l’équilibre des pouvoirs. Johnson partage avec Cointelegraph:


"Les solutions basées sur la blockchain renversent ce modèle, afin que les individus puissent stocker et contrôler leurs données associées à une identité numérique. Il n’est pas stocké dans les bases de données centralisées d’organisations tierces, il peut être stocké sur la blockchain dans un réseau décentralisé. L’individu contrôlant ses données de cette manière, il a alors un contrôle total pour idéalement ne pas avoir à partager ou stocker quoi que ce soit en utilisant des attestations, des jetons ou des références et ne les partager que si et quand ils le souhaitent.."

Pourtant, ce n’est que la pointe de l’iceberg, car l’utilisation de la technologie blockchain pour confirmer qui nous sommes offre de nombreux avantages supplémentaires indépendants de la volonté de l’utilisateur. D’une part, cela renforce la confidentialité, car avec de nombreuses plates-formes proposées, nos informations d’identification ne seront même pas révélées aux parties et aux organisations nécessitant leur vérification..

Ceci est activé via l’utilisation de preuves sans connaissance (ZKPs), une méthode cryptographique qui peut prouver une réclamation sans réellement partager les données (“ connaissances ”) grâce auxquelles la réclamation est prouvée. Les ZKP sont mis en œuvre par Sovrin et sont également prévus pour être utilisés par des startups telles que Civic, Verif-y et Blockpass. En les utilisant, ces entreprises rendront le processus de vérification d’identité plus simple et plus efficace, tout en ouvrant la possibilité de stocker des identifiants biométriques sur la blockchain. Ils éviteront aux organisations qui vérifient nos identifiants d’avoir à stocker en toute sécurité des données personnelles après les avoir validées, ce qui élimine à son tour une vulnérabilité potentielle, étant donné que ces organisations auraient normalement conservé toutes les données qu’elles ont reçues sur une base de données centralisée..

Et bien que toutes les plates-formes d’identité décentralisées n’emploieront pas les ZKP, d’autres utiliseront toujours des méthodes fonctionnellement similaires. Par exemple, SelfKey exploite une technique qu’il décrit comme "minimisation des données," lequel "permet au propriétaire de l’identité de fournir le moins d’informations possible pour satisfaire la partie de confiance ou le vérificateur." Cela évite la nécessité de développer des technologies avancées telles que les ZKP, bien que cela soulève des questions sur ce que l’on entend par «minimal». SelfKey écrit que "les réclamations peuvent être signées de manière à ce que l’on puisse choisir de ne divulguer qu’un minimum d’informations." Mais sans une spécification plus formelle de "le minimum" et "choisir," il est concevable que de telles approximations fonctionnelles de ZKP puissent finir par révéler plus de données que certains utilisateurs ne le souhaiteraient.

Sécurité

En plus d’offrir un meilleur contrôle des utilisateurs et une plus grande confidentialité, les plates-formes de vérification d’identité basées sur la blockchain sont plus sécurisées que leurs homologues centralisés. En effet, étant distribués entre plusieurs nœuds, ils ne souffriront pas d’avoir un seul point de défaillance comme les systèmes d’identification traditionnels – par ex. bases de données gouvernementales, réseaux sociaux. En tant que tel, un ou deux nœuds d’une blockchain peuvent devenir inactifs et les utilisateurs pourront toujours l’utiliser, tandis que le cryptage impliqué empêche toute donnée publiquement disponible d’être glanée pour des informations sensibles..

En supprimant le point de défaillance unique, les plates-formes d’identification décentralisées font de Yahoo! style hack presque impossible. Au lieu de pouvoir pénétrer dans une base de données centralisée qui héberge toutes les informations utilisateur en un seul endroit, les attaquants devront obtenir les clés privées de chaque individu une par une, ce qui est extrêmement improbable dans la pratique. Alastair Johnson est d’accord:

"Le principal avantage d’un registre décentralisé de données personnelles sur une base de données centralisée est la sécurité contre les pirates informatiques qu’il offre. Nous connaissons tous les principales violations de données qui se sont produites ces dernières années, comme celle d’Equifax en 2017. Ces bases de données centralisées agissent comme des aimants pour les pirates qui n’ont souvent besoin que de profiter d’une seule vulnérabilité pour les éliminer ou en extraire des données."

En revanche, les registres décentralisés ne sont pas si sensibles aux cyberattaques. "Le détournement d’un seul nœud ne perturbera pas le fonctionnement en cours du grand livre, car les autres nœuds peuvent continuer à fonctionner sans l’implication du nœud compromis et le réseau nécessite un consensus pour prouver les blocages."

La sécurité fait partie des raisons pour lesquelles le gouvernement indien, par exemple, est se tourner vers la blockchain pour sa base de données AADHAAR – le plus grand système d’identification biométrique au monde, contenant les enregistrements de plus d’un milliard de personnes – car le pays a été victime de piratages répétés au cours de la dernière année.

Avec une telle plate-forme remaniée, il y aura une variété d’avantages en matière de sécurité. La transparence et l’immuabilité des blockchains signifieraient que les utilisateurs peuvent voir quand leurs données ont été consultées et par qui, ce qui dissuade tout pirate potentiel. De même, cette transparence et cette immuabilité ne peuvent être violées que dans le cas peu probable où un mauvais acteur prendrait le contrôle de 51% des nœuds de la blockchain, ce qui permettrait en théorie d’accéder aux données puis d’effacer les enregistrements correspondants de cet accès illégitime..

AADHAAR n’est actuellement pas basé sur la blockchain, tandis qu’un projet comparable du gouvernement de Dubaï visant à utiliser l’identification basée sur la blockchain à l’aéroport international est toujours en construction. Cependant, un système d’identification dirigé par le gouvernement qui utilise actuellement la technologie du grand livre distribué (DLT) se trouve en Estonie. Sa blockchain KSI (Keyless Signature Infrastructure) forme l’épine dorsale de divers services électroniques, y compris le système de dossier de santé électronique, la base de données e-Prescription, les systèmes e-Law et e-Court, les données e-Police, l’e-Banking, l’e-Business Registre et registre foncier électronique.

Encore une fois, l’utilisation de la blockchain KSI offre une plus grande transparence que les systèmes précédents, car elle détecte à quel moment les données utilisateur ont été consultées et quand elles ont été modifiées. Et comme l’explique la FAQ e-Estonia, c’est beaucoup plus rapide que les plates-formes traditionnelles détecter les abus de données:

"[Il] faut actuellement aux organisations […] environ sept mois pour détecter les violations et les manipulations de données électroniques. Avec des [solutions] blockchain comme celle que l’Estonie utilise, ces violations et manipulations peuvent être détectées immédiatement."

Non seulement les violations peuvent être détectées immédiatement ou rapidement sur un système d’identification basé sur la blockchain, mais elles sont plus susceptibles d’être détectées plus rapidement qu’avec une plate-forme centralisée en raison de leur accès public et continu à un examen minutieux à partir d’un large éventail de fauteuils. experts et professionnels, comme l’a souligné Paul Makowski, directeur technique de PolySwarm, dans un Article de blog de décembre sur l’intelligence des menaces décentralisée:

"Des experts en sécurité géographiquement divers, compétents en ingénierie inverse ou capables de fournir des informations uniques seront en mesure d’exercer leurs connaissances dans le confort de leur propre maison ou où (et quand) ils choisissent de travailler."

Standardisation, interopérabilité

À l’heure actuelle de l’histoire, les systèmes d’identité numérique du monde sont séparés les uns des autres, séparés d’une manière qui oblige les gens à créer de nouveaux comptes et de nouvelles données pour pratiquement tous les services numériques qu’ils utilisent. Cela entraîne une prolifération des données personnelles à des niveaux dangereux, ce qui rend les violations de données et la cybercriminalité beaucoup plus probables. Par exemple, le coût du vol d’identité atteint 106 milliards de dollars rien qu’aux États-Unis entre 2011 et 2017, à une époque où le consommateur moyen 118 comptes en ligne (au moins au Royaume-Uni, où les données étaient disponibles).

Les systèmes d’identification numérique basés sur la blockchain offrent un moyen de s’en sortir. Alors que la plupart des chaînes sont actuellement coupées les unes des autres, des normes d’identité numérique souveraine sont en cours d’élaboration par le Fondation d’identité numérique (DIF) et le World Wide Web Consortium (W3C). De même, un certain nombre de startups construisent des plates-formes d’interopérabilité reliant des chaînes de blocs distinctes, notamment Polkadot, Cosmos et Aion. En s’efforçant de créer un écosystème dans lequel les normes d’une plate-forme d’identité sont acceptées par toutes les autres plates-formes qui nécessitent une vérification d’identité, ces organisations pourraient réduire considérablement la quantité de données personnelles que les gens doivent produire. Au lieu de cela, les utilisateurs créeraient un compte avec un service d’identification basé sur la blockchain, qu’ils utiliseraient ensuite pour s’inscrire auprès d’une multitude d’autres services et systèmes..

INFOGRAPHIE

Jeremy Epstein, PDG de Never Stop Marketing, a déclaré dans un Blog de décembre:

"Les normes d’interopérabilité libèrent du capital et du temps pour générer de la valeur. De plus, il offre la possibilité de mutualiser la sécurité (rendant l’ensemble du système plus robuste contre les attaques) et de permettre des transactions sans confiance à travers les chaînes."

L’interopérabilité de la blockchain est encore un domaine naissant et différentes organisations poursuivent des approches différentes. Cependant, pour prendre un exemple, Polkadot vise à réaliser l’interopérabilité via ses "multi-chaîne hétérogène," qui a trois composants fondamentaux. Ceux-ci sont "parachaines," qui sont en fait les blockchains individuelles liées entre elles, "des ponts" qui connectent chaque parachain au réseau Polkadot, puis au réseau Polkadot lui-même, qui est un "chaîne de relais" des différentes parachaines étant connectées.

D’autres voies vers l’interopérabilité s’en éloignent, avec Cosmos réaliser communication inter-chaîne via l’utilisation de l’algorithme de consensus Tendermint et avec le réseau Aion monétiser transactions interchaînes. Cependant, en supposant qu’une plate-forme d’interopérabilité reçoive une adoption universelle au sein de l’écosystème blockchain, les utilisateurs constateraient qu’ils n’auront à enregistrer leurs données personnelles qu’une seule fois. À partir de là, ils pourront fournir à d’autres plates-formes des attestations d’identité en toute sécurité et rapidement, le tout sans avoir à révéler aucune de leurs données aux entreprises et aux services qu’ils utilisent..

Évoluer vers un nouveau type de blockchain

Les avantages promis par les systèmes d’identification basés sur la blockchain – contrôle, sécurité et normalisation – sont tous attrayants, mais des questions demeurent quant à la faisabilité de ces systèmes et combien de temps nous devrons attendre qu’ils soient libérés sous une forme pleinement fonctionnelle. En plus de cela, il y a aussi l’inquiétude que – malgré toutes les améliorations offertes par les blockchains – en tant que société, nous pourrions toujours rester attachés aux services en ligne “ traditionnels ” et aux organisations qui en sont responsables, qui pourraient résister activement à l’adoption de plates-formes décentralisées qui permettent nous pour garder les données pour nous.

Sans surprise, le plus gros problème en ce qui concerne la faisabilité est celui de l’évolutivité, si souvent la guérison d’Achille de nombreux projets basés sur la cryptographie. Étant donné qu’un service d’identification devrait – par définition – être en mesure de servir des millions de personnes, toute blockchain qui constitue la base d’un tel service doit être considérablement évolutive. Pourtant, jusqu’à présent la blockchain la plus populaire pour les applications décentralisées (DApps) – Ethereum – a été presque détruit par un jeu vidéo populaire l’année dernière, CryptoKitties. C’est pourquoi la plupart des plates-formes mentionnées ci-dessus ne sont construites sur aucune des blockchains les plus connues, mais plutôt sur des registres propriétaires, dont certains ne répondent pas à la définition conventionnelle d’une blockchain décentralisée.

Par exemple, Enigma est un "plateforme de calcul décentralisée" qui a été conçu pour être utilisé avec la vérification d’identité, entre autres. Comme décrit dans son papier blanc, il résout le problème d’évolutivité en déléguant tout "calculs intensifs vers un réseau hors chaîne." Ce réseau stocke également toutes les données utilisateur, tandis que la blockchain elle-même ne fait que stocker "références ”à ces données. En d’autres termes, la plate-forme d’Enigma n’est pas vraiment une blockchain – et bien que son réseau hors chaîne soit toujours distribué (bien que chaque nœud voit des parties distinctes des données globales), il ne s’agit pas d’une décentralisation comme, par exemple, le Bitcoin blockchain est.

Quelque chose de similaire pourrait être dit pour d’autres plates-formes d’identification basées sur la blockchain: la blockchain KSI de l’Estonie n’est pas une blockchain à part entière qui utilise une cryptographie à clé asymétrique, mais plutôt une Grand livre basé sur l’arborescence Merkle. Pendant ce temps, le réseau Sovrin parvient à un consensus via un ensemble limité de "nœuds de validation," sans doute le rendant moins décentralisé que certaines autres blockchains. Ensemble, ce que ces compromis révèlent, c’est que si une plate-forme d’identification doit être évolutive (et également privée), elle doit être moins distribuée dans certains domaines – et sans doute moins sécurisée en conséquence. Mais plus important encore, d’un point de vue pratique, il doit également redéfinir et adapter ce qu’est une “ blockchain ”, car les chaînes les plus connues ne sont actuellement pas à la hauteur pour sécuriser et communiquer nos données personnelles à grande échelle..

Droits acquis

C’est pourquoi même les projets les plus avancés ont des feuilles de route qui s’étendent au-delà de 2020, car une plate-forme d’identification viable nécessite un nouveau type de registre distribué qui concilie le besoin de transparence cryptographique avec le besoin de confidentialité individuelle. Et même si l’une des plates-formes ci-dessus atteint cet objectif de sitôt, elle aura un autre obstacle majeur à franchir: la domination des arbitres d’identité existants, y compris les géants des médias sociaux comme Facebook, ainsi que les gouvernements nationaux..

Initiatives gouvernementales

Par exemple, le ROYAUME-UNI. et australien Les gouvernements ont investi des millions dans la construction de leurs propres systèmes de vérification d’identité centralisés ces dernières années, ce qui rend improbable qu’ils cèdent facilement la place à une alternative décentralisée. De même, l’idée de la refonte de Facebook avec une plate-forme véritablement décentralisée – où les utilisateurs gardent leurs données personnelles secrètes – est, bien, franchement impensable, vu que le réseau social récolte des milliards de bénéfices annuels en vendant nos données au plus offrant. Il est également largement utilisé pour identifier les personnes en ligne, il est donc peu probable qu’il abandonne facilement sa domination sur les plates-formes basées sur la blockchain.

Cela dit, un petit nombre de gouvernements nationaux et étatiques (par exemple, Singapour, Illinois) ont testé des systèmes d’identification basés sur la blockchain. En outre, les chiffres de l’industrie en plein essor de la crypto-identification espèrent que les organisations publiques et privées seront forcées de se décentraliser ou tomberont à l’écart..

"Lorsque vous exploitez un système centralisé qui fournit à votre organisation le contrôle et vous permet de bénéficier de cette position, il est compréhensible que vous soyez réticent au changement," dit Alastair Johnson. "Mais lorsqu’il y a une sanction en cas de violation de ces informations sous forme d’amendes, de perte de cours de l’action et de coût de récupération de la situation et de tous les dommages aux relations publiques qui accompagnent une violation, les entreprises commenceront à voir que le modèle doit fondamentalement changer.."

Un des principaux moteurs de ce changement pourrait être le sentiment du public, qui a déjà évolué à la suite du scandale Facebook-Cambridge Analytica.. "La blockchain offre des avantages évidents aux clients en termes de contrôle des données personnelles et des identités numériques et je m’attends à ce que la reconnaissance publique de cela passe d’une cohorte d’adopteurs précoces à une majorité précoce dans un proche avenir.," Johnson dit. "De l’autre côté, je m’attends à ce que les organisations qui ont déjà subi des brèches dans leurs bases de données centralisées soient parmi les plus disposées à adopter des solutions basées sur la blockchain, car elles cherchent à rétablir la confiance avec les consommateurs.."

On pourrait faire valoir que des services publicitaires simples et gratuits tels que Facebook seront toujours plus attrayants pour l’utilisateur moyen – un point de vue renforcé par le fait que Facebook a signalé un Augmentation de 13% d’une année sur l’autre d’utilisateurs en avril, malgré sa récente perte de jeunes utilisateurs à la suite du scandale de collecte de données susmentionné. Cependant, Johnson pense qu’un changement progressif d’attitude est en cours.

"Le mouvement «Supprimer Facebook» est un signe de changement, tout comme le contrôle permanent que le géant de la technologie est soumis par les autorités américaines et européennes. Les gens commencent à prendre conscience du fait que leurs données personnelles sont précieuses. Non seulement la blockchain pourrait les aider à la monétiser pour eux-mêmes, mais elle éliminera également les types de pertes de données personnelles coûteuses que j’ai moi-même vécues.."

Et même si la technologie blockchain est encore largement non prouvée en dehors du domaine des crypto-monnaies, elle commencera à gagner des convertis dès qu’elle démontrera sa supériorité par rapport aux systèmes précédents en matière de confidentialité et de sécurité..

"À l’heure actuelle, il peut y avoir des hésitations à adopter des plates-formes décentralisées, mais son sens commun est que les informations personnelles doivent être détenues et contrôlées par la personne, et à cause de cela, elles prévaudront."

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map