Les certificats d’identité numérique constituent un moyen sûr de vérifier l’identité des personnes au sein d’un système informatique. Les badges numériques, les certificats numériques et autres identifiants en ligne permettent aux utilisateurs de s’identifier sans avoir à présenter un justificatif papier tel que leur permis de conduire ou leur carte d’identification professionnelle.
Les certificats d’identité numérique permettent également de vérifier les compétences et les acquis de la personne, tels que la poursuite d’une formation ou l’obtention d’un diplôme. Ils sont utilisés par bon nombre d’entreprises, d’associations à but non lucratif, d’établissements d’enseignement et d’organismes de formation.
Dans le domaine de la cybersécurité, les certificats d’identité numérique aident à réduire le risque de cyberattaques axées sur l’identité. Aujourd’hui, il est souvent plus facile pour les acteurs de la menace de pirater un compte valide qu’un système. Selon l’IBM X-Force Threat Intelligence Index, l’utilisation abusive des comptes valides est le moyen le plus courant de s’introduire dans l’environnement des victimes (30 % des incidents).
Les certificats d’identité numérique constituent une bonne alternative aux mots de passe et autres facteurs d’authentification que les pirates déchiffrent facilement. Pour prendre le contrôle d’un compte, l’attaquant doit tenter de voler le certificat d’identité numérique, ce qui est beaucoup plus difficile que d’obtenir un mot de passe par force brute. Les certificats d’identité numérique sont également difficiles à falsifier, car ils sont généralement protégés par des mesures telles que le chiffrement ou la vérification par blockchain.
Rejoignez les responsables de la sécurité qui font confiance à la Newsletter Think pour obtenir des informations ciblées autour de l’IA, de la cybersécurité, des données et de l’automatisation. Apprenez rapidement grâce à des tutoriels et des fiches explicatives d’experts, envoyés directement dans votre boîte de réception. Consultez la Déclaration de confidentialité d’IBM.
Les certificats d’identité numérique sont généralement créés, délivrés, gérés et révoqués par l’organisme émetteur sur une plateforme professionnelle spécialisée.
Les interfaces de programmation d’application (API) permettent à ces plateformes de se connecter à d’autres services pour que l’identité de l’utilisateur puisse être vérifiée dans différents systèmes grâce aux certificats. Dans certains cas, les utilisateurs peuvent partager leur certificat d’identité manuellement au moyen d’un lien, d’un QR code, d’un fichier numérique, d’une application ou d’une blockchain.
Les certificats d’identité numérique sont proposés sous différentes formes, selon les environnements et les fonctions. En voici les plus courants :
Les badges numériques attestent généralement d’un acquis professionnel tel qu’un parcours de formation. Ils permettent également de prouver son identité ou de participer à des événements ou des conférences.
Les badges numériques prennent généralement la forme d’une image numérique ou d’une icône contenant des métadonnées telles que le nom de l'émetteur, les informations du titulaire, les détails du badge et les méthodes de vérification. Les badges sont souvent authentifiés à l’aide d’une signature cryptographique.
La micro-certification est un badge numérique utilisé pour vérifier des acquis à plus petite échelle, comme le suivi d’un webinaire ou la validation d’un module de formation en ligne. Les micro-certifications permettent aux apprenants de se concentrer sur les modules les plus intéressants en termes de développement professionnel ou d’apprentissage.
Les Open Badges sont des badges numériques qui répondent à la norme Open Badges développée à l’origine par la Fondation Mozilla. Cette norme garantit l’interopérabilité des badges dans un écosystème de sites Web et d’applications, dont les plateformes de réseaux sociaux telles que LinkedIn et les intégrations de signature d’e-mail.
La norme prévoit un format de métadonnées commun et précise les méthodes de partage de ces métadonnées (par exemple, les incorporer dans une image). Elle prévoit également un mécanisme de validation des badges grâce aux signatures cryptographiques.
Le terme « certificat numérique » désigne deux types de certificats : ceux qui permettent de vérifier les acquis professionnels de leur titulaire, et ceux qui vérifient l’identité des utilisateurs et des appareils.
Les certificats numériques attestant des acquis professionnels portent généralement sur les mêmes types de compétences que les certificats papier tels que les diplômes. L’une des principales différences entre les badges et les certificats numériques est que ces derniers impliquent généralement plus d’efforts : poursuivre une formation diplômante ou professionnelle, ou encore adhérer à un organisme professionnel.
Certains types de certificats numériques sont utilisés pour identifier et authentifier les utilisateurs, les serveurs, les services, les ordinateurs, les smartphones et les appareils Internet des objets (IdO). Ces certificats sont émis par une autorité de certification et contiennent les descripteurs uniques du détenteur, qui permettent de vérifier l’identité de ce dernier. La cryptographie à clé publique permet d’authentifier les certificats numériques et empêche le vol, ainsi que leur falsification.
La technologie blockchain- un grand livre partagé et immuable - est parfois utilisée pour éviter que les certificats ne soient pas falsifiés ou volés. Les certificats numériques stockés sur la blockchain ne peuvent pas être modifiés, et toute personne y ayant accès peut les vérifier, ce qui contribue à instaurer la confiance entre toutes les parties prenantes.
L’émetteur, tel qu’un établissement d’enseignement ou l’équipe de sécurité d’une entreprise, crée un certificat d’identité numérique qui certifie l’identité ou les qualifications de son titulaire. Les informations du certificat sont enregistrées dans la blockchain.
Le titulaire stocke son certificat dans un portefeuille numérique et le présente chaque fois qu’il doit prouver son identité, ses compétences, etc. La validité du certificat est alors vérifiée auprès l’enregistrement public de la blockchain.
Il ne s’agit pas d’un type de certificat, mais d’une approche qui permet de créer des identifiants sécurisés et fiables. Les certificats vérifiables intègrent un moyen de vérification, comme un QR code que l’on scanne pour accéder aux informations de vérification, ou la signature cryptographique d’une autorité de certification.
Tous les types de certificats énumérés ici peuvent être des certificats numériques vérifiables, à condition qu’ils répondent à cette exigence.
Certains certificats numériques vérifiables sont conformes à la norme Verifiable Credentials du World Wide Web Consortium. Ces certificats .suivent une approche structurée permettant d’utiliser JSON ou JSON-LD pour définir des caractéristiques telles que l’identifiant de l’émetteur, les attributs du titulaire et la preuve cryptographique d’authentification du certificat.
Les certificats numériques facilitent les processus de vérification dans diverses situations (entreprises, service client, systèmes juridiques, etc.).
Par exemple, grâce à son certificat affiché dans une application pour smartphone, on peut prouver son identité dans les aéroports, lors des contrôles routiers ou lorsque l’on achète de l’alcool. L’État de New York a lancé une telle application d’identité numérique en coopération avec la Transportation Security Administration (TSA) des États-Unis.1
Dans le secteur financier, les certificats numériques permettent de renforcer et de simplifier la vérification des identités lors d’activités telles que les transferts d’argent et la gestion de compte. Inviolables, les certificats s’avèrent plus pratiques et plus fiables que les mots de passe et autres facteurs d’authentification faciles à falsifier ou à voler.
Lors des démarches administratives, les certificats numériques permettent de s’identifier pour percevoir des aides ou déclarer ses revenus. L’administration a l’assurance que les usagers sont qui ils prétendent être avant de communiquer des informations ou de fournir des services.
Les certificats numériques peuvent représenter une licence ou une certification professionnelles permettant au titulaire de démontrer leurs qualifications et compétences auprès des futurs employeurs.
Les certificats permettent de valider à peu près tout type d’évaluation, d’accréditation ou de formation professionnelle, des ateliers de codage aux diplômes de formation médicale. Les établissements d’enseignement supérieur peuvent également les utiliser pour valider les titres et diplômes.
Les candidats moins scrupuleux n’hésitent pas à mentir sur leur CV. Exiger un certificat numérique vérifiable comme preuve permet aux employeurs de les repérer.
Les certificats numériques facilitent le partage de données tout en respectant les réglementations en matière de protection des données telles que le Règlement général sur la protection des données (RGPD) et la loi HIPAA (Health Insurance Portability and Accountability Act).
Par exemple, certains certificats numériques permettent un partage d’informations sélectif. Prenons l’exemple d’un certificat numérique dans le domaine de la santé, qui peut contenir des données sur l’identité du patient, sa couverture maladie, ses caractéristiques démographiques et son dossier médical.
Grâce au partage sélectif, les patients peuvent utiliser leur certificat pour justifier de leurs droits en matière de santé sans dévoiler leur dossier médical. Ce même certificat peut être utilisé pour confirmer le statut vaccinal ou l’historique des ordonnances du patient. Dans chaque scénario, seules les informations nécessaires sont partagées. Les données non pertinentes ne sont pas divulguées, ce qui protège le titulaire du certificat et aide l’établissement à respecter ses obligations en matière de protection des données.
Les certificats sont utilisés non seulement pour vérifier l’identité des personnes, mais aussi pour authentifier les ressources et les actifs physiques.
Par exemple, une entreprise peut utiliser une blockchain pour certifier ses produits. Les certificats peuvent inclure des informations telles que le pays d’origine, la qualité du produit, les données de conformité réglementaire et plus encore. Les particuliers et les entreprises peuvent ensuite utiliser ces certificats blockchain pour vérifier l’authenticité des produits et lutter contre la contrefaçon.
Les certificats numériques vérifiables permettent de renforcer les systèmes de gestion des identités et des accès (IAM).
Les systèmes IAM s’appuient sur des facteurs d’authentification, tels que les mots de passe et les clés de sécurité, pour vérifier l’identité des utilisateurs avant d’autoriser leur accès au système. Néanmoins, les acteurs de la menace peuvent voler ou falsifier ces facteurs assez facilement pour obtenir et utiliser abusivement ces autorisations.
Les certificats numériques constituent une bonne alternative. Ils peuvent être automatiquement partagés et vérifiés à l’aide de signatures cryptographiques. Sécurisée, cette approche permet l’accès des utilisateurs autorisés, tout en détectant et en bloquant les certificats falsifiés ou volés.
Les certificats numériques permettent également une vérification des identités plus rapide et plus fluide que celle assurée par les certificats traditionnels.
Lorsque les certificats sont intégrés aux systèmes et workflows existants, les utilisateurs n’ont plus à mémoriser quoi que ce soit, ni à se munir d’objets ou d’appareils spéciaux. Ils peuvent partager leurs certificats numériques par le biais d’une API, d’un lien ou d’un QR code, ce qui rend l’authentification quasi automatique.
L’intelligence artificielle (IA) et le machine learning (ML) permettent d’accélérer davantage la vérification des identités, par exemple, en comparant automatiquement les données d’identification avec celles des bases de données fiables à la recherche d’indices d’altération.
Les entreprises peuvent également confier la gestion des identifiants à un service tiers, tel que Credly, pour gagner du temps et faire des économies.
Les certificats numériques simplifient également la gestion des identités et des accès clients (CIAM), améliorant ainsi l’expérience utilisateur (UX).
Afin d’éviter les procédures de connexion fastidieuses, les clients peuvent utiliser les certificats numériques pour s’identifier et accéder à leurs comptes. Plus pratique, ce processus peut améliorer le taux d’inscription. Les clients sont généralement plus enclins à s’inscrire auprès d’une entreprise si la procédure à suivre est simplifiée.
Les entreprises et les organismes de formation qui délivrent des certificats peuvent cesser leur activité. Dans ce cas, la vérification des documents papier tels que les diplômes peut s’avérer difficile.
Les certificats numériques, quant à eux, peuvent être authentifiés de manière indépendante, surtout s’ils s’appuient sur des méthodes décentralisées telles qu’une blockchain. Ils demeurent utilisables et fiables longtemps après la fermeture de l’établissement émetteur.