Cette conférence a, en effet, donné lieu à des échanges nourris autour d’un enjeu majeur de notre société connectée : la manière de sécuriser l’identité numérique. Un moment fort qui a permis de mesurer l’étendue des défis, mais aussi de découvrir des pistes prometteuses, avec des approches parfois très différentes entre la France, l’Europe et les États-Unis.
La complexité de l'identité à l'ère numérique
Dès l’introduction, Eric Le Ven, journaliste chez Archimag, a posé une distinction fondamentale : « Dans la vie réelle, pour prouver mon identité, je vous montre ma carte d’identité et vous pouvez comparer mon visage à la photo. Mais dans le numérique, tout se complique. » Alors que les documents physiques bénéficient de protections de plus en plus robustes (puce, QR code, éléments holographiques, encres et pigments spécifiques, etc.), l’univers digital reste fragmenté, flou, et bien souvent vulnérable. Avec la multiplication des identifiants (réseaux sociaux, comptes professionnels, portails étatiques comme France Connect ou l’appli France Identité), la gestion de l’identité devient un casse-tête.
Les défis persistants : fraude et usurpation
D’autant que les menaces sont aujourd’hui omniprésentes. Faux comptes en ligne, documents falsifiés pour ouvrir des comptes bancaires, tentatives de fraude en tout genre, etc., les exemples sont légion. Nicolas Laurenchet, Directeur commercial d’Anozr Way (spécialisée dans l’évaluation et la supervision des risques au sein des organisations), a d’ailleurs alerté l’auditoire sur les attaques d’ingénierie sociale, qui exploitent les traces numériques laissées par les utilisateurs.
De son côté, David Bielawski de la Document Security Alliance, tout droit venu de Washington, déplore la sophistication croissante des fausses cartes d’identité, qui s’avère parfois presque « plus vraies que les originales ». Il rappelle aussi qu’à ce jour, plus d’un milliard d’identités circulent sur le Dark Web. Un terrain fertile pour les faussaires, dopés par l’intelligence artificielle.
Initiatives françaises et européennes : vers une identité numérique souveraine
Face à cea, l’Europe contre-attaque. Elyes Lehtihet, Responsable du segment identité et confiance numérique au sein de l’ANSSI, a expliqué la différence entre les identités numériques dites régaliennes (comme France Identité) et les identités déclaratives, moins encadrées (comme les comptes Facebook, Gmail ou Apple qui facilitent nos connexions à de nombreux services). Il a également mis en avant la certification MIE (Moyens d’Identification Électronique) délivrée par l’ANSSI qui n’a d’ailleurs été délivrée qu’à une poignée d’acteurs en France.
L’initiative phare ? Le développement du portefeuille d’identité européen, une solution concrète pour reprendre le contrôle sur nos identités numériques. Pour Eric Vetillard, Lead Certification Expert au sein de l’European Union Agency for Cybersecurity (ENISA), ce wallet se veut une alternative crédible aux géants du web (Google, Apple, Facebook), souvent critiqués pour leur gestion opaque des données.
La situation aux États-Unis : Pas d’identité nationale, mais des wallets en plein essor
Outre-Atlantique, la situation est radicalement différente. Il n’y a pas de carte d’identité nationale. C’est le permis de conduire, délivré par chaque État, qui fait office de sésame. Certains États expérimentent des versions numériques de ce permis de conduire, mais leur adoption reste marginale. Quant aux eWallets comme Google Wallet, ils commencent à intégrer des identités numériques, y compris le passeport pour les vols domestiques – mais pas pour les passages de frontière. Pour David Bielawski, une identité fiable doit toujours « prendre racine dans le monde physique ».
L'approche "phygitale" : Allier le physique et le numérique
Voilà pourquoi la DSA défend un modèle hybride : l’identité « phygitale », qui combine une carte physique (pouvant être scannée) et son équivalent numérique. Si les deux correspondent, l’identification est alors validée. Une méthode pragmatique qui tire parti des atouts de chaque univers pour renforcer la confiance et la sécurité.
Nécessité de standards et d'interopérabilité
Garantir la sécurité des identités numériques passe aussi par des standards de sécurité partagés et l’utilisation de protocoles robustes (authentification multi-facteur, FIDO2, eIDAS Token, OpenID Connect...). Eric Vetillard (ENISA) et David Bielawski (DSA) ont d’ailleurs évoqué les discussions en cours pour harmoniser les normes, notamment afin de faciliter la lecture des identités cryptées sur les smartphones. Même si les États-Unis suivent les recommandations de l’ISO et de l’OACI, l’évolution permanente de ces standards demande une adaptation continue.
Instaurer la confiance : le défi majeur
Pour que l’identité numérique s’impose, elle doit inspirer confiance. Notamment chez les publics éloignés du numérique. Elyes Lehtihet (ANSSI) a présenté le datamatrix signé numériquement présent sur les nouvelles cartes d’identité, un mécanisme cryptographique vérifiable en ligne, aussi pensé pour les versions numériques. David Bielawski a, lui, insisté sur la nécessité de créer des mécanismes de vérification « simples, visibles, et fiables » pour valider une identité numérique depuis un smartphone. La sensibilisation et la pédagogie seront les clés de l’adoption, mais le chemin devrait être encore long.
L’intelligence artificielle : une arme à double tranchant
L’IA s’est aussi invité dans le débat. Car elle joue sur deux tableaux. Côté obscur, elle permet de générer des photos truquées (deep fakes), de fabriquer des documents plus vrais que nature et de déjouer les contrôles biométriques. Mais elle peut aussi aider à détecter les anomalies, à repérer les faux documents ou les menaces émergentes. Pour David Bielawski, l’IA est un outil, pas une baguette magique : l’expertise humaine reste essentielle, notamment pour l’analyse fine des documents officiels.
Risques et solutions : entreprises et utilisateurs en première ligne
Le principal danger ? Le manque de vigilance. Eric Vetillard (ENISA) a rappelé que la cybercriminalité liée à l’identité ne cesse de croître. Heureusement, des solutions existent : technologies d’impression sécurisée, outils d’authentification, vérification de documents, codes cryptés, QR Codes… La combinaison du physique et du numérique s’impose. Nicolas Laurenchet (Anozr Way) a également souligné un point souvent oublié : le facteur humain. Les entreprises doivent évaluer les vulnérabilités personnelles de leurs collaborateurs pour mieux les protéger.
Un défi collectif et permanent
Sécuriser l’identité numérique n’est pas un sprint, mais un marathon collectif. Gouvernements, entreprises, citoyens : tout le monde a un rôle à jouer. Si l’Europe mise sur une stratégie étatique et souveraine, les États-Unis explorent une voie plus décentralisée, portée par l’industrie. Le concept d’identité phygitale et la convergence vers des standards internationaux montrent une prise de conscience globale. Reste à concrétiser cette vision. Eric Le Ven a par ailleurs que la CNIL insiste sur l’importance d’une pluralité de solutions pour éviter la centralisation des données.
Prochain rendez-vous pour les experts de l’identité numérique : le Secure ID Forum, à Riga (Lettonie), du 15 au 17 avril.
