L’écosystème identitaire qui fait ressembler Big Brother à Bisounours

Un « écosystème identitaire » est en voie de définition, qui permettra aux gouvernements et aux acteurs privés de gérer comme bon leur semblera nos « identités fiabilisées ». Un système face auquel Big Brother fait figure de petit rigolo…

La lecture, hier, de l’article de Kristine Schachinger, intitulé Real Names: Google+, Government & The Identity Ecosystem, m’a fortement interpellé !

Kristine y associe de récentes déclarations d’Eric Schmidt, selon qui « Google+ is an identity service », à un document officiel du gouvernement américain, publié au mois d’avril dernier, intitulé « National Strategy For Trusted Identities In Cyberspace » (NSTIC).

En clair, les États-Unis y formalisent un partenariat public-privé pour collaborer à la gestion des « identités fiabilisées » (trusted identities), afin d’accroître le niveau d’identification certaine des individus, des organisations, des réseaux, des services et des dispositifs impliqués dans les transactions en ligne :

The National Strategy for Trusted Identities in Cyberspace (NSTIC or Strategy) charts a course for the public and private sectors to collaborate to raise the level of trust associated with the identities of individuals, organizations, networks, services, and devices involved in online transactions.

Autrement dit, tout ce qui bouge sur Internet devra pouvoir être identifié – et donc localisé – sans l’ombre d’un doute. Ce qui dépasse bien évidemment – et de loin – les seules transactions…

La convergence entre Google (Google+ … essentially provides an identity service) et la stratégie gouvernementale U.S. de mise en place de cet écosystème identitaire est claire :

In order to fulfill the vision of this Strategy, the Nation must achieve the following goals:

  • Develop a comprehensive Identity Ecosystem Framework
  • Build and implement interoperable identity solutions
  • Enhance confidence and willingness to participate in the Identity Ecosystem
  • Ensure the long-term success and viability of the Identity Ecosystem

(sic) The private sector will be the primary developer, implementer, owner, and operator of the Identity Ecosystem, which will succeed only if it serves as a platform for innovation in the market. The Federal Government will enable the private sector and will lead by example through the early adoption and provision of Identity Ecosystem services. It will partner with the private sector to develop the Identity Ecosystem, and it will ensure that baseline levels of security, privacy, and interoperability are built into the Identity Ecosystem Framework.

En français :

  • Élaborer un cadre de développement complet de cet écosystème identitaire
  • Concevoir et mettre en œuvre des solutions d’identité interopérables
  • Renforcer la confiance et la volonté de participer à l’écosystème identitaire
  • Assurer le succès et la viabilité à long terme de l’écosystème identitaire

Tout en déléguant les tâches essentielles au secteur privé (!), qui sera le principal développeur, implémenteur, propriétaire et gestionnaire de l’écosystème identitaire, à condition qu’il soit en mesure de concevoir une plateforme suffisamment innovante pour le marché. Ainsi, pour donner l’exemple, le gouvernement fédéral sera le premier utilisateur des services fournis dans le cadre de cet écosystème, de même qu’il s’associera au secteur privé pour le concevoir et faire en sorte que les niveaux standard de sécurisation, de confidentialité et d’interopérabilité soient bien élaborés dans le cadre de développement de l’écosystème identitaire.

* * *

Le cadre étant posé, je voudrais ouvrir une petite parenthèse sur le contrôle d’Internet par les gouvernements, qui passe nécessairement par le contrôle des identités…

Dans nos sociétés actuelles, le citoyen lambda n’existe pas « légalement » sans ses papiers, qui sont seuls censés justifier de son identité auprès de la loi, bien plus que sa parole ! Et il ne viendrait à l’idée de personne de contester le flic de service qui vous demande vos papiers en lui opposant votre droit à la « privacy »…

En Italie, lorsqu’un enfant naît, le premier document qu’il reçoit, dans les jours qui suivent sa naissance, est son « code fiscal », un identifiant qui suivra le bienheureux toute sa vie durant…

Donc, jusqu’à présent, tout citoyen reconnaissait implicitement à l’État le droit de connaître sa véritable identité, et à vrai dire les États ne se sont jamais privés de gérer la chose comme bon leur semblait.

Mais que se passera-t-il si l’État transfère ce « droit » au secteur privé ? Pour l’heure nous ne parlons que des États-Unis, mais vu comment les États français ou italien (je parle d’eux parce que c’est ceux que je connais le mieux) tentent par tous les moyens d’étendre leur mainmise sur Internet pour contrôler le réseau, il est à prévoir que la chose fera vite tâche d’huile et s’étendra à 99,99% des États de la planète…

Les innombrables questionnements qu’à ce jour les internautes ont soulevé contre Google, Facebook, Microsoft, Yahoo, Apple, etc. sur le respect de leur vie privée et de leur droit à la confidentialité des données personnelles, ont montré combien les gens étaient sensibles à cette part de « secret » qu’ils souhaitent conserver.

Mais qu’en sera-t-il maintenant ?

* * *

La question est posée, j’espère qu’un débat enrichissant lui fera suite. Je conclurai sur l’analyse du document U.S., dont j’ai réalisé le nuage sémantique des 25 termes significatifs plus fréquents :

Un autre terme non représenté dans le nuage mais cité plus d’une vingtaine de fois sous ses différentes déclinaisons (trustmark/ed) est celui de la création d’une « marque de confiance », servant à certifier que les labellisés adhèrent aux règles de l’écosystème identitaire (“trustmark,” which certifies that it adheres to the rules of the Identity Ecosystem), afin d’aider les individus et les organisations à faire des choix « informés » (The trustmark helps individuals and organizations make informed choices about the Identity Ecosystem-related practices of the service providers and identity media they select).

Le tout s’articulant autour de huit principes  FIPP (Fair Information Practice Principles) destinés à faire l’objet d’un large consensus pour minimiser l’impact sur les questions de confidentialité / vie privée : transparence, participation individuelle, spécification des finalités, minimisation des données, limitation des usages, qualité et intégrité des données, sécurité, reddition de comptes et audits (transparency, individual participation, purpose specification, data minimization, use limitation, data quality and integrity, security, and accountability and auditing)…

Un document encore à approfondir, j’espère que ce billet donnera à d’autres l’envie de le faire. Notamment au niveau de l’implication de l’utilisation de services comme Google+ et … Facebook !

À noter que Google participe déjà aux tests d’interopérabilité de la stratégie NSTIC (pour Facebook je l’ignore, mais j’imagine qu’ils participent également), et héberge une version européenne de la chose ;-)

Quoi qu’il en soit, comme le dit fort justement Kristine dans son article, à chacun/e la liberté de se faire son idée, mais je recommande la conclusion, plus particulièrement là où Eric Schmidt nomme explicitement l’éventualité d’un Identity Rank

* * *

Liens connexes : à lire la réflexion de Julien sur ce billet, section Cyberspace & Identity framework, et, surtout, cette analyse fouillée de la stratégie.

J-M

P.S. Ceci étant, il est probable que toutes les tentatives de contrôle des internautes par les pouvoirs en place seront toujours compensées par des solutions techniques d’anonymisation, de plus en plus poussées.

Invité
3 septembre 2011

Bjr,
Le partenariat public-privé est surtout construit dans l’idée que le secteur public régule les standards techniques proposés par les entreprises du privé. La culture américaine sur la privacy est telle qu’il est insupportable de laisser à l’Etat la possibilité de s’immiscer dans la vie privée (Constitution, 4ème amendement, Warren et Brandeis : the right to be let alone).
Obama a dû s’expliquer et convaincre plusieurs fois à ce sujet : le gouvernement fédéral n’interviendra pas dans l’écosystème. Sauf dans l’arbitrage des standards (via le NIST). Et sauf que le responsable technique fait parti du Office Board (qui a le droit de parler directement au Président).
On peut donc s’inquiéter de cette présence fédérale :le NSTIC est d’ailleurs motivé par la volonté de favoriser le commerce électronique (et éviter l’usurpation d’identité, ainsi le Department of Commerce a été le premier à expérimenter le système) et la volonté de réduire le cyberterrorisme (opération Aurora contre Google par le Chine).
A cette inquiétude, plusieurs auteurs rajoutent celles de voir le NSTIC adopté par les acteurs dominants du web : Google en tête. Kaliya Hamlin (identitywoman) a été la première aux USA à s’en inquiéter. J’en avais aussi parlé dans un billet publié en février et dans plusieurs par la suite.
Le risque majeur a mon sens est que, quand Google, Facebook, Amazon auront greffé leurs processus d’identification au NSTIC, le reste des internautes, et de leurs gouvernements, devront suivre le mouvement.
L’argument de civilisation, opposé lors des débats sur les nymwars, de fallacieux pourrait bien devenir actuel avec le NSTIC.

Invité
3 septembre 2011

PS : le lien sur les test d’interopérabilité Google-NSTIC ne marche pas. Si vous l’avez, je suis preneur ! Merci

Invité
3 septembre 2011

Merci.
Mon commentaire précédent a dû sauter (et les liens que j’y mettais avec lui) : j’avais rédigé un long billet sur le NSTIC (publié en février), présentant le système et les enjeux de son adoption. @identitywoman craint aussi le rapprochement entre NSTIC et Google. Et je rajoute une inquiétude au niveau européen quand Google et Oracle (et accessoirement Facebook et Amazon) auront adossé leurs processus d’identification au NSTIC, tout le reste de la planète devra y passer.

Invité
3 septembre 2011
Invité
civodul
3 septembre 2011

que faire ? faire comme certains dont moi …
pas de facebook, google+, skype, myspace, blog perso, etc etc …
et je vous jure que meme sans ces choses je vis normalement avec des amis une famille et tout et tout ^^

accentuer les choses en surveillant un minimum ce que l’on met sur le net pour pas divulguer et risquer que l’on nous « retrouve » facilement

Invité

[...] L’écosystème identitaire qui fait ressembler Big Brother à Bisounours Un « écosystème identitaire » est en voie de définition, qui permettra aux gouvernements et aux acteurs privés de gérer comme bon leur semblera nos « identités fiabilisées ». A suivre… Source: http://www.presse-citron.net [...]

Invité
3 septembre 2011

Chacun devra pouvoir être suivi à tout instant. NATURELLEMENT c’est pour notre bien.
NATURELLEMENT il n’y aura aucune utilisation concentrationnaire.
NATURELLEMENT il s’agit d’assurer la sécurité des bon citoyen et tout récalcitrant est suspect, devra s’expliquer…
Qui de l’oeuf ou de la poule ?
Qui de la sincurité ou de l’insécurité ?

Invité
3 septembre 2011

Franchement je me demande si cette idée d’anonymisation n’est pas un rêve utopique, le projet – Commotion – excellente idée d’un réseau autonome internet, est en retard de 10 ans. Qui va mettre en place et financer la technologie pour ces réseaux alternatifs certainement pas les géants du web d’aujourd’hui qui disposent d’une infrastructure
internet sans équivalent !

 
Lire les articles précédents :
Playing for change

Née de la vidéo de la chanson Stand By Me jouée par plein de musiciens à travers le monde, la...

Fermer