Passer au contenu

L’écosystème identitaire qui fait ressembler Big Brother à Bisounours

Un « écosystème identitaire » est en voie de définition, qui permettra aux gouvernements et aux acteurs privés de gérer comme bon leur semblera nos « identités fiabilisées ». Un système face auquel Big Brother fait figure de petit rigolo…

La lecture, hier, de l’article de Kristine Schachinger, intitulé Real Names: Google+, Government & The Identity Ecosystem, m’a fortement interpellé !

Kristine y associe de récentes déclarations d’Eric Schmidt, selon qui « Google+ is an identity service », à un document officiel du gouvernement américain, publié au mois d’avril dernier, intitulé « National Strategy For Trusted Identities In Cyberspace » (NSTIC).

En clair, les États-Unis y formalisent un partenariat public-privé pour collaborer à la gestion des « identités fiabilisées » (trusted identities), afin d’accroître le niveau d’identification certaine des individus, des organisations, des réseaux, des services et des dispositifs impliqués dans les transactions en ligne :

The National Strategy for Trusted Identities in Cyberspace (NSTIC or Strategy) charts a course for the public and private sectors to collaborate to raise the level of trust associated with the identities of individuals, organizations, networks, services, and devices involved in online transactions.

Autrement dit, tout ce qui bouge sur Internet devra pouvoir être identifié – et donc localisé – sans l’ombre d’un doute. Ce qui dépasse bien évidemment – et de loin – les seules transactions…

La convergence entre Google (Google+ … essentially provides an identity service) et la stratégie gouvernementale U.S. de mise en place de cet écosystème identitaire est claire :

In order to fulfill the vision of this Strategy, the Nation must achieve the following goals:

  • Develop a comprehensive Identity Ecosystem Framework
  • Build and implement interoperable identity solutions
  • Enhance confidence and willingness to participate in the Identity Ecosystem
  • Ensure the long-term success and viability of the Identity Ecosystem

(sic) The private sector will be the primary developer, implementer, owner, and operator of the Identity Ecosystem, which will succeed only if it serves as a platform for innovation in the market. The Federal Government will enable the private sector and will lead by example through the early adoption and provision of Identity Ecosystem services. It will partner with the private sector to develop the Identity Ecosystem, and it will ensure that baseline levels of security, privacy, and interoperability are built into the Identity Ecosystem Framework.

En français :

  • Élaborer un cadre de développement complet de cet écosystème identitaire
  • Concevoir et mettre en œuvre des solutions d’identité interopérables
  • Renforcer la confiance et la volonté de participer à l’écosystème identitaire
  • Assurer le succès et la viabilité à long terme de l’écosystème identitaire

Tout en déléguant les tâches essentielles au secteur privé (!), qui sera le principal développeur, implémenteur, propriétaire et gestionnaire de l’écosystème identitaire, à condition qu’il soit en mesure de concevoir une plateforme suffisamment innovante pour le marché. Ainsi, pour donner l’exemple, le gouvernement fédéral sera le premier utilisateur des services fournis dans le cadre de cet écosystème, de même qu’il s’associera au secteur privé pour le concevoir et faire en sorte que les niveaux standard de sécurisation, de confidentialité et d’interopérabilité soient bien élaborés dans le cadre de développement de l’écosystème identitaire.

* * *

Le cadre étant posé, je voudrais ouvrir une petite parenthèse sur le contrôle d’Internet par les gouvernements, qui passe nécessairement par le contrôle des identités…

Dans nos sociétés actuelles, le citoyen lambda n’existe pas « légalement » sans ses papiers, qui sont seuls censés justifier de son identité auprès de la loi, bien plus que sa parole ! Et il ne viendrait à l’idée de personne de contester le flic de service qui vous demande vos papiers en lui opposant votre droit à la « privacy »…

En Italie, lorsqu’un enfant naît, le premier document qu’il reçoit, dans les jours qui suivent sa naissance, est son « code fiscal », un identifiant qui suivra le bienheureux toute sa vie durant…

Donc, jusqu’à présent, tout citoyen reconnaissait implicitement à l’État le droit de connaître sa véritable identité, et à vrai dire les États ne se sont jamais privés de gérer la chose comme bon leur semblait.

Mais que se passera-t-il si l’État transfère ce « droit » au secteur privé ? Pour l’heure nous ne parlons que des États-Unis, mais vu comment les États français ou italien (je parle d’eux parce que c’est ceux que je connais le mieux) tentent par tous les moyens d’étendre leur mainmise sur Internet pour contrôler le réseau, il est à prévoir que la chose fera vite tâche d’huile et s’étendra à 99,99% des États de la planète…

Les innombrables questionnements qu’à ce jour les internautes ont soulevé contre Google, Facebook, Microsoft, Yahoo, Apple, etc. sur le respect de leur vie privée et de leur droit à la confidentialité des données personnelles, ont montré combien les gens étaient sensibles à cette part de « secret » qu’ils souhaitent conserver.

Mais qu’en sera-t-il maintenant ?

* * *

La question est posée, j’espère qu’un débat enrichissant lui fera suite. Je conclurai sur l’analyse du document U.S., dont j’ai réalisé le nuage sémantique des 25 termes significatifs plus fréquents :

Un autre terme non représenté dans le nuage mais cité plus d’une vingtaine de fois sous ses différentes déclinaisons (trustmark/ed) est celui de la création d’une « marque de confiance », servant à certifier que les labellisés adhèrent aux règles de l’écosystème identitaire (“trustmark,” which certifies that it adheres to the rules of the Identity Ecosystem), afin d’aider les individus et les organisations à faire des choix « informés » (The trustmark helps individuals and organizations make informed choices about the Identity Ecosystem-related practices of the service providers and identity media they select).

Le tout s’articulant autour de huit principes  FIPP (Fair Information Practice Principles) destinés à faire l’objet d’un large consensus pour minimiser l’impact sur les questions de confidentialité / vie privée : transparence, participation individuelle, spécification des finalités, minimisation des données, limitation des usages, qualité et intégrité des données, sécurité, reddition de comptes et audits (transparency, individual participation, purpose specification, data minimization, use limitation, data quality and integrity, security, and accountability and auditing)…

Un document encore à approfondir, j’espère que ce billet donnera à d’autres l’envie de le faire. Notamment au niveau de l’implication de l’utilisation de services comme Google+ et … Facebook !

À noter que Google participe déjà aux tests d’interopérabilité de la stratégie NSTIC (pour Facebook je l’ignore, mais j’imagine qu’ils participent également), et héberge une version européenne de la chose 😉

Quoi qu’il en soit, comme le dit fort justement Kristine dans son article, à chacun/e la liberté de se faire son idée, mais je recommande la conclusion, plus particulièrement là où Eric Schmidt nomme explicitement l’éventualité d’un Identity Rank

* * *

Liens connexes : à lire la réflexion de Julien sur ce billet, section Cyberspace & Identity framework, et, surtout, cette analyse fouillée de la stratégie.

J-M

P.S. Ceci étant, il est probable que toutes les tentatives de contrôle des internautes par les pouvoirs en place seront toujours compensées par des solutions techniques d’anonymisation, de plus en plus poussées.

📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.

Opera One - Navigateur web boosté à l’IA
Opera One - Navigateur web boosté à l’IA
Par : Opera
20 commentaires
20 commentaires
  1. Bjr,
    Le partenariat public-privé est surtout construit dans l’idée que le secteur public régule les standards techniques proposés par les entreprises du privé. La culture américaine sur la privacy est telle qu’il est insupportable de laisser à l’Etat la possibilité de s’immiscer dans la vie privée (Constitution, 4ème amendement, Warren et Brandeis : the right to be let alone).
    Obama a dû s’expliquer et convaincre plusieurs fois à ce sujet : le gouvernement fédéral n’interviendra pas dans l’écosystème. Sauf dans l’arbitrage des standards (via le NIST). Et sauf que le responsable technique fait parti du Office Board (qui a le droit de parler directement au Président).
    On peut donc s’inquiéter de cette présence fédérale :le NSTIC est d’ailleurs motivé par la volonté de favoriser le commerce électronique (et éviter l’usurpation d’identité, ainsi le Department of Commerce a été le premier à expérimenter le système) et la volonté de réduire le cyberterrorisme (opération Aurora contre Google par le Chine).
    A cette inquiétude, plusieurs auteurs rajoutent celles de voir le NSTIC adopté par les acteurs dominants du web : Google en tête. Kaliya Hamlin (identitywoman) a été la première aux USA à s’en inquiéter. J’en avais aussi parlé dans un billet publié en février et dans plusieurs par la suite.
    Le risque majeur a mon sens est que, quand Google, Facebook, Amazon auront greffé leurs processus d’identification au NSTIC, le reste des internautes, et de leurs gouvernements, devront suivre le mouvement.
    L’argument de civilisation, opposé lors des débats sur les nymwars, de fallacieux pourrait bien devenir actuel avec le NSTIC.

  2. Merci.
    Mon commentaire précédent a dû sauter (et les liens que j’y mettais avec lui) : j’avais rédigé un long billet sur le NSTIC (publié en février), présentant le système et les enjeux de son adoption. @identitywoman craint aussi le rapprochement entre NSTIC et Google. Et je rajoute une inquiétude au niveau européen quand Google et Oracle (et accessoirement Facebook et Amazon) auront adossé leurs processus d’identification au NSTIC, tout le reste de la planète devra y passer.

  3. Julien,

    Dommage que les liens aient sauté, j’aimerais bien lire ton billet !

    OK, j’ai trouvé, je l’ai ajouté en lien connexe 🙂

  4. que faire ? faire comme certains dont moi …
    pas de facebook, google+, skype, myspace, blog perso, etc etc …
    et je vous jure que meme sans ces choses je vis normalement avec des amis une famille et tout et tout ^^

    accentuer les choses en surveillant un minimum ce que l’on met sur le net pour pas divulguer et risquer que l’on nous “retrouve” facilement

  5. Chacun devra pouvoir être suivi à tout instant. NATURELLEMENT c’est pour notre bien.
    NATURELLEMENT il n’y aura aucune utilisation concentrationnaire.
    NATURELLEMENT il s’agit d’assurer la sécurité des bon citoyen et tout récalcitrant est suspect, devra s’expliquer…
    Qui de l’oeuf ou de la poule ?
    Qui de la sincurité ou de l’insécurité ?

  6. Franchement je me demande si cette idée d’anonymisation n’est pas un rêve utopique, le projet – Commotion – excellente idée d’un réseau autonome internet, est en retard de 10 ans. Qui va mettre en place et financer la technologie pour ces réseaux alternatifs certainement pas les géants du web d’aujourd’hui qui disposent d’une infrastructure
    internet sans équivalent !

  7. Le fait est qu’avec la consommation collaborative (AirBnB, Getaround, etc.) on assiste à une nouvelle génération de services qui, à l’instar d’eBay ou des sites de rencontres, font démarrer en ligne des interactions qui se terminent hors-ligne. Et pour ce genre de services, on ne peut pas nier que l’anonymité représente un danger et un frein au développement. Regardez toutes les mesures de certification et d’identification mises en place par ces différents sites. Mais justement, chaque site développe son propre système, ce qui signifie à la fois plus de fragmentation et plus de réplication de nos données personnelles. Donc tôt ou tard, on aura besoin d’un système d’identification centralisé et consolidé. Pas pour toutes nos interactions en ligne, mais uniquement pour les interactions qui se terminent dans le monde physique et qui impliquent un risque pour les personnes qui se trouvent derrière les avatars et les pseudos.

    Si on est d’accord là-dessus, dire “non” à ce genre d’initiative gouvernementale ne suffira pas. Il faudra proposer une alternative, quelque chose de plus simple à intégrer, sans lourdeur administrative. En fait toutes ces initiatives étatiques ont généralement un défaut: celui de vouloir centraliser le contrôle. Dans la figure 4, moi je ne vois que les “accreditation authorities”, et c’est là qu’est le noeud du problème. Non seulement c’est inefficace, mais ça va surtout à l’encontre même des principes d’internet. Si système cohérent d’identification il doit y avoir, il devra permettre à chacun de contrôler ses données et surtout l’accréditation devra se faire de pair-à-pair.

  8. Bonjour,

    Excellente analyse et pour ceux qui veulent en savoir plus sur la politique ‘identitaire’ de l’oncle Sam (Initiée par Bush Jr) voir ici : http://www.idmanagement.gov/index.cfm

    Google tente effectivement de se positionner par rapport aux documents cités (NSTIC). A mon sens, Google tente de s’inscrire dans la stratégie d’un TFP (Trust Framework Provider). Pour en savoir plus, voir le document publié en 2009 par l’ICAM “Federal Identity, Credentialing, and Access Management – Trust Framework Provider Adoption Process (TFPAP)”

    Je signale en passant que la France après la création de l’ANTS, avait proposé la mise sur pied d’une espèce d’ANPIN (Agence Nationale pour la Protection de l’Identité Numérique) pour mettre de l’ordre sur ce sujet. Qu’en est -il de cette idée d’ANPIN ?

    Phil

  9. Merci à tous pour vos commentaires intéressants. Philippe, bizarre, je n’ai trouvé dans la mémoire de Google AUCUN résultat sur l’ANPIN (Agence Nationale pour la Protection de l’Identité Numérique), pas la moindre trace ! D’où vient l’info ?
    Quant au point central soulevé par Sébastien, celui de la centralisation des contrôles, ce qui me frappe dans ce projet c’est le transfert des pouvoirs régaliens au secteur privé. J’y vois une abdication de l’état, et, partant, une moindre protection pour les citoyens. Quant à cette éventualité de l’Identity Rank, il me semble que ça peut aller très très loin… Trop loin !

  10. @Jean-Marie De toute façon, croyez-le ou non, mais de fait l’Etat abdique et c’est dans l’ordre des choses. C’est une prévision à long terme (50 ans) mais tout doucement, Internet est en train de redessiner la carte du monde et de proposer des alternatives viables aux gouvernements nationaux qui de leur côté sont de moins en moins de taille à répondre aux défis transnationaux (écologie, finance, énergie). C’est inévitable, le rôle des Etats va s’amenuiser avec l’émergence nécessaire d’une gouvernance mondiale et dans ce contexte, il nous faudra réinventer un contrat social et donc la notion même d’identité. Et puisque les Etats résisteront forcément à cette transition, il n’y a que le secteur privé pour inventer les standards de facto de demain.

  11. Sébastien, d’où le problème de contrôler le secteur privé : qui contrôlera Google (ou n’importe qui d’autre) gérant les identités numériques de TOUS les internautes en situation de quasi-monopole ?…

  12. Jean-Marie, qui dit secteur privé ne dit pas forcément monopole. Il suffit de voir ce qui se passe avec OpenID ou oAuth. Le secteur privé peut aussi élaborer des technologies ouvertes et intégrables. De plus, c’est un secteur où je ne pense pas vraiment qu’il y ait un modèle économique direct, mais de nombreux services auront besoin de cette technologie pour optimiser la valeur de leur offre. Je pense notamment à tous les sites de consommation collaborative (AirBNB, Getaround, et autres), aux sites d’enchères et de vente de particulier à particulier (eBay, Craigslist) et aux sites de rencontres. Mais pour moi il faudra passer par un standard de facto plutôt que par un standard de comité (type W3C) pour espérer couper l’herbe sous le pied des gouvernements.

  13. @Jean-Marie, @Sébastien,

    En ce qui concerne l’APIN, il s’agissait d’un terme utilisé lors de discussions avec le Préfet Bartold (ancien patron de l’ANTS). Ce terme a maintenant ‘disparu’ mais le projet de loi est bien vivant. Voir : http://www.senat.fr/rap/l10-432/l10-432_mono.html ; je suis à la fois rassuré et un peu soucieux.

    Rassuré car il semble que le nouveau projet de loi ne s’applique qu’à l’identité “tout court” en relation avec les documents d’identité. Les experts de l’ANTS parlent souvent d’identité ‘dématérialisée’ comme étant une représentation de l’identité numérique. Au sein de l’Internet, cela pourrait se discuter. Une identité numérique est certe ‘dématérialisée’ mais alors comment considérer un ‘avatar’ ? Et le lien vers l’anonymat ? (comme le fait remarquer Sébastien).

    Soucieux car en lisant le projet de loi, la France crèe un nouveau concept “l’identité biométrique” (OMG comme diraient les anglo-saxons). Le projet parle aussi de finalité de base … laissant la porte ouverte à une nouvelle interprétation du concept de finalité tant défendu par la CNIL. Les fichiers centraux de l’identité biométrique auront clairement plusieurs … finalités …

    Franchement, il est temps de s’indigner ! Lors des Etats-Généraux de l’Identité Numérique, j’avais entendu de bien jolies choses et des alternatives mais rien de tout celà dans le projet de loi. Dommage.

    L’analyse la plus pertinente par rapport à ce sujet venait de Louise Merzeau qui utilisait le terme de ‘médiation de l’identité’ dans un très bel article: http://halshs.archives-ouvertes.fr/docs/00/48/32/93/DOC/ENJEUX-MERZEAU.doc

    Philippe

  14. Je ne pense pas qu’il y ait abandon d’un pouvoir régalien : l’identité reste encore attachée au registre d’Etat civil. Ainsi, l’article de Jean-Marie démarre en référence à la realname policy engagée par Google. En cas de doute, il faut prouver au prestataire de service la véracité de son identité en lui fournissant copie de documents officiels (Facebook procède de même). Les sites de commerce en ligne sont reliés aux banques, où les comptes sont aussi associés à une identité civile, étatiquement établie. Et c’est sur la foi qu’elles accordent à ces supports qu’elles accordent des droits à ceux qui deviennent leurs clients. Ainsi, il y a bien longtemps que les entreprises privées gèrent les processus d’identification. le NSTIC se positionne de la même manière : la centralisation d’un registre civil, la standardisation des processus d’identification. les opérateurs, les bénéficiaires, les relais sont dans le secteur privé : les documents du NSTIC mentionnent l’idée d’une meilleure innovation par cette séparation des acteurs.
    Le scénario d’interactions sociales (y compris marchandes) sans registre civil centralisé est possible, mais nécessiterait énormément de changements socioculturels. Les imaginer relève de la prospective, de l’anticipation, de la science-fiction.

  15. Vraiment merci à tous pour vos liens et vos éclairages en commentaire, aussi précieux, voire plus, que le billet lui-même !

    J-M 🙂

  16. L’information est une véritable bombe à retardement dans le monde merveilleux des réseaux sociaux.
    Et l’enthousiasme des gentils Explorateurs du Web que nous avons été toi et moi vient de prendre une grande claque.
    Même si nous avons jamais été réellement dupes de ce qui pouvait nous attendre, le réveil de l’après Web 2.0 sent la gueulle de bois.

    De là à penser que les veilleurs et early adopter d’hier deviennent des activistes anti-liberticides de demain, il n’y a qu’un pas.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *