Voici Neo, la solution de Ping pour l’identité décentralisée

Neo signifie « une forme nouvelle et différente de quelque chose qui existait dans le passé » et Neo revisite les systèmes IAM centralisés d’aujourd’hui. Les systèmes IAM centralisés traditionnels stockent des informations personnelles et sont contrôlées par une seule entité. L’identité décentralisée permet aux informations d’identité d’être stockées en toute sécurité et d’être contrôlées par leur propriétaire.

C’est une approche de la gestion des identités qui permet aux utilisateurs de contrôler leurs données d’identité. Parfois appelée « identité à la périphérie du réseau » ou « identité auto-souveraine », elle élimine le besoin pour les utilisateurs de fournir des informations personnelles inutiles pour accéder à un service. Avez-vous vraiment besoin de présenter votre permis de conduire, qui inclut votre adresse, juste pour prouver votre âge ? En pratique, si vous devez prouver votre âge, vous n’avez pas besoin de présenter votre permis de conduire qui contient bien plus d’informations que votre seule date de naissance.

Les organisations délivrent aux utilisateurs un identifiant digital vérifiable qui est stocké dans un portefeuille électronique. Les utilisateurs présentent leurs identifiants aux organisations qui peuvent vérifier ces informations et confirmer la source des identifiants instantanément, sans devoir contacter l’émetteur.  Un identifiant numérique représente ou intègre toutes les demandes que l’émetteur a vérifiés ou enregistrés. Ces demandes incluent typiquement un ou plusieurs attributs qui incluent :

• Identification : Informations biographiques, photo, code PIN, etc.
• Éligibilité : Droits, permissions, privilèges, rôles, etc.
• Affiliation : Statut de l’employé ou du prestataire, statut du membre ou du client/compte, objectif, etc.
• Autres attributs étendus : Par exemple les règles sur comment/quand/où un identifiant est supposé être utilisé, ou des détails sur un compte/une politique, et le montant au crédit, etc.

Pour nommer quelques exemples concrets, il peut s’agir de demandes :

• De titre d’achat : Acte de propriété, tickets d’événements sportifs ou de concerts, assurance.
• D’appartenance : Citoyenneté, emploi, association/club, résidence, abonnement.
• De titre professionnel : Diplôme, certification professionnelle, titres et distinctions.

Selon le DBIR Verizon 2022, plus de 80 % des failles impliquaient un élément humain, notamment des attaques ciblant les réseaux sociaux et des identifiants compromis. Par contraste, l’identité décentralisée utilise de robustes méthodes de vérification d’identité avant d’émettre des identifiants signés de façon chiffrée pour s’assurer que les informations personnelles sont sécurisées et qu’elles ne peuvent pas être modifiées sans la permission du propriétaire. Ces informations sont stockées avec le propriétaire, principalement sur son téléphone mobile et dans un portefeuille électronique.

Par rapport aux approches traditionnelles qui s’appuient sur de lourdes intégrations en arrière plan et une fédération au sein des organisations, l’identité décentralisée supporte une architecture moderne et extensible qui rend les identités et les accès plus portables tout en améliorant simultanément la commodité, la sécurité et la confidentialité. Ses trois principaux avantages sont : 

1. Décentralisation des données. Les identifiants sont stockés sur le terminal mobile de l’utilisateur, en mettant le choix, le consentement et le contrôle entre les mains de l’utilisateur. Les utilisateurs peuvent profiter de plus de nouveaux services, tout en restant protégés contre les suivis inutiles, l’abus de données et les failles potentielles. Ceci minimise aussi les risques pour les fournisseurs de services qui n’ont plus besoin de stocker des copies obsolètes des informations personnelles des utilisateurs.

    

2. La délivrance d’identifiants ne se limite pas aux demandes qui ont pour origine des documents spécifiques. La délivrance d’identifiants ne s’appuie pas sur un ensemble limité de preuves d’identité comme une pièce nationale d’identité ou un carnet de vaccination. Un identifiant peut être délivré pour inclure tout élément qu’une autorité peut vérifier ou établir. Il peut s’agir de n’importe quel élément, attribut ou facette sur l’identité, les autorisations, les affiliations ou les objectifs d’un utilisateur.

    

3. Élimination des frictions. Une fois qu’un utilisateur a vérifié son identité, un identifiant peut être délivré afin que l’utilisateur n’aie jamais plus à repasser par ce processus de vérification. Cet identifiant peut être partagé avec d’autres entités que l’autorité émettrice, car la délivrance des identifiants utilise des standards de l’industrie.

De plus, les utilisateurs ont plus de contrôle sur leurs informations personnelles. Plutôt qu’une entité tierce dicte la façon dont les informations personnelles sont utilisées et partagées, l’identité décentralisée permet aux individus de gérer et de contrôler leurs propres données. Ceci inclut la capacité de choisir quelles informations sont partagées, avec qui elles sont partagées et comment elles sont utilisées. Plus besoin de se demander « comment cette personne a-t-elle obtenu mes informations ? ».

Aujourd’hui, nous présentons Neo, la solution de Ping pour la gestion des identités décentralisées. Neo est composé de deux parties. La vérification et les identifiants.

Vérification : Neo fournit plusieurs types de vérifications :

• Vérification d’un identifiants digital : C’est l’élément fondamental des identifiants vérifiables. Lorsqu’un utilisateur présente un identifiant vérifiable, il doit être vérifié auprès du demandeur original (par ex. un fournisseur de services) en vérifiant la signature chiffrée.

   

• Authentification d’un identifiant physique : Valide l’authenticité d’une pièce d’identité gouvernementale, notamment les passeports et les cartes d’identité nationales ; en option, comparaison des données biographiques extraites de cette pièce d’identité avec un système d’archivage.

   

• Vérification de la possession d’un téléphone et d’un email : Envoi d’un mot de passe à usage unique à l’adresse email ou sur le téléphone de la personne par SMS ; étroitement lié au processus de vérification.

   

• Correspondance biographique approximative : Comparaison des données biographiques vérifiées provenant de la pièce d’identité gouvernementale produite, avec les données biographiques saisies par l’utilisateur ou stockées précédemment.

   

• Vérification du selfie : Vérification de son caractère réel.

Les principales fonctionnalités de PingOne Credentials comprennent :

• Délivrance automatique : Définit des modèles d’identifiant, des attributs d’identité et attribue un utilisateur ou un groupe de population au modèle d’identifiant. Lorsque les utilisateurs sont ajoutés au groupe correspondant, l’identifiant digital est délivré automatiquement.

   

• Gestion du cycle de vie centralisée : Gère tout le cycle de vie des identifiants, de leur définition à leur révocation, depuis une seule console de gestion. Révoque les identifiants à la demande ou automatiquement en fonction de la date d’expiration (bientôt disponible).

   

• Consentement et confidentialité : Le propriétaire de l’identifiant doit donner son consentement avant que ses identifiants puissent être partagés, soit l’ensemble de l’identifiant, soit une partie seulement de cet identifiant, qualifié de consentement sélectif.

La bonne nouvelle c’est que les clients peuvent aussi mettre en œuvre PingOne Credentials avec une approche hybride, additionnelle. Les applications et les infrastructures existantes peuvent rester intactes. Les cas d’usage et les applications sont illimités.

Demander : En général, les utilisateurs prouvent qui ils sont auprès de l’organisation émettrice en utilisant une ou plusieurs méthodes, par exemple en vérifiant une pièce d’identité délivrée par le gouvernement [à l’aide de PingOne Verify] ou en s’authentifiant avec leurs identifiants de connexion. Les organisations notifient ensuite l’utilisateur du fait qu’il est éligible pour recevoir un ou plusieurs identifiants en envoyant une invitation par email.  Les utilisateurs peuvent demander de s’inscrire en scannant un QR code pour associer leur portefeuille Neo au service après avoir cliqué sur le lien Internet présent dans l’email.

Créer : Le service utilise le modèle d’identifiant prédéfini pour déterminer quels attributs devraient être inclus dans l’identifiant et les récupère via PingOne Directory et sa capacité de synchronisation avec des annuaires et des bases de données externes. PingOne Credential ‘package’ l’identifiant en fonction du type indiqué dans le modèle, notamment en utilisant des standards.

Stocker : Le service provisionne alors automatiquement le ou les identifiants pour lesquels l’utilisateur est éligible en envoyant une notification en push au portefeuille Neo ainsi qu’une notification de courtoisie par email à l’utilisateur. L’utilisateur peut alors accepter ou rejeter l’inclusion de chaque identifiant dans son portefeuille Neo.

Une remarque sur les portefeuilles : Même si les portefeuilles open source sont encore en cours de développement dans des initiatives telles que l’OpenWallet Foundation, nous les considérons comme essentiels pour donner du pouvoir à l’utilisateur sur les applications et les plates-formes. Etre capable de délivrer un identifiant à n’importe quel portefeuille en utilisant des protocoles émergents tels que OpenID4VCI sera important à l’avenir pour donner le choix aux utilisateurs et pour respecter des réglementations qui sont toujours en cours de développement, comme l’initiative EU Digital Wallet.

Présenter : Les utilisateurs peuvent désormais présenter leurs identifiants vérifiables quand cela est nécessaire. Ils peuvent partager les données essentielles pour que l’interaction aie lieu. La présentation d’un identifiant vérifiable peut se faire en ligne ou en personne, tant qu’une connexion Internet est disponible. À l’avenir, les communications de proximité comme le NFC ou le BLE seront supportées pour des scénarios low ou no communication in-person (ISO 18013-7 est en cours de développement pour cela).

Donc, quelles sont les applications pratiques de l’identité décentralisée et des identifiants vérifiables ? Voici quelques exemples :

• Services financiers : Ils peuvent utiliser les identifiants vérifiables pour réduire les fraudes à l’encaissement de chèques en utilisant une seule fois des mécanismes robustes de vérification d’identité puis en délivrant par la suite un identifiant vérifiable. Les banques peuvent également proposer à leurs partenaires commerciaux d’utiliser les mêmes identifiants pour une identification forte et pour accéder aux services affiliés.

   

• Services gouvernementaux : Les identifiants vérifiables pourraient être utilisés pour remplacer bon nombre de documents papier qui sont délivrés, comme les actes de naissance, les permis de pêche, les actes de propriété et bien sûr les permis de conduire. Les identifiants vérifiables pourraient aussi être utilisés pour sécuriser les systèmes électoraux et garantir que seuls les électeurs éligibles puissent voter.

   

• Grande distribution et e-commerce : Les enseignes pourraient utiliser les identifiants vérifiables pour vérifier l’âge des clients, notamment pour acheter des produits avec un âge minimum comme l’alcool et le tabac, ainsi que pour les programmes de fidélité notamment pour accéder aux services et aux avantages de partenaires commerciaux.

Il ne s’agit que de quelques exemples des nombreuses applications potentielles des identifiants vérifiables. De nos échanges avec différentes organisations, il ressort que les applications semblent illimitées, et surtout qu’elles permettent de résoudre des problèmes qui sont soit complexes soit impossibles à résoudre avec la technologie actuelle.

La mobilité accrue des utilisateurs et leur aspiration pour des expériences d’accès personnalisées, unifiées et omnicanales ont repoussé l’IAM fédéré au-delà de ses limites. Dans le même temps, le besoin pour les organisations de collaborer davantage pour être plus compétitives, mais aussi de construire des communautés de confiance et de valeur pour ces mêmes utilisateurs de façon abordable et sécurisée, ne peut pas être satisfait par les solutions existantes d’IAM fédéré. Les clients qui adoptent le nouveau modèle d’identité décentralisée peuvent améliorer leurs expériences existantes et créer l’opportunité pour de nouvelles expériences utilisateur précieuses tout en augmentant le niveau d’engagement et la collaboration avec leurs partenaires business en mettant en place PingOne Neo. Ces clients peuvent y parvenir sans avoir à remplacer leur infrastructure. Puisqu’il est conçu pour s’intégrer dans l’écosystème de Ping, PingOne Neo peut s’intégrer aux applications et aux systèmes existants pour améliorer les fonctionnalité et étendre mes capacités des utilisateurs.

Simultanément, PingOne Neo peut aussi supporter de nouveaux cas d’usage et de nouvelles applications développés sur une infrastructure légère, à moindre coût, plus sécurisée et plus respectueuse de la confidentialité des données.

Nous sommes heureux de présenter PingOne Neo car il résout les problèmes d’aujourd’hui de façon pratique et fonctionne en harmonie avec les systèmes IAM en améliorant les plates-formes de fédération existantes. Ceci veut dire  que si les clients passent d’un modèle fédéré à un modèle décentralisé, ou construisent de nouvelles expériences utilisateur sans intégrations en arrière plan, PingOne Neo leur apporte immédiatement de la valeur.