InterviewPeliks Interview Gérard Peliks - 29 novembre 2010
Site web juritel.com - Droits de reproduction réservés

Monsieur Peliks, pouvez-vous présenter votre activité et votre rôle en quelques lignes ?

GP: Mon employeur est EADS et je travaille dans le CyberSecurity Customer Solutions Centre (CSC en abrégé) de Cassidian, nouveau nom de la division "Défence & Security" d'EADS. Je suis un des experts sécurité du CSC. Nous sommes impliqués dans de nombreux projets R&T, R&D et clients concernant la protection de l'Information, la détection et le traitement des attaques sur les systèmes d'information et de télécommunications. Pour en revenir au sujet de cet article, l'identité numérique a une très grande place chez nous, que ce soit par des solutions d'IAM (Gestion des Identités et des Accès) ou de PKI (Infrastructures de Clés Publiques) car l'identité numérique est très souvent au cœur de la sécurité des projets que nous menons.

En dehors d'EADS, je préside l'atelier sécurité de l'association Forum ATENA (voir www.forumatena.org) et je coordonne celui du Cercle d'Intelligence Economique du MEDEF de l'Ouest Parisien (www.medefouestparisien.fr). Je participe à des organismes tels que l'AFNOR et l'ARCSI, et je suis chargé de cours sur la cybercriminalité et la sécurité de l'information dans des écoles d'ingénieurs.  
 
Comment définissez-vous l'identité numérique ?

GP: L'identité numérique d'un individu est bien sûr une notion beaucoup plus large que le fameux mythe du couple login / mot de passe qui suffit pour établir que l'individu est bien celui qu'il prétend être. C'est l'ensemble des informations qui caractérisent cet individu et lui donne une existence dans l'écosystème du numérique. Cette information provient bien entendu des autorités officielles comme l'Etat Civil de son pays, ses employeurs, ou encore des organisations auxquelles il appartient, mais pas seulement. Elle provient également de l'individu lui-même, de celle qu'il écrit par exemple sur lui et sur les autres, dans les réseaux sociaux et aussi de celle que d'autres individus écrivent sur lui. C'est si facile avec le Web 2.0 ! Un individu, sur la toile est donc ce qu'il est, ce qu'il prétend être mais aussi ce qu'en disent les autres, et ce qu'il dit des autres, informations qui bien évidemment ne sont pas toujours fiables, mais constituent néanmoins l'identité numérique de l'individu, et induisent comment il est perçu.

L'identité numérique d'un individu lui permet d'accéder à certaines ressources qui ne sont pas ouvertes à tous. Pour cela on lui demande de prouver son identité. Celle-ci n'est heureusement pas l'ensemble des renseignements vrais ou faux attachés à cet individu, mais une partie "fiable" d'entre eux. Le plus souvent aujourd'hui, dans le cadre d'une organisation, il lui est demandé son nom, son pseudonyme ou le nom attaché à son compte, souvent c'est le "login", renseignement qui va permettre d'établir si le nom entré est dans une liste d'ayant-droits à telle ressource. C'est ce qu'on appelle l'identification.

Mais encore faut-il établir que l'individu derrière le clavier et l'écran est bien celui qui correspond à ce login. Vaste problème qui est celui de l'authentification. Pour cela, il lui est demandé un renseignement qu'il est censé être le seul à pouvoir entrer. Le plus souvent aujourd'hui, ce renseignement est quelque chose qu'il est le seul à "savoir", typiquement son "password" ou son code PIN. On pourrait tout aussi bien lui demander quelque chose qu'il est le seul à "avoir" ou quelque chose qu'il est le seul à "être". C'est là qu'intervient la biométrie. Ce n'est qu'en combinant au moins deux de ces facteurs qui, pris séparément, sont des facteurs d'authentification faible, qu'on arrive à établir une authentification dite forte parce qu'en principe, on ne perd ou ne révèle pas deux facteurs à la fois et ça donne, après le temps des regrets, celui de demander la suspension de son compte.

La confiance que peuvent accorder à un individu, en particulier les administrations, s'établit maintenant de plus en plus, par son "certificat numérique". Sans entrer dans les détails techniques, disons que le contenu de ce certificat qui caractérise un individu et qui est attesté par une autorité de confiance qui l'a signé électroniquement, lui sert, au travers de mécanismes cryptographiques, à signer un document dématérialisé. Par ailleurs, son certificat remis à une tierce personne permet à cette tierce personne de chiffrer un document et de l'envoyer à l'individu, en garantissant la confidentialité du document (seul l'individu destinataire propriétaire du certificat pourra en prendre connaissance) et son intégrité (le document, même chiffré, n'a pas été modifié). C'est une manière un peu simpliste, car non technique, de dire les choses, mais en gros, c'est ça.

Voyez-vous une cohérence en Europe sur ces questions ou constatez-vous des différences culturelles ?

GP: Cette question, je l'ai posée récemment au responsable de la directive européenne sur la signature électronique à la Commission Européenne lors d'un congrès de l'AFNOR. Après un temps d'hésitation, il m'a avoué que c'était une question vraiment très difficile pour laquelle d'ailleurs la Communauté Européenne ne peut intervenir directement. Comment les états identifient et authentifient leurs citoyens reste de la compétence des états. La Commission Européenne peut tout au plus favoriser une reconnaissance mutuelle des directives émises par les états membres.

J'ai noté et j'aime beaucoup la définition que fait cette personne, très autorisée, de l'identité numérique, "Ce sont les données liées techniquement à d'autres données et qui servent de méthode d'authentification".

Pour ma part, je ne peux que constater des différences culturelles et vraiment pas de cohérence sur les questions d'identité numérique, car l'identité, numérique ou pas, touche à la vie du citoyen, à son essence même et heureusement que nous sommes tous uniques. Voudriez-vous vivre dans un monde où nous sommes tous pareils ? Nous avons des différences, mais aussi beaucoup de ressemblances ! Et c'est ainsi que nous pouvons enrichir un groupe comme une communauté, un ensemble de pays, voire l'Europe. Mais que tous les pays acceptent les mêmes paramètres pour authentifier un de leurs ressortissants, nous sommes loin d'une volonté d'unifier ni même de concevoir une norme.

Parlons juste de la biométrie. Quelle caractéristique d'un individu est-il bon de faire figurer comme élément d'authentification sur une carte d'identité électronique ? Les minuties des empreintes digitales numérisées ? L'iris ? La pupille ? Le réseau veineux de la main ? La morphologie du visage ? Trouver plusieurs pays d'Europe qui s'accorderont sur une caractéristique commune n'est pas pour demain !

Même chose d'ailleurs pour l'autorité de confiance signataire des certificats numériques. Déjà en France, ce n'est pas une autorité officielle. Accepterons nous qu'une autorité commerciale d'un pays tiers signe nos certificats, quand nous reconnaîtrons leur importance ? Il est vrai qu'aujourd'hui, les certificats signés par Verisign, société commerciale US ne posent pas problème à quiconque ne sait pas exactement ce qu'est et à quoi sert un certificat, mais demain ?   

La sécurité doit-elle être assurée uniquement par la technique ou les juristes ont leur mot à dire ?

GP: La sécurité est avant tout une discipline pour les juristes. La technique derrière suit, et dès qu'elle touche à l'identité des individus, elle doit être solidement encadrée, car ce sont les libertés, la propriété, voire même la dignité des individus qui sont en jeu et ça, c'est loin d'être un problème technique.

Dans les évènements, même techniques, sur la sécurité de l'Information, on rencontre de nombreux juristes qui s'intéressent aux questions techniques et des techniciens qui s'intéressent particulièrement aux aspects juridiques. J'ai trois garçons, l'un qui a choisi une filière Ingénieur, les deux autres une filière juridique, et les trois … font de la sécurité.

Les certificats numériques peuvent garantir une certaine assurance que l'identité d'un individu est bien celle de cet individu, mais dans quelles conditions la signature électronique obtenue à l'aide d'un certificat sera-t-elle reconnue comme équivalente à la signature papier ? Ce n'est assurément pas une question qui peut être résolue par la technique.

Un acte signé dans un pays sera-t-il reconnu dans un autre pays, ce n'est assurément pas une question qui peut être résolue par la technique.

Donc oui, les juristes ont un mot à dire dans la sécurité, et de leurs mots, des lois et de la jurisprudence autour des affaires mettant en cause l'identité numérique se bâtira la confiance de demain. Les problèmes techniques seront même occultés par le côté juridique mais les problèmes techniques auront trouvé leurs solutions techniques satisfaisantes.

En conclusion je dirai que l'identité numérique est indissociable de la sécurité de l'Information, au même titre que le chiffrement, tant dans ses aspects techniques que dans ses aspects juridiques. Dans un échange sur l'Internet, l'identité numérique peut intervenir pour entrainer tel ou tel traitement sur l'Information transmise, mais ne devrait pas, par contre, intervenir dans la décision d'acheminer ou pas cette information ou d'en privilégier une autre en fonction de qui l'envoie et de qui la reçoit. C'est tout le problème de la neutralité du net qui fait aujourd'hui l'objet de multiples débats.

Gérard Peliks - Cassidian
Membre du ForumAtena



Paiment sécurisé avec CyberMUT
  Partage
Twitter  Facebook Google

Flux RSS
 Add to netvibes  http://www.wikio.fr  Ajouter à Google
Retrouvez toutes nos coordonnées sur Juritel.tel

Suivre Juritel sur Twitter
Suivre JURITEL sur TWITTER

 
P@rticip@tion :Azique