background-shape
Identification / Authentification / Autorisation

Dans notre vie numérique quotidienne nous sommes régulièrement identifiés, authentifiés, autorisés. Il est rare que les opérations techniques spécifiques à chacun de ces concepts soient bien distinguées, ce qui fait que l’on mélange un peu tout. Ce n’est pas forcément grave, mais il est quand même important de savoir ce que l’on fait, et pourquoi on le fait. Prenons un exemple dans la vraie vie : Vous vous rendez dans un hôtel. A l’accueil vous donnez votre nom : Identification. On vous demande une pièce d’identité pour vérifier que c’est bien votre nom et c’est bien votre visage sur la photo : Authentification. On regarde si vous avez une réservation liée à cette identité : Autorisation. Sur Internet le mécanisme est le même, mais il existe des différences significatives. Pour vous identifier on utilisera communément une adresse email, pas votre vrai nom. Pour vous authentifier, on vous demandera un mot de passe, avec possiblement un deuxième facteur (un code temporaire qui vous aura été envoyé par SMS, une preuve biométrique, un code généré par une application de type Authenticator, etc.). L’authentification ne se fait pas par l’intermédiaire d’un tiers institutionnel (comme dans le cas de la pièce d’identité dans la vraie vie) mais par le service même que vous utilisez, ou au mieux, par un tiers de confiance. Ce fonctionnement permet d’assurer le respect du RGPD et de créer une identité numérique distincte de votre identité. Sur les sites marchands, on casse volontiers cette distinction en vous demandant vos coordonnées bancaires, votre nom et votre adresse. Il faut alors faire confiance au commerçant en ligne pour respecter les lois et pour mettre en place les outils de sécurité adéquats pour éviter que vos données ne soient volées. On peut toujours résister en n’enregistrant pas les coordonnées bancaires sur le site, en se faisant livrer, sous un nom d’emprunt dans un Locker, mais ça devient compliqué.

Autorisation sans identification

Dans certains cas, on peut avoir besoin d’une autorisation sans qu’il n’y ait nécessité de s’identifier. Dans la vraie vie, on entre dans un bar et on commande un pastis sans donner son nom ; c’est au serveur d’estimer votre âge pour savoir s’il a le droit de vous servir ou pas. En cas de doute il demande une pièce d’identité mais il ne s’intéresse pas au nom, uniquement à l’âge et la photo. Il ne s’agit pas d’une authentification, mais de la fourniture d’une « preuve d’attribut » Dans le monde numérique, cette question, qui ne fait pas l’objet d’un consensus, est aujourd’hui d’actualité avec la nécessité de protéger les mineurs de la pornographie. Pratiquement, le sujet est beaucoup plus large que les besoins de vérification d’âge. Vous ne pouvez , par exemple, regarder une série sur le site de la RTBF, que si vous êtes physiquement en Belgique. La preuve d’attribut est basée sur votre adresse IP. Certains services sont gratuits pour les étudiants. La preuve d’attribut demandée est une adresse email valide d’un établissement scolaire ou universitaire.
La gestion des preuves d’attributs et les problématiques qui y sont liées (robustesse, sécurité, respect de la confidentialité) est un enjeu majeur d’Internet sur les prochaines années. De nombreuses entreprises sont positionnées sur le marché comme les anglais de Yoti dont la solution a été expérimentée par la Française de Jeu. En France, la jeune pousse marseillaise Greenbadg, accompagnée par Marseille Innovation, participe à l’expérimentation menée au niveau national depuis février 2023 pour autoriser ou bloquer l’accès à des sites pornographiques.