D’ici fin 2026, l’ensemble des États membres de l’Union européenne devront mettre gratuitement à disposition de leurs citoyens un portefeuille d’identité numérique (EU Digital Identity Wallet). Prévu par le règlement eIDAS 2.0, le portefeuille européen d’identité numérique devra être interopérable et reconnu partout en Europe. Les citoyens pourront y stocker des données d’identification (nom, prénom, date de naissance, etc.) et des documents officiels au format numérique (diplôme, permis de conduire, etc.). Ce portefeuille numérique pourra être utilisé pour s’authentifier sur des services publics ou privés à travers toute l’Union Européenne.
En tant que développeur et fournisseur de portefeuille électronique, iDAKTO propose des briques sécurisées, certifiées et utilisées au sein de l’application France Identité, officiellement reconnue comme identité numérique de niveau « élevé ». Nous avons donc posé des jalons importants pour la sécurité des applications et de la plateforme derrière ce que sera bientôt l’implémentation française du portefeuille d’identité numérique européen.
Alors que les actes d’exécution du règlement eIDAS 2.0 devraient bientôt venir préciser les exigences en matière de sécurité du futur portefeuille européen, iDAKTO travaille d’ores et déjà sur la rédaction des standards au sein de l’ETSI, CEN et OpenID Foundation.
Andreea Prian, responsable de la standardisation chez iDAKTO et experte en conformité eIDAS, fait le point sur 5 grands enjeux de sécurité autour du portefeuille européen d’identité numérique, les questions qui se posent et les solutions envisagées pour y répondre.
1. La protection des données personnelles, une brique non négociable du futur EUDI Wallet
La confiance des citoyens dans l’identité numérique européenne dépend de la transparence de l’ensemble des acteurs impliqués dans le dispositif et de la protection des données personnelles. Or les attestations émises et stockées dans le futur portefeuille européen contiendront des métadonnées – telles que la date d’expiration de l’attestation ou la signature cryptographique – et des données techniques qui pourraient permettre de suivre les utilisateurs lorsque ces attestations seront partagées avec des tiers. Les utilisateurs pourraient donc être traçables, puisque lors de deux présentations différentes, un recoupement permettrait de déduire qu’il s’agit de la même personne.
Éviter le traçage des utilisateurs pourrait se faire via l’émission d’attestations à usage unique, mais cette solution s’avère en réalité peu scalable et ferait peser une charge importante sur l’émetteur des attestations.
Une autre solution pourrait être l’utilisation de techniques cryptographiques avancées, par exemple celles de type Zero Knowledge Proof, permettant de fournir des preuves sur les données d’un utilisateur sans pour autant divulguer leur valeur exacte. La randomisation des signatures via des algorithmes cryptographiques et des schémas de signatures de type BBS+ ou offrant des propriétés au moins équivalentes pourrait également être envisagée.
De telles solutions doivent encore être approfondies et testées pour un éventuel usage dans le cadre de la création d’une identité numérique. De nouveaux « Large Scale Pilots » vont être lancés en 2025, afin de préciser les contours et les cas d’usages du futur portefeuille d’identité européen. L’étude de la protection des données utilisateurs via ces techniques devrait donc faire partie intégrante de leur feuille de route.
2. Anticiper les menaces liées au post-quantique
La création du portefeuille européen d’identité numérique met au premier plan les questions de sécurité autour de la signature électronique. De nombreux éléments appelés à transiter par le portefeuille seront signés pour garantir l’authenticité des données (attestations stockées, présentations d’attestations faites aux parties utilisatrices, etc.). Or l’ère post-quantique approche et menace la cryptographie asymétrique actuellement utilisée pour les signatures électroniques. L’informatique quantique sera en mesure de reproduire des signatures qui paraîtront légitimes, rendant ainsi impossible de distinguer ce qui est authentique de ce qui ne l’est pas.
Il n’existe, à ce jour, pas encore d’algorithmes post-quantiques officiellement recommandés en France.Si les premiers algorithmes ont déjà été standardisés par le NIST, ils ne font pas l’unanimité quant à leur maturité et leur capacité à garantir à eux seuls la sécurité des données.
L’utilisation de protocoles flexibles et évolutifs, qui ne soient pas liés à une seule technique cryptographique, pourrait être envisagée. Afin d’anticiper les menaces liées au post-quantique, l’ANSSI recommande d’ores et déjà l’hybridation, c’est-à-dire l’utilisation simultanée de deux algorithmes, dont l’un est résistant au post-quantique et l’autre pré-quantique, suffisamment étudié et reconnu. Si l’hybridation apparaît comme une solution recommandée, encore faut-il qu’elle soit permise, par exemple par le format des attestations. Il est donc crucial que les organismes de standardisation se penchent sur le sujet de l’intégration de l’hybridation.
3. Mettre en place un cadre de confiance
La question de la confiance irrigue le projet de création du portefeuille européen d’identité numérique. La création d’un cadre de confiance solide est nécessaire en matière d’identité numérique, notamment pour l’identification et l’authentification des émetteurs d’attestations, des fournisseurs de portefeuilles certifiés et surtout des fournisseurs de services – publics et privés – qui sont appelés à être nombreux à utiliser le futur portefeuille européen. Les données sensibles comme les données de santé, stockées dans le wallet, nécessiteront une régulation stricte.
De nombreux fournisseurs de services souhaiteront utiliser l’EUDI Wallet, facile à adopter et interopérable partout en Europe. Ils devront donc s’inscrire sur des « listes de confiance » dont les critères ne sont pas encore précisés. Laisser la main aux États pour définir leurs propres critères d’enregistrement des fournisseurs de services sur les « listes de confiance » risquerait de créer de trop fortes disparités, et donc de compromettre la sécurité du futur portefeuille européen d’identité numérique.
Un enregistrement strict et transparent des entités légitimes sur les « listes de confiance » est nécessaire, afin d’assurer à l’utilisateur que le service qu’il souhaite utiliser est bien en droit de lui demander des informations contenues dans son portefeuille. L’enregistrement déclaratif (sur la base d’un formulaire, par exemple) ne sera pas suffisant pour garantir la confiance dans le dispositif. L’application des principes du RGPD posera entre autres une condition stricte : les entreprises (parties tierces) devront uniquement demander à l’utilisateur les données nécessaires au regard des finalités pour lesquelles elles seront traitées. La Commission européenne est attendue pour fournir davantage de détails concernant les processus d’inscription sur les « listes de confiance ».
4. Placer l’EUDI Wallet sous le contrôle exclusif de l’utilisateur
L’utilisation du portefeuille européen, et notamment la gestion et le partage des données, doivent être « sous le contrôle exclusif de l’utilisateur ». Théoriquement neutre d’un point de vue technologique, ses premières implémentations auront lieu sous la forme d’une application mobile (notamment en France). Dans ce cas, l’utilisateur s’authentifiera via son appareil mobile notamment via la biométrie qui est le moyen d’authentification présentant le moins de friction utilisateur.
Cependant, la sécurité de l’authentification varie avec la diversité des appareils et le manque de garanties qu’ils offrent quant aux implémentations des solutions biométriques. Or l’authentification est un aspect clé dans la protection des données. Cette situation pose la question de la confiance envers ces dispositifs qui restent hors du contrôle de l’utilisateur proprement dit.
Il sera sûrement nécessaire de renforcer le processus d’authentification pour les attestations nécessitant un niveau d’assurance élevé. L’utilisation d’une carte d’identité électronique avec code PIN pourrait être une solution, afin d’éviter d’avoir à recourir à la biométrie, même si cette solution risque de rendre l’expérience utilisateur moins fluide.
5. Respecter un ensemble minimal de règles de sécurité en l’absence de schéma européen de certification
Il n’existe, à ce jour, pas encore de schéma de certification unifié au niveau de l’Union européenne indiquant comment certifier l’intégralité du portefeuille et de ses composants (back-end, application, composant cryptographique matériel, etc.). Or les futurs portefeuilles devront bien être certifiés, et même atteindre le niveau d’assurance élevé pour l’identité électronique. La vocation d’un schéma de certification serait de décrire les pré-requis nécessaires à la sécurisation des différents composants du portefeuille en vue de sa certification.
Les pays européens concernés par la mise en place du futur portefeuille européen d’identité numérique présentent des niveaux de cybersécurité assez hétérogènes. Cet état de fait risque donc de créer des disparités en matière de sécurité dans les différents États, certains faisant certifier des versions du portefeuille que d’autres pourraient en revanche considérer comme insuffisamment sécurisées.
Un ensemble minimal de règles de sécurité devrait être respecté par tous les États membres afin de garantir un niveau de sécurité homogène et harmonisé. Ce socle garantirait à l’ensemble des citoyens la possibilité d’utiliser une solution sécurisée sur la base d’un certain nombre de règles de sécurité communes, quel que soit le pays.
Exigences de sécurité, de confiance et de régulation autour du futur EUDI Wallet : les éléments à retenir
1. Le respect de la vie privée est une brique essentielle pour préserver la confiance des citoyens dans l’identité numérique européenne et encourager l’adoption du futur portefeuille. Le portefeuille numérique sera en effet gratuit et non obligatoire pour les citoyens européens.
2. Il est d’ores et déjà nécessaire d’anticiper les menaces liées au post-quantique, notamment via l’utilisation simultanée de deux algorithmes, dont l’un des deux serait résistant au post-quantique.
3. L’inscription des fournisseurs de services sur les « listes de confiance » doit être réalisée de manière stricte et transparente.
4. Le processus d’authentification pour les attestations nécessitant un niveau d’assurance élevé devrait être renforcé (par exemple via l’utilisation d’une carte d’identité électronique avec un code PIN).
5. En l’absence de schéma européen de certification, les différents États vont être amenés à développer leurs propres schémas de certification nationaux. Il est souhaitable que les États travaillent à l’harmonisation des règles de sécurité relatives aux différents composants du portefeuille européen d’identité numérique.
iDAKTO suivra avec attention la publication des actes d’exécution du règlement eIDAS 2.0 et continuera de s’impliquer dans les travaux des « Large Scale Pilots » afin de contribuer à l’élaboration d’un portefeuille européen d’identité numérique pleinement sécurisé.