Identités décentralisées (DID) et souveraines (SSI) : Avancées, précautions, nouveaux usages

myDid
7 min readJan 27, 2022

[Ce billet constitue la première partie de notre tribune publiée dans la newsletter “21 Millions” de Gregory Raymond pour le Magazine Capital]

La déclaration Universelle des Droits de l’Homme défend le droit d’un individu à posséder une identité propre et le droit à la reconnaissance en tous lieux de sa personnalité juridique. Exemple concret pour comprendre l’importance du droit à l’identité comme socle du droit : pour interdire le travail des enfants (ou leur mariage forcé, etc.), il est essentiel pour eux de posséder une identité¹ démontrable et une information associée fiable (âge).

Les identités numériques traditionnelles (et les données qui y sont attachées) sont généralement émises par différentes autorités centralisées, qu’elles soient étatiques, institutionnelles ou complètement privées. Il est possible d’utiliser tour à tour une identité numérique délivrée par un service public national en cliquant par exemple sur un bouton « se connecter avec France Connect² » puis une identité délivrée par un acteur étranger privé en cliquant sur un bouton « se connecter avec son compte Google³ ». Dans ces deux cas, il s’agit d’identités numériques centralisées.

L’identité souveraine (Self-Sovereign Identity) utilise les nouvelles capacités techniques des identités décentralisées (Decentralized Identity) pour permettre à chaque individu de détenir et maîtriser des identités sans autorité ni stockage centralisés.

Pour obtenir une identité et des données associées vérifiables (à valeur « probante »), les différents acteurs (fournisseurs de services, autorités certificatrices et utilisateurs) peuvent se faire mutuellement confiance en enregistrant des données dans une blockchain, pour définir des profils publics ou obtenir des traces horodatées fiables.
La blockchain en elle-même ne contient aucune donnée personnelle.

C’est un domaine d’application sensible pour les technologies « Blockchain » qui permet de réduire ou limiter la place d’autorités centralisées historiques (gouvernements, entreprises, géants du numérique).

Les portefeuilles d’identités décentralisées doivent permettre à leurs utilisateurs d’améliorer le contrôle des données personnelles associées à leurs identités décentralisées. Ces portefeuilles peuvent exister sous diverses formes : une application mobile (dApp), une extension de navigateur web (type Metamask), ou même un portefeuille matériel simplifié (comme une carte à puce NFC).

Le détenteur d’une identité souveraine peut ensuite choisir de faire vérifier certaines de ces données personnelles pour les présenter de manière vérifiable sans devoir solliciter un intermédiaire de confiance lors de chaque présentation, que ce soit auprès de relations personnelles, de contacts professionnels, d’organismes publics ou même d’objets. Ces données personnelles prouvables deviennent alors des « Attestations Vérifiables » (« Verifiable Credential » ou « Verifiable Claim » en anglais).

Illustration : Obtention d’une Attestation Vérifiable par un détenteur d’identité décentralisée

Dans le détail, selon les blockchains et les cas d’usage, un espace de stockage décentralisé peut aussi être sollicité (IPFS, Arweave, etc.).

Le consentement des utilisateurs lié aux partages de leurs informations personnelles peut être amélioré. Il s’agit d’une avancée pour le respect de la vie privée qui pourrait contribuer à l’établissement de nouveaux droits.

Comme dans le cas de Bitcoin, ces nouvelles architectures apportent enfin des solutions techniques astucieuses attendues à de vieux problèmes persistants : personne ne va les « désinventer ».

Le choix de la blockchain est libre et il peut exister plusieurs méthodes pour une même blockchain : II en existe par exemple déjà trois qui sont référencées pour la blockchain Bitcoin (dont BTCR en layer 1 et ION en layer 2 via Sidetree).

Des travaux de spécifications, de documentations et de normalisations sont maintenant bien avancés et maintenus par des organismes fédérateurs reconnus comme le W3C ou la Decentralized Identity Foundation.

Avec une standardisation plus aboutie, les organismes centraux « historiques » réfléchissent déjà à proposer des passerelles entre les anciennes plateformes et ces nouvelles architectures, à l’image des travaux de l’Union européenne sur les interactions possibles entre les services de confiance numérique conformes au règlement eIDAS et les solutions d’identités souveraines¹⁰.

Comme pour Bitcoin, ces innovations sont l’aboutissement de travaux antérieurs :

  • la “toile de confiance” (Web of Trust) de Phil Zimmerman, inventeur de PGP, évoquée dès les années 90,
  • les publications de Carl Ellison sur les identités sans autorités de certification à la même période,
  • les lois de l’identité (The Laws of Identity) de Kim Cameron en 2005,
  • les travaux d’Audun Jøsang et de Simon Pope sur la gestion des identités par l’utilisateur (User centric identity management) aussi en 2005,
  • les premiers travaux en 2006 sur les Attestations Vérifiables du W3C qui parlaient d’abord de “Verifiable Claims” avant d’utiliser le terme de “Verifiable Credentials”,
  • les réflexions de Moxie Marlinspike (créateur de la messagerie Signal) sur ces sujets dès 2012,
  • les articles de Christopher Allen (co-inventeur du standard SSL/TLS et architecte principal de Blockstream) sur les notions de vie privée, autour d’identités fractionnées et maîtrisées (“personal and contextual privacy”) en 2015,
  • le White Paper publié lors des premiers ateliers du “Rebooting the Web of Trust” de 2015 qui décrivait la nécessité d’une infrastructure à clés publiques (ICP) décentralisée (DPKI), dont Vitalik Buterin est l’un des nombreux co-auteurs avec Christopher Allen¹¹.

L’arrivée des blockchains publiques, ouvertes, non-permissionnées et résistantes à la censure, a permis de s’affranchir des derniers points de centralisation en proposant de nouvelles capacités d’immutabilité, de disponibilité et de transparence.

Il n’est cependant pas rare de lire des articles complotistes (« c’est ce qu’ils font en Chine », « on va tous être pucés! », « c’est lié au QR Code du Covid », etc.) sur les sujets de l’identité numérique (décentralisée ou non d’ailleurs…) écrit par des détracteurs qui cumulent fantasmes et preuves d’incompétence, ne comprenant même pas que les architectes des identités décentralisés sont les premiers à faire preuve de vigilance.

C’est pour éviter une définition dévoyée de ces technologies que Christophe Allen a listé dès 2016 les dix caractéristiques d’un véritable système d’identité souveraine¹² :

  1. Existence : il est important de garder à l’esprit qu’un humain ne peut être réduit à une identité numérique, forcément partielle. (J’ajoute qu’il faut encourager et faciliter la détention d’identités décentralisées multiples pour les rendre volontairement encore plus partielles)
  2. Contrôle : Le détenteur doit pouvoir profiter d’attestations vérifiables disponibles mais doit en même temps être capable d’effectuer certaines mises à jour, de déléguer certains droits et -dans certains cas- de cacher ou révoquer certaines informations.
  3. Accès : L’accès à ses propres informations (identités et attestations vérifiables) doit être maintenu et total : aucune partie ne doit être cachée ou maintenue par un tiers.
  4. Transparence : Les choix d’architecture et d’algorithmes doivent être publics, ouverts, documentés, « open-source ».
  5. Persistance : Les informations liées aux identités doivent pouvoir être conservées longtemps (idéalement éternellement) sans dépendance à la subsistance d’entités centrales. Exemple : même si un émetteur d’Attestations Vérifiables disparait, il devrait être possible de continuer à vérifier ses émissions passées… et tout cela sans contrevenir au droit à l’oubli « volontaire ».
  6. Portabilité : Les identités et informations doivent être transportables et pouvoir « suivre » le détenteur.
  7. Interopérabilité : Les identités doivent être utilisables par tous, dans des cadres d’utilisation divers et compatibles entre eux. (Nécessité d’efforts de standardisation)
  8. Consentement : Le consentement aux partages d’informations personnelles doit toujours être éclairé et explicite (contexte, acteurs, données, motivation, etc.).
  9. Minimalisme : La fourniture d’attestations vérifiables doit être réduite pour correspondre aux usages visés. L’objectif est de donner pour chaque situation le plus petit nombre d’informations personnelles, avec le moins de détails possibles.
  10. Protection : La protection de l’utilisateur et de ses droits doit toujours être prioritaire. Les techniques de résistance à la censure et à l’usage de la force doivent être favorisées.

Le cadre d’utilisation des identités décentralisées s’agrandit rapidement et à travers de nouveaux usages

Avant de citer les usages listés traditionnellement par le W3C, quelques exemples d’actualités récentes qui laissent présager de nouvelles opportunités :

  • Les réflexions de la DIF sur des usages « à plat », entre utilisateurs, en pair à pair¹³
  • Les possibles intégrations des « Présentations Vérifiables » aux flux du protocole OpenID Connect suite aux travaux engagés par la fondation OpenID sur « OpenID Connect for Verifiable Presentations »¹⁴
  • La multiplication d’articles appelant à utiliser des identités décentralisées pour les nouveaux metaverses¹⁵
  • L’engouement progressif pour les nouvelles Organisations Décentralisées Autonomes (DAO / Decentralized Autonomous Organization) qui pourront profiter à plein des identités décentralisées¹⁶

Pour rappel : nous avions déjà rappelé les usages standard des Attestations Vérifiables déjà listés par le W3C dans un article précédent.

CONCLUSION

L’identité décentralisée et souveraine est un large domaine d’activité avec d’importantes perspectives d’utilisation et une actualité technique foisonnante. C’est aussi un univers parcouru régulièrement par de passionnants débats philosophiques et politiques.

Les entreprises et startups françaises se sont encore peu emparées de ces sujets et enjeux. Ce serait dommage qu’un secteur entier de l’identité numérique, qui peut justement s’affranchir facilement des géants américains du cloud, soit encore « trusté » par des fournisseurs de solutions américaines.

[1] Les droits de l’enfant : le droit à l’identité (UNICEF)
https://www.unicef.fr/sites/default/files/userfiles/04_DROIT_IDENTITE.pdf

[2] En choisissant par exemple l’assurance maladie comme fournisseur d’identité
https://franceconnect.gouv.fr/

[3] Intégrer l’identité Google à ses applications
https://developers.google.com/identity/sign-in/web/sign-in

[4] Une carte NFC pour les portefeuilles d’identités décentralisées (DID)
https://mydid.medium.com/une-carte-nfc-pour-portefeuille-did-3217c93cb70c

[5] Proposition d’un nouveau droit à l’intégrité numérique (Alexis Roussel) :
https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/13017-Declaration-de-principes-numeriques-une-%C2%ABapproche-europeenne%C2%BB-pour-la-societe-numerique/F2635999_fr

[6] BTCR DID Method
https://w3c-ccg.github.io/didm-btcr/

[7] ION DID Method
https://github.com/decentralized-identity/ion

[8] W3C DID Specification Registries
https://w3c.github.io/did-spec-registries/

[9] DIF / Decentralized Identity Foundation
https://identity.foundation/

[10] SSI eIDAS Bridge Work Group (European Commission)
https://joinup.ec.europa.eu/collection/ssi-eidas-bridge

[11] Decentralized Public Key Infrastructure
https://github.com/WebOfTrustInfo/rwot1-sf/blob/master/final-documents/dpki.pdf

[12] The Path to Self-Sovereign Identity
http://www.lifewithalacrity.com/2016/04/the-path-to-self-soverereign-identity.html

[13] Peer DID Method Specification
https://identity.foundation/peer-did-method-spec/

[14] OpenID Connect for Verifiable Presentations
https://openid.net/specs/openid-connect-4-verifiable-presentations-1_0.html

[15] A Digital Identity Fit for The Metaverse
https://www.forbes.com/sites/alastairjohnson/2022/01/07/a-digital-identity-fit-for-the-metaverse/

[16] How DAOs Benefit from Self-Sovereign Identity
https://northernblock.io/daos-and-ssi/

--

--