Utilisation des Attestations Vérifiables (Verifiable Credentials)
Un résumé simple des cas d’utilisation des Attestations Vérifiables (Verifiable Credentials) évoqués par le W3C¹ avec plusieurs exemples concrets.
Dans le billet de la semaine dernière, nous évoquions un cas original et complexe d’usage des Attestations Vérifiables (Verifiable Credentials) pour construire un système de vérification biométrique décentralisée², mais ce n’était évidemment pas représentatif des usages plus ordinaires. Le W3C évoque un certain nombre de domaines principaux accompagnés de quelques exemples qui peuvent donner un meilleur aperçu d’usages concrets et réels d’Attestations Vérifiables.
Commençons par les domaines de l’éducation et du parcours professionnel qui sont des sujets sur lesquels nous avons été récemment sollicités…
Education
1 — Transcription numérique
Plus que la trace d’un simple diplôme, il est maintenant possible de détailler des points remarquables sur l’apprenant, des expériences de travaux pratiques ainsi que des compétences qui ne sont pas strictement éducatives mais utiles, peuvent même comprendre des recommandations personnelles issus du personnel éducatif mais aussi d’autres élèves. Ces retranscriptions sont plus exhaustives, avec une intégrité et sécurité garanties.
2 — Examen
L’accès aux espaces dédiés aux examens peut être filtré en demandant au candidat une preuve d’appartenance à l’établissement ou la possession d’un autre certificat prérequis. L’usage d’AV complique les contrefaçons et l’usurpation d’identité.
3 — Transfert d’écoles
Bien sûr, les Attestations Vérifiables peuvent être stockées sur des portefeuilles personnels comme des applications mobiles décentralisées (dApp) mais ce n’est pas une obligation. Une école peut très bien fournir un espace de stockage même centralisé, une sorte de dépôt personnel où l’utilisateur peut venir piocher et même supprimer ses AV pour les déplacer ailleurs, dans un portefeuille ou dans un autre dépôt centralisé.
4 — Classes en ligne
Les AV peuvent permettre à l’utilisateur aussi bien l’authentification sur les services numériques de cours en lignes (MOOC / Massive Open Online Courses) que la réception du certificat de fin de parcours.
Parcours Professionnel
1 — Vérification des qualifications
Lors de la rencontre avec un nouveau professionnel de santé, que ce soit sur un site web ou dans son bureau, le patient peut effectuer une vérification de la formation et des diplômes du praticien. Un établissement auquel un nouveau professionnel postule peut aussi avoir les mêmes besoins.
2 — Non-maintien, révision des qualifications
Un professionnel de santé peut être astreint à une formation continue ou à un certain nombre de contraintes régulières pour conserver un titre. Les mises à jours des AV par les émetteurs constatant le non respect de ces obligations permet une révocation vérifiable des précédentes attestations vérifiables.
3 — Formation et écoles défectueuses
Des organismes accrédités, eux-mêmes émetteurs d’Attestations Vérifiables peuvent eux aussi faire l’objet de révocation de ces accréditations. Ces évolutions dans le temps peuvent être formellement horodatées et la chaine de confiance peu ainsi être mise à jour, y compris dans un sens positif après remise en conformité.
4 — Vérifications volontairement limitées
En guise d’argument d’autorité pour accompagner des conseils en ligne ou dans les “cas-limites” de groupes militants, il est parfois utile de savoir démontrer anonymement ses capacités médicales sans exposer son identité complète, en utilisant des AV limités.
Vente au détail
1 — Vérification d’adresse
Les adresses fausses, incomplètes ou mal renseignées étant très onéreuses à traiter, un vendeur peut envisager un geste commercial en échange d’une preuve d’adresse sous forme d’envoi d’AV.
2 — Vente de produits contrôlés
La vente en ligne d’alcool ou de produits réglementés peut faire l’objet de demande d’AV pour que l’acheteur puisse faire la démonstration de sa majorité ou des ses capacités professionnelles.
3 — Lutte contre la fraude
Un acheteur peut demander différentes AV à un commerce en ligne, de son certificat d’enregistrement à une chambre de commerce à son appartenance à une chaine de magasin en passant par son état de revendeur officiel, de formation de son support technique sur une marque définie, etc.
Finance
1 — Réutilisation de procédure de KYC
Les exemples cités sont souvent attachés à des cadres réglementés impliquant des banques et des pièces d’identités officielles mais il existe de nombreuses autres utilisations possibles où l’encadrement est un peu plus souple, notamment dans les usages “cryptos”. La standardisation progressive des AV devrait permettre une interopérabilité grandissante (exemple : la capacité de vérifier des AV venant d’émetteurs externes).
2 — Les transferts de fonds
Les AV peuvent être utilisés pour faire le lien entre des identités connues (exemple: membre d’une même famille) et des coordonnées bancaires ou “cryptos” qui peuvent changer/évoluer. Ces preuves d’identité servent aussi potentiellement aux intermédiaires chargés du transfert des valeurs. Cette utilisation peut améliorer la conformité aux procédures de lutte contre le blanchiment d’argent.
3 — Le changement de services bancaires
Les cas d’utilisation évoqués ici sont assez classiques : clôture de compte, adoption d’un nouveau service à travers des procédures simplifiées, démarches dématérialisées optimisées. Il est à noter que nous avons rencontré plusieurs acteurs qui réfléchissaient au contrôle des réputations positives des usagers des banques qui pourraient par exemple transmettre à leurs clients des AV concernant le bon remboursement d’un prêt. La culture autour de la notation des usagers des services financiers varie beaucoup d’un pays à l’autre.
Santé
1 — Prescriptions réglementées
Du certificat professionnel (médecin) à l’ordonnance certifiée, de nombreux usages sont possibles mais dépendent souvent des lentes avancées techniques des acteurs du secteur de la santé.
2 — Commandes en ligne et retraits
Qu’il s’agisse de véritables pharmacies en ligne ou de services internes au sein d’un grand établissement, les AV permettent de filtrer les commandes et de vérifier l’identité de celui qui prend en charge la livraison, qu’il s’agisse de l’acheteur initial ou d’un intermédiaire qualifié pré-établi.
3 — Preuve d’assurances
Les démonstrations de possession d’assurance santé, principale ou complémentaire, sont plus ou moins critiques selon les pays. Elles peuvent tout aussi bien limiter la nécessité de certaines avances financières que conditionner l’accès à certains soins. Ces considérations peuvent être encore plus complexes dans le cas des touristes malades / blessés.
4 —Cerficat médical du handicap
Handicaps complets ou partiels peuvent être légalement présentés sous la forme d’Attestations Vérifiables officielles originales ou de certificats après observation/constat médical.
Identités légales
1 — “Permis de conduire”
Les exemples américains abordent souvent l’exemple des permis de conduire qui sont la seule pièce d’identité officielle réellement utilisées dans de nombreux états américains. Que ce soit dans un usage de contrôle routier ou autre, le cas des identités numériques étatiques est encore un casse-tête peu exploitable mais il y a quelques espoirs : même l’Union Européenne a entamé des réflexions³ sur les passerelles nécessaires entre identités décentralisées et identités nationales notamment via la régulation eIDAS.
2 — Tourisme et immigration de travail
Que ce soit pour faciliter le contrôle aux frontières, aux aéroports, zones de fret, il est possible de transformer les passeports traditionnels en un ensemble d’Attestations Vérifiables dont certaines pourraient être liées ou consultables par les autorités compétentes.
3 — Crises et réfugiés
C’est un cas d’utilisation malheureusement souvent abordés dans l’actualité. Les AV permettent de constituer des identités temporaires ou définitives, construites ou reconstruites qui peuvent permettre une meilleure organisation et un meilleur suivi des populations déplacées ainsi que l’attribution d’aides humanitaires (finances, structures).
Appareils
1 — Suivi de fabrication
De nombreux usages liés à la traçabilité de la chaine d’approvisionnement et de fabrication sont possibles (Supply chain). Il peut s’agir d’une procédure interne de test de qualité ou d’une information publiquement vérifiable. Le cycle de vie complet du produit peut être traduit sous la forme d’une série d’AV. Si les émetteurs sont eux aussi convenablement identifiés, il est possible d’obtenir une certification complète de la chaine, que ce soit pour lutter contre la contrefaçon, certifier la responsabilité sociale ou écologique d’un produit, etc.
2 — Suivi de livraison
Pendant les phases de conception du produit, dans les déplacements entre usines et magasins ou dans la livraison du client final, le suivi de marchandise, en utilisant des AV, permet de qualifier les transporteurs eux-mêmes, voir même le vendeur ou l’installateur.
3 — Suivi de mise à jour, compatibilité, auto-configuration
Les appareils électroniques peuvent recevoir ds nombreuses mises à jour logicielles qui dépendent généralement des différentes versions du matériel. L’interrogation des versions logicielles actuelles et le test de compatibilité avec les mises à jour disponibles ou entre différentes partie assemblées ensemble peuvent être automatiquement effectués par le matériel. Il ne faut pas oublier que les émetteurs, détenteurs et vérificateurs d’AV peuvent aussi être des machines automatisées.
Etapes, usages et bonnes pratiques
Le W3C détaille aussi les différentes tâches associées à l’usage des AV.
Il est aussi indiqué plusieurs contraintes qu’il est souhaitable de remplir :
- Les émetteurs devraient eux-mêmes être vérifiables
- Les présentations des AV doivent être adaptées et comprendre le minimum d’informations possibles
- Le consentement au partage doit être le plus éclairé possible et, idéalement, cet accord ne devrait être valable que pour un temps limité
- Le détenteur doit pouvoir retrouver, déplacer, supprimer ses AV
- Un émetteur doit pouvoir mettre à jour (avec traçabilité) certaines AV en vue d’amendements ou de révocations.
J’espère que cet article moins technique, qui reprend de nombreux cas d’usage compréhensibles, permet un meilleur aperçu des capacités des Attestations Vérifiables.
Verifiable Credentials Use Cases
[1] https://w3c.github.io/vc-use-cases/
Une carte NFC pour les portefeuilles d’identités décentralisées (DID)
[2] https://mydid.medium.com/une-carte-nfc-pour-portefeuille-did-3217c93cb70c
EIDAS SUPPORTED SELF-SOVEREIGN IDENTITY
[3] https://ec.europa.eu/futurium/en/system/files/ged/eidas_supported_ssi_may_2019_0.pdf
