Certification d’identité sous pseudonymat

Un système de gestion des identités respectueux de la vie privée reposant sur des pseudonymes a été développé au sein du département Réseau et Services de Télécommunications (RST) de Télécom SudParis dirigé par Maryline Laurent dans le cadre de la thèse de doctorat de Souha Masmoudi, co-encadrée avec Nesrine Kaâniche. Il vise à limiter la quantité de données divulguées et à rendre l’individu maitre de la gestion de ses pseudonymes. Ce nouveau système de gestion des identités s’appelle la certification sous pseudonymat.

Le pseudonymat (dérivé de pseudonyme) permet de masquer l'identité.
Il identifie un individu sans divulguer son identité réelle. Il n’empêche pas un fournisseur de service d’exiger plus d’informations non publiques sur l’utilisateur (âge, nationalité…). Même s’il ne protège pas autant les utilisateurs que l’anonymat, le pseudonymat est promu par le règlement général sur la protection des données (RGPD) comme une bonne pratique dans le traitement des données personnelles. C’est le régime le plus répandu sur Internet ou les réseaux sociaux.

La solution PIMA

La solution proposée, PIMA (privacy preserving identity managment system based on unlinkable maleable signature), est construite sur un schéma de signature existant adapté pour être malléable et non traçable.

Dans cette solution, l’utilisateur récupère des données personnelles ou
« attributs » (âge, ville, nationalité…) certifiés par une autorité qui appose une signature sur l’ensemble de ces attributs. Selon le fournisseur de services et ses besoins de preuve, l’utilisateur sélectionne les attributs à présenter et fournit la preuve d’identité en transformant la signature. Cette signature dite "malléable" est alors transmise au fournisseur de services qui obtient la preuve que la signature provient d’une autorité de confiance et que l’utilisateur en interaction est bien le détenteur des attributs présentés. Dans ce système, l’utilisateur délivre au fournisseur de services une signature différente à chaque interaction, même si elle porte sur exactement les mêmes attributs. Cela a pour intérêt d’empêcher les fournisseurs de services de croiser leurs fichiers clients respectifs et de les enrichir car ils ne peuvent se raccrocher qu’aux valeurs des attributs fournis (supposés ici non identifiants).

La solution proposée permet ainsi à l’utilisateur de minimiser la quantité de données divulguées et à un fournisseur de services de collecter des données certifiées. Par exemple, dans le cas de jeux de mise, le service en ligne doit s’assurer que la personne est bien majeure pour répondre aux obligations réglementaires. Plutôt que de transmettre le scan de son justificatif d’identité avec ses données privées, l’utilisateur peut présenter une preuve électronique préalablement certifiée par une autorité régalienne (préfecture par exemple), reconnue du site et légitime pour caractériser l’individu dans le fait que c’est une personne physique majeure. L’utilisateur n’est connu du fournisseur de service que sous son pseudonyme, ce qui offre l’avantage de ne pas dévoiler sa véritable identité tout en conservant l’historique de son parcours de jeu. Dans ce système, les individus contrôlent leurs identités et les informations divulguées aux fournisseurs de services. Il permet donc à l’utilisateur de personnaliser ses interactions avec différents fournisseurs de services, chacun identifiant l’individu à l’aide d’un pseudonyme différent, deux fournisseurs de services ne pouvant rapprocher deux pseudonymes d’un même individu.

Une signature électronique malléable

"Nous avons conçu un système de gestion d’identités respectueux de la vie privée explique Maryline Laurent. Il gère les interactions avec les différentes autorités pour récupérer des attributs - l’âge, la nationalité… - et les preuves certifiées associées. L’utilisateur les stocke, sélectionne ceux qu’il veut transmettre au fournisseur de services et adapte la signature pour correspondre à la nouvelle liste d’attributs. C’est cette malléabilité de la signature et le fait qu’elle soit non traçable que nous avons retravaillé".

La solution technique a été testée sur un ordinateur portable et un smartphone Android-10. Les résultats montrent de très bonnes performances en temps d’exécution, moins de 60 ms sur un smartphone Android pour l’opération de transformation de la signature.

"Cette solution peut intéresser des entreprises pour lesquelles le respect de la vie privée est une valeur fondamentale, partie intégrante de leur ADN. Certes, ces entreprises pourront moins valoriser les données collectées, du fait de leur quantité inférieure, mais elles pourront viser une clientèle différente, sensible à la protection des données personnelles" poursuit Maryline Laurent.

La solution PIMA satisfait les utilisateurs et les fournisseurs en termes de sécurité et de respect de la vie privée. Elle propose une approche centrée sur l’utilisateur qui lui permet de garder le contrôle sur ses attributs et aux fournisseurs d’obtenir des attributs certifiés. PIMA aide les fournisseurs à se conformer à la minimisation de données exigée par la réglementation Européenne sur la protection des données et à s’assurer que le client répond bien aux règles d’accès au service. De son côté, l’utilisateur minimise les données transmises au fournisseur de service et il est maitre des données qu’il souhaite diffuser. Personne d’autre que lui n’est au courant de ses interactions.

Les travaux futurs visent à combiner l’authentification sous pseudonyme à de la biométrie (empreinte…), en prenant par exemple comme cas d’étude le contrôle du passe-sanitaire à l’entrée d’une salle de spectacle. Un pas de plus dans la préservation de la vie privée des individus.

Contacts :

Maryline LAURENT
Professeur,
Directrice du département RST
maryline.laurent (at) telecom-sudparis.eu

Nesrine KAANICHE
Maître de conférences,
Dpt Réseaux et Services de Télécom
kaaniche.nesrine (at) telecom-sudparis.eu