Le gouvernement américain veut un système de certification des identités en ligne

«Réduire les vulnérabilités de la cybersécurité et améliorer la protection de la vie privée en ligne via des identités numériques certifiées.» C’est l’ambition affichée du projet NSTIC américain, un projet visant notamment à garantir l’identité des contractants dans le cadre «de transactions en ligne», explique Howard A. Schmidt, coordinateur de l’administration du Président Américain Barack Obama pour la cybersécurité. Mais le concept va plus loin : il ne s’agit pas simplement de certification des contractants mais également de «l’infrastructure supportant la transaction.» Concrètement, pour les particuliers, «personne ne devrait plus avoir à se souvenir d’une liste toujours plus longue de pseudonymes et de mots de passe pour se connecter à différents services en ligne.» 

Le casse-tête de la certification pour tous

Horward Schmidt appelle de ses voeux «un futur où chacun pourra choisir volontairement pour obtenir un identifiant sûr, interopérable, permettant le respect de la vie privée (i.e., une carte à puce, un certificat numérique sur son téléphone mobile, etc.) auprès de plusieurs prestataires de service - tant publics que privés - pour s’identifier en ligne.» Est-ce à comprendre que le gouvernement fédéral américain entend proposer son propre système de certification de l’identité numérique, concurrents de ceux d’acteurs privés ? À la manière d’un IDénum français, garanti par l’ANSSI et dont un prototype pourrait être disponible fin 2010 ? 

Non. Le gouvernement américain semble plutôt miser sur l’établissement d’un cadre dans lequel pourra s’inscrire une offre commerciale - ou non, d’ailleurs - reposant sur des standards industriels, comme l’indique clairement le document de travail mis à la disposition du public. Un document sur lequel chaque américain est appelé à débattre, en ligne, d’ici au 19 juillet. Une base de travail qui insiste clairement sur quelques points : l’intéropérabilité, tant sur le plan technique, que sémantique, ou encore sur les règles de sécurité. 

D’abord les Etats-Unis puis... le monde ?

Le travail de préparation du système envisager doit, au final, être supervisé par une agence fédérale américaine, pour développer «un plan d’implémentation global et partagé par tous, secteurs public et privé confondus.» Et comme il est prévu de «continuer à collaborer à des efforts internationaux» sur le sujet, il semble plus ou moins acquis que le fruit des travaux américains sera diffusé au-delà des frontières des Etats-Unis. 

De son côté l'Europe ne semble pas en mesure d'imposer ses propres vues tout comme elle était déjà en retard sur des dossiers tels que la gouvernance d’Internet ou encore les fichiers des voyageurs transatlantiques et quand bien même elle aurait rejeté l’accord Swift/TFTP. 

Reste une question : le gouvernement américain n’est-il pas là en train de réinventer la roue, celle d’un CardSpace de Microsoft ou d’un OpenID ? A moins qu’il ne s’agisse de reprendre en main ce type de technologie. Un point particulier demeure ainsi en suspend : le plan d’implémentation envisagé à l’issue de la concertation n’a pas vocation à être détaillé publiquement.