L’identité numérique dans les hautes écoles

22. Octobre 2020
Octobre 2020

Les identités numériques constituent le fondement de toute haute école numérique. C’est pour cela que depuis 1999, SWITCH met à disposition l’infrastructure SWITCHaai. Par ailleurs, le passage à SWITCH edu-ID, qui se base sur une identité centralisée utilisable toute la vie, est actuellement en cours. Mais à quoi ressemblera l’avenir? Les tendances actuelles pointent en direction des identités décentralisées.

Dr Annett Laube, enseignante d’informatique, responsable de l’Institute for Data Applications and Security IDAS, BFH
Gerhard Hassenstein, enseignant d’informatique, BFH
Une gestion efficace des identités constitue le point de départ de l’infrastructure numérique d’une haute école. Elle seule permet aux étudiants et aux employés de l’institution d’accéder en tout temps aux applications et services électroniques dont ils ont besoin.

Gestion isolée ou fédérée de l’identité

Depuis plus de vingt ans, la fondation SWITCH aide les universités et hautes écoles à mettre en place des services d’identités liés à des organisations, afin de répondre aux exigences d’une infrastructure numérique moderne. Auparavant, seules quelques applications étaient disponibles en ligne et chacune disposait de sa propre gestion des utilisateurs (voir fig. 1). Cette manière de faire présente de gros inconvénients, en particulier pour les utilisateurs, puisque chaque application a ses propres directives pour le nom d’utilisateur et le mot de passe, ainsi que des procédures spécifiques d’enregistrement et de gestion des droits.
Figure 1: Avec la gestion isolée de l’identité, l’utilisateur n’est connu que de l’application concernée.
Ce n’est qu’avec l’introduction de l’infrastructure SWITCHaai qu’il est devenu possible d’employer le même nom d’utilisateur et le même mot de passe pour toutes les applications au sein d’une haute école. Avec cette «gestion fédérée» des identités, il existe un fournisseur d’identité par haute école (voir fig. 2). Malgré les nombreux avantages et la grande facilité d’utilisation qu’offre cette approche, elle présente aussi des inconvénients. Comme l’identité est liée à une organisation (haute école), elle disparait lors de l’exmatriculation ou à la fin des rapports de travail.
Figure 2: Avec la gestion fédérée de l’identité, les utilisateurs sont administrés par un fournisseur d’identité et peuvent ainsi s’annoncer auprès de nombreuses applications.

L’approche centrée sur l’utilisateur

C’est là qu’intervient SWITCH edu-ID, qui privilégie une approche axée sur l’utilisateur. Un fournisseur d’identité central se tient à disposition de l’ensemble du milieu académique suisse et rend ainsi possible la notion de formation permanente, puisque l’identité est maintenue après chaque fréquentation d’une haute école. Ce fournisseur d’identité spécialisé a également l’avantage de pouvoir réagir plus rapidement aux innovations technologiques. Il peut par exemple proposer une authentification à plusieurs facteurs ou des protocoles d’authentification actuels tels qu’OpenID Connect (OIDC), qui s’avère aussi judicieux pour les smartphones. Ainsi, toutes les hautes écoles et les applications qui leur sont liées peuvent profiter en même temps des améliorations techniques.
Une gestion centralisée de l’identité recèle toutefois aussi des risques en matière de protection des données et de la vie privée. En raison du rôle central qu’il joue, le fournisseur d’identité pourrait collecter des données sur les utilisateurs. Il est responsable de la sécurité des données d’identité qui lui sont confiées. Un autre problème réside dans le fait que le fournisseur doit s’adapter à l’application présentant les exigences de sécurité les plus faibles afin de garder la meilleure compatibilité possible et de pouvoir s’intégrer à une large palette de logiciels envisageables.

Self-Sovereign Identities (SSI)

C’est la raison pour laquelle SWITCH examine, avec le groupe de recherche «Identity and Access Management» (IAM) de l’Institute for Data Applications and Security (IDAS), les possibilités de recourir à une gestion de l’identité facile d’utilisation mais décentralisée pour les hautes écoles suisses. Dans le cadre du SWITCH InnoLab Self-Sovereign Identities (SSI), ces partenaires déterminent aussi quels rôles pourraient être attribués à SWITCH et aux hautes écoles.
Avec SSI, les informations d’identité d’un utilisateur sont établies et administrées indépendamment de tout service central d’enregistrement ou de certification. Dans cette approche, l’utilisateur – propriétaire de son identité électronique – est au centre, car lui seul est en possession de ses données personnelles (et aucun service central ou éditeur étatique). Ce modèle correspond au monde réel, dans lequel chacun porte ses documents d’identité avec lui dans son portemonnaie («wallet») et les utilise au besoin.
Comme l’indique la figure 3, l’utilisateur est son propre fournisseur d’identité. Dès le début, il produit son matériel-clé, son identité et ses données. Cette identité et ses données sont conservées dans son «ID wallet» sur son smartphone ou dans son navigateur. Avec la confirmation des données par une instance digne de confiance (par exemple l’État ou une haute école), celles-ci gagnent en valeur et accroissent le crédit dont elles bénéficient. Pour s’authentifier, le propriétaire doit désormais prouver qu’il est en possession de sa clé privée. L’application web peut ensuite vérifier l’exactitude des données d’utilisateur dans un registre public.
Figure 3: Avec la Self-Sovereign Identity, l’utilisateur est son propre fournisseur d’identité. Des instances autorisées – par exemple l’État ou la haute école – peuvent confirmer les données de l’utilisateur et établir ainsi une relation de confiance avec celui-ci.
Le changement de paradigme visé avec SSI présente de nombreux avantages, mais certaines questions restent encore sans réponse. Par son approche décentralisée, SSI offre une meilleure protection de la sphère privée que les solutions centralisées et remplit donc mieux les exigences des lois sur la protection des données (règlement général de l’UE sur la protection des données, par exemple). Cette solution est très ouverte, mais en principe compatible avec les systèmes actuels. Les normes requises pour les identifiants décentralisés et les propriétés authentifiées sont en préparation. De premières implémentations existent déjà.
SSI se distingue par une forte intégration de l’utilisateur, qui doit gérer son identité lui-même. Dans ce contexte, des «user agents» l’aident à maîtriser cette complexité. Mais il reste à relever le défi consistant à accroitre suffisamment la facilité d’emploi de ce système pour que son utilisation quotidienne aille de soi. Un autre problème nécessite une solution simple et applicable dans la vie de tous les jours: la restauration d’une telle identité décentralisée, par exemple en cas de perte du smartphone.