Dans son Manifest Cypherpunkpublié en 1993, Eric Hughes évoquait la nécessité de protéger l’individu des dérives des nouvelles technologies lorsqu’elles sont aux mains des États. Il craignait que l’individu se retrouve désarmé pour protéger sa vie privée, face à des États puissants, cherchant à tout savoir et encadrer. L’identité numérique en Estonie est un cas d’étude intéressant car cette nation a décidé de bâtir toute son administration sur le numérique.
Je vis en Estonie depuis 1 an et j’ai expérimenté l’identité numérique et le vote par internet. En réponses à l’enthousiasme et aux craintes que j’entends à ce sujet, j’aimerais partager mon expérience en décrivant ce que j’ai vécu.
Initialement méfiant face aux dérives liberticides que permettent ce genre d’outils (Chine), j’ai été séduit par la façon dont l’identité numérique a été pensée en Estonie. Il ne s’agit ni d’un crédit social à la chinoise, ni d’un outil de surveillance de la population. Ce système permet au citoyen de s’identifier en révélant le moins d’informations possible sur lui, à l’aide de la cryptographie.
L’identité numérique est un système d’identification légale optimisé pour internet. Elle permet de ne plus jamais communiquer ses pièces d’identité à un tiers et de voter et signer tous ses contrats numériquement avec un système de clefs de chiffrement. Ce dispositif protège du vol d’identité et réduit drastiquement les démarches administratives. Cette identification fonctionne, au choix, par la puce de votre carte d’identité ou par celle de votre SIM.
Cette innovation estonienne me fait penser à la loi Bitcoin au Salvador. Il s’agit, dans les deux cas, de petits pays particulièrement audacieux, prêt à prendre le risque d’innover pour servir sa population et hisser le pays sur la scène internationale.
L’avis qui va suivre est le fruit de mon expérience personnelle. Je serais ravi de connaitre vos potentiels doutes concernant des atteintes à la vie privée ou à la sécurité, que je n’aurais pas su identifier ?
Qu’est-ce que l’identité numérique concrètement ?
L’identité numérique est un moyen d’authentification, en vigueur en Estonie. Concrètement, il s’agit d’un identifiant unique attribué à chaque citoyen ou résident estonien (comme sur les cartes d’identité française). Cette suite de 11 chiffres représente l’identifiant qui vous permettra de vous authentifier à la fois dans la vie numérique et physique. Votre carte d’identité Estonienne est également munie d’une puce comme celle d’une carte bleue, pour être connectée à votre ordinateur via un lecteur de carte.
Ce système vous permet d’accéder numériquement à 99% des services publics du pays. Seul le mariage, le divorce et l’achat de biens immobiliers ne se fait pas en ligne. Les services privés requérant une vérification d’identité, comme la banque et l’assurance, utilisent également ce système d’identification numérique.
Ce système est, par ailleurs, aussi ouvert aux étrangers non résidents qui souhaitent profiter des services numériques estoniens depuis leur pays. Le statut de résident numérique a donc été inventé, et passe par une carte de résidence numérique estonienne accessible à tous.
Quels sont les avantages de l’identité numérique ?
1. Ne plus jamais communiquer ses papiers d’identité
L’identité numérique est un outil qui permet de prouver son identité en ligne, sans avoir à uploader le moindre papier d’identité. En signant les documents à l’aide de votre carte d’identité, vous prouvez cryptographiquement que vous êtes une vraie personne et que vous êtes réellement la personne que vous prétendez être. Cela rend littéralement obsolète tout le processus de vérification d’identité habituel (KYC).
Dans le monde numérique, il est en effet beaucoup plus approprié de prouver cryptographiquement son identité, plutôt que d’uploader la photocopie d’un document physique. En uploadant votre carte d’identité ou un extrait d’état civil, vous déléguez la sécurisation de ses documents à un tiers. Si celui-ci est malintentionné ou ne parvient pas à les sécuriser, vous encourez le risque d’une usurpation d’identité. Une photocopie est en effet duplicable et chaque copie a autant de valeur que le fichier initial. Avec l’identité numérique votre banque ou votre assurance n’a pas besoin de vérifier ni de conserver les documents.
Les procédures administratives deviennent alors très simples. Sur la forme, cela ressemble beaucoup à l’option “se connecter avec Google” que l’on peut voir sur certains sites. Seulement, contrairement au système d’identification numérique d’un GAFA, celui-ci a une valeur légale et prouve votre “humanité”. Une personne peut en effet avoir plusieurs comptes Google, et vous pouvez théoriquement en crééer un pour votre chien.
2. Remplacer la signature manuelle par la cryptographie
Si vous souscrivez numériquement à un service bancaire en France, vous allez sûrement devoir signer un certain nombre de documents. Pour cela, la façon la plus courante est d’imprimer les documents, de les signer manuellement, de les scanner puis de les renvoyer. Une autre solution consisterait à reproduire votre signature avec votre souris, comme s’il s’agissait d’un crayon. Ces deux alternatives reviennent à reproduire maladroitement le modèle de sécurité du monde physique dans le monde numérique.
Avec l’identité numérique, vous n’avez qu’à connecter votre carte d’identité à votre ordinateur et signer votre document cryptographiquement. Sur la forme, cela ressemble beaucoup à la signature d’une transaction bitcoin avec un hardware wallet. Vous ne divulguerez jamais votre clef privée ni vos informations personnelles.
3. Communiquer avec l’administration de façon chiffrée
Lorsque vous communiquez avec l’administration estonienne, tous vos échanges sont chiffrés. Votre identifiant permet à votre interlocuteur de chiffrer le document qu’il va vous envoyer par mail. Une fois le document reçu, un logiciel dédié vous permet de le déchiffrer en connectant votre carte d’identité à votre ordinateur. S’il s’agissait d’un fichier à compléter puis renvoyer, il vous suffit alors de le chiffrer à votre tour puis de le renvoyer par mail à votre interlocuteur.
Ce système fonctionne pour tous vos échanges avec la police, la sécurité sociale, l’école, l’université, l’administration fiscale, la justice, etc…
Que penser du système de vote en ligne ?
En Estonie, l’élection du président est indirecte. Les résidents estoniens votent pour élire les membres du parlement, qui éliront ensuite le président. J’ai eu l’occasion d’y participer et de tester le vote par internet.
Le système est différent du système de vote à distance américain ou les électeurs votent par courrier ou via des bornes électroniques privées installées dans des bureaux de vote.
Les électeurs sont ici invités à voter en bureau (comme en France) ou à distance via leur propre ordinateur depuis 2005. Ce vote à distance se fait en connectant votre carte d’identité à votre ordinateur, après avoir téléchargé un logiciel dédié.
Les questions sont alors nombreuses :
- Le contenu de mon vote est-il relié à mon identité ou mon IP ?
- Comment le gouvernement récupère et comptabilise mon vote sans compromettre le secret de l’isoloir ?
- Est-il possible pour le gouvernement ou un acteur malveillant de modifier/ajouter/supprimer des votes ?
- Existe il une base de donnée qui conserve le contenu de chaque vote ?
- Sans isoloir, comment être certain que les électeurs ne voteront pas sous la contrainte ?
Je n’ai pas les compétences techniques pour répondre à toutes ces questions, mais voici les éléments de que j’ai trouvés :
La période des votes en ligne dure 7 jours. Chaque électeur peut voter autant de fois qu’il veut, dans la mesure ou seul son dernier vote est comptabilisé. Le fait de pouvoir voter plusieurs fois permet de réduire le risque de vote sous la contrainte, normalement évité par l’isoloir. Une fois votre vote effectué, un QR code confidentiel apparait et vous permet de vérifier que le dernier vote est envoyé.
Tout le dispositif de vote en ligne est Open source. Chaque électeur peut vérifier par lui-même l’intégrité du code et chercher des failles. Certains Estoniens semblent par ailleurs considérer le vote en ligne comme plus sécurisé. En effet, le pays a eu affaire à plusieurs cas de fraude électorale dans le passé via le bulletin papier.
D’autres électeurs redoutent cependant les cyberattaques potentielles de la Russie, compte-tenu de l’indépendance récente de l’Estonie avec l’URSS. En 2007, de nombreux sites d’institutions publiques, de média et de banques ont été paralysés durant plusieurs semaines, suite à des tensions entre la Russie et l’Estonie. En cas d’annexion par la Russie, l’Estonie a créé une « Data Embassy » au Luxembourg. Cette ambassade numérique conserve une copie des serveurs publics estoniens et peut fonctionner comme un Cloud à distance, en cas de crise.
Concernant le taux de participation au vote, il est intéressant de noter que la possibilité de voter de chez soi n’a pas eu d’impact sur l’abstention. Un joli clin d’œil aux hommes politiques qui refusent de se remettre en question et considèrent l’abstentionnisme comme une forme de paresse.
Conclusion sur mon expérience :
L’identité numérique a été un formidable outil pour moi. Sa compatibilité avec tous les services du pays simplifie énormément les démarches administratives : création d’entreprise, ouverture d’un compte en banque, signature de contrats…
Le petit pays qu’est l’Estonie a réussi à adapter le fonctionnement de son administration et de ses entreprises à internet, malgré les obstacles : séparation de l’URSS, éducation de la population à la cybersécurité, paralysie du système informatique par la Russie, découverte de failles de sécurité sur les cartes à puces…
Ce système est-il souhaitable en France ? Connaissant l’administration française, j’ai du mal à imaginer la mise en place d’un tel système : simple et unifié pour tous services publics. À la vitesse à laquelle les restrictions Covid sont apparues, je me méfie également de la façon dont serait conçu ce système. Le gouvernement opterait-il pour un système open source auditable par les citoyens ? S’autoriserait-il à l’utiliser pour réduire les libertés de sa population ? Seul l’avenir nous le dira … En attendant, ce n’est pas le projet “France Connect” qui rivalisera avec l’ID card estonienne ou votre identification Google.
