Vous brossez-vous les dents ? La réponse semble évidente. Si cet article porte à priori sur l’hygiène dentaire et les brosses à dents, c’est en réalité une métaphore à propos de notre hygiène numérique.

Tout au long de notre enfance, nos parents nous répètent sans cesse l’importance de se brosser les dents deux fois par jour, d’utiliser du fil dentaire et d’éviter de manger trop de sucreries. Ne pas suivre ces précieux conseils augmente fortement le risque d’apparition de caries et autres problèmes dentaires douloureux qui coûtent du temps et de l’argent. Contrairement aux dents de lait, nos dents d’adultes sont uniques et les négliger reviendrait à accepter de porter des prothèses ou un dentier à terme.

Malgré ces avertissements récurrents et la gravité du risque encouru, seulement la moitié des Français se brosse les dents deux fois par jour. Et pour cause : plus de 25% de la population déclare avoir eu des caries au cours de l’année passée. Selon les dentistes, une grande majorité de patients n’adopte pas le bon geste de brossage. Fait inquiétant : les ventes de brosses à dents ont diminué de 43% pendant le premier confinement. Bien sûr, il était plus compliqué d’aller faire ses courses et d’acheter des brosses à dents, mais est-ce que nous avons moins bien pris soin de notre hygiène dentaire à cause du travail à domicile et de cette configuration numérique à distance ?

Voici une seconde anecdote qui souligne à nouveau la proximité entre le monde physique et le monde numérique : Dropbox a découvert une cyberattaque qui a eu lieu en 2012, quatre ans après les faits. L’ampleur des dégâts ? 68 millions de comptes ont été piratés. L’enquête a conclu que le hackeur avait utilisé l’identifiant et le mot de passe d’un employé lors d’une précédente violation de données. En effet, ce collaborateur avait un mot de passe identique pour ses comptes professionnels et personnels. Cet exemple montre bien qu’à force de faire preuve de négligence, un petit incident douloureux peut devenir un véritable cauchemar.

Des milliards d’utilisateurs et des millions d’entreprises dépendent aujourd’hui d’Internet pour non seulement prendre contact avec une pluralité infinie d’acteurs numériques mais aussi pour accéder à leurs services.

De plus en plus d’utilisateurs stockent leurs données vers le cloud. Ce faisant, ils fournissent à chaque fois une petite partie de leur identité numérique. C’est comme si chacun dispersait une centaine de copies de sa carte d’identité, de sa carte de crédit ou même de sa carte de sécurité sociale. A l’image du petit poucet, votre empreinte numérique est dispersée un peu partout sur le web.

La construction de l’identité numérique est à revoir

En l’état, bâtir son identité 2.0 est un chemin semé d’embûches pour les utilisateurs qui subissent des frictions constantes à chaque étape, que ce soit lors de l’inscription en ligne, de la connexion à son compte, ou du processus de paiement. Aucun utilisateur n’a conscience de la diversité des données collectées au cours de sa navigation sur le web. Sans compter les données personnelles fournies volontairement, les acteurs du web récupèrent également d’autres informations vous concernant : votre localisation géographique, le type d’appareil utilisé, l’historique de navigation… De nombreuses entreprises s’appuient sur la monétisation de ces données, que ce soit directement pour proposer de la publicité ciblée ou de manière indirecte, comme affiner un profil pour un usage a posteriori. Cette perte de contrôle sur nos données personnelles devient presque irréversible sachant que des centaines de copies de votre identité numérique sont dispersées à travers le Cloud.

Ce statut quo en matière d’identité numérique est également un frein pour les e-commerçants et les autres acteurs de services numériques. Les frictions créées dans le tunnel d’acquisition, lors de l’inscription ou au moment du paiement, sont une question commerciale cruciale. La réglementation crée des risques croissants et demande toujours plus de responsabilités aux législateurs tels que le GDPR, le CCPA, la réglementation sur les cookies. Les consommateurs se méfient de plus en plus des entreprises en ligne : ils ont le sentiment qu’Internet est devenu un endroit dangereux. Malheureusement, la situation se dégrade pour tout le monde.

Facteur aggravant : les utilisateurs utilisent de plus en plus d’appareils, en moyenne trois, voire plus, et accumulent les comptes numériques année après année. Le nombre de fuites de données ne cesse d’augmenter : quotidiennement, de nouvelles entreprises sont piratées et les données d’utilisateurs divulguées : Facebook – à maintes reprises, Solarwinds, Clubhouse, Equifax, Colonial Pipeline… et bien d’autres.  L’identité numérique est fondamentalement brisée !

Trouver des solutions est une véritable course contre la montre : contre les hackers, mais aussi contre les géants mondiaux du numérique. Pourtant, si l’on observe ce que font les utilisateurs, la plupart d’entre eux ont recours à des méthodes rudimentaires lorsqu’il s’agit de gérer leur identité numérique :

* Seuls 15% des Américains utilisent des gestionnaires de mots de passe, d’après une enquête que nous avons réalisée l’année dernière

* Près de 70% réinitialisent les mots de passe de leurs comptes au moins une fois par mois, et 18% d’entre eux le font une fois par semaine, car ils ne s’en souviennent plus.

Peu d’utilisateurs passent à l’action. Collectivement, nous avons baissé les bras et accepté que les choses soient ainsi. Nous acceptons de supporter à la fois le risque et le poids des conséquences. Cela ressemble beaucoup à la façon dont nous nous occupons de notre hygiène dentaire : nous connaissons les risques, nous sommes conscients des meilleures pratiques à adopter ou nous pouvons apprendre à les éviter, mais nous n’avons ni le courage ni la discipline nécessaires pour y remédier.

Internet n’a pas été conçu pour gérer l’identité numérique en ligne

D’un point de vue technique, l’identité numérique n’a jamais fait partie des fondations de l’Internet. Que ce soit pour l’armée avec Arpanet ou pour les universitaires, Internet était un réseau de confiance. Les briques techniques (HTML, CSS, JavaScript) n’incluaient pas de solution standardisée pour authentifier et gérer les composants de l’identité en ligne. Si vous réfléchissez à l’évolution de la technologie web, l’identité n’en fait pas partie.

Et quand Internet a explosé, il était trop tard.

L’explosion des points de contact avec les smartphones

Il y a eu un point d’inflexion en 2007 avec l’apparition des smartphones qui ont multiplié les points d’accès à l’internet. Les estimations font état de 50 milliards d’appareils connectés en 2020 qui doivent tous gérer une forme d’identité ou d’authentification. Cela représente 50 milliards de points de défaillance possibles où les données des utilisateurs pourraient être en danger. En vérité, ce problème est difficile à résoudre. L’identité numérique doit être universelle : elle doit être indépendante de toute entreprise et fonctionner sur toutes les plates-formes. A l’image du passeport que l’on peut utiliser pour voyager dans n’importe quel pays, il faudrait un équivalent numérique. Mais Internet est totalement fragmenté. Les géants de la technologie ne peuvent pas résoudre cet enjeu à eux seuls : ils s’attachent à protéger leur propre territoire et leurs intérêts, sans s’emparer du problème dans son ensemble.

Cela ressemble au monde du paiement, qui est lui aussi largement fragmenté avec l’argent liquide, les cartes de crédit, les chèques, les paiements en ligne, et plus récemment les crypto-monnaies. Il existe environ 180 monnaies différentes dans le monde aujourd’hui.

Les limites de la biométrie

Si la biométrie, qui utilise vos empreintes digitales ou la reconnaissance faciale, pourrait être un sauveur potentiel, cette technologie à ses limites :

1- Les données biométriques peuvent être falsifiées.

2- Une fois que vos données biométriques sont compromises, que pouvez-vous faire ?

3- La biométrie est une solution spécifique à chaque appareil. Aucun protocole standard ou partagé n’a encore vu le jour.

4- Elle ne répond qu’à une petite partie des cas d’usages de l’authentification, et non à l’ensemble des besoins d’authentification de l’identité numérique.

Un autre espoir résidait dans les mécanismes centralisés tels que “Facebook Connect” ou “Login with Google”. C’est sans aucun doute un progrès pour l’expérience de l’utilisateur, mais cela signifie faire confiance aux GAFAM et mettre tous ses œufs dans le même panier. Les récentes fuites de données ont montré les dangers de ce type de modèle d’identité centralisé. L’attrait pour ces cibles, qui rassemblent l’identité numérique de millions d’utilisateurs, fait que ce n’est qu’une question de temps avant qu’elle ne subisse une brèche importante.

Quelques-uns de mes propres mots de passe ont été divulgués par le passé, lors des piratages de Dropbox ou de celui, plus récent, de LinkedIn. Heureusement pour moi, à l’époque, j’avais déjà commencé à faire attention à mon hygiène numérique.

A cette époque, j’avais déjà commencé à utiliser Dashlane, un gestionnaire de mots de passe. Avec cette « brosse à dents », j’ai pu facilement générer des mots de passe uniques pour tous mes services en ligne. Aujourd’hui, j’ai plus de 1 000 mots de passe uniques. Je ne les connais pas. Je me souviens simplement de mon mot de passe maître, qui est la clé de mon coffre-fort numérique. Cela limite beaucoup l’impact potentiel d’un piratage de mes données personnelles sur un site web. Il me suffit alors de mettre à jour le mot de passe piraté. Je reçois encore des courriels de menaces à propos de mes anciens mots de passe, mais je les ignore tout simplement.

Je vois la mission des gestionnaires de mots de passe du point de vue d’un dentiste.  Personne n’apprécie d’aller chez le dentiste et de se brosser les dents tous les jours. C’est pourtant la meilleure solution qui soit pour éviter les caries. Les dentistes peuvent vous montrer comment utiliser une brosse à dents, cela reste à vous d’acquérir le bon geste et d’être discipliné afin d’ancrer cette habitude dans votre quotidien.

Une autre métaphore que j’aime utiliser est celle de la ceinture de sécurité d’une voiture. Aujourd’hui, personne ne songerait à retirer sa ceinture de sécurité sur l’autoroute. Pourquoi ne ferions-nous pas de même sur l’autoroute numérique qu’est Internet ? Il vaut mieux prévenir que guérir, même si cela nous coûte un peu. Pourtant, les utilisateurs ne se soucient pas de leur protection 2.0. Ils entendent tellement parler de piratages de données au quotidien que, comme pour les nouvelles sur le changement climatique, ils ont cessé d’y prêter attention et agissent comme s’ils n’étaient pas concernés ou si c’était une fatalité.

Le changement de comportement est loin d’être une tâche facile : bien que l’on soit conscient de la crise écologique que nous traversons et de l’impact de la pollution automobile sur l’environnement, il y a moins de 2 % de véhicules électriques sur le marché aujourd’hui.

Les solutions potentielles suscitent également du scepticisme. Aucune solution n’est parfaite : les voitures électriques ne suffiront pas à résoudre le changement climatique. Les gestionnaires de mots de passe ne sont pas non plus la solution magique pour votre hygiène numérique, mais c’est déjà bien mieux que rien. Leur système est construit de manière à ce que vous gardiez le contrôle total de vos données personnelles. Tout se passe sur votre appareil, où vos données sont chiffrées, et la clé, que nous appelons le mot de passe maître, n’est connue que de vous. Cette architecture « zero knowledge” vous garantit une protection optimale en tant qu’utilisateur, et il est bon de rappeler que cette solution est décentralisée et indépendante de tout écosystème. Elle fonctionne sur toutes les plateformes de manière universelle. Je crois qu’il est important d’être indépendant des grandes entreprises technologiques et d’avoir le choix. Nous voulons être la Suisse de l’identité numérique.

À quoi ressemblera l’avenir ?

Sur le marché actuel, il y a trois grandes tendances qui visent à résoudre le problème de l’identité numérique.

1- L’émergence de protocoles d’identité standardisés. Apple et Google ont créé leurs propres solutions propriétaires pour les écosystèmes mobiles, iOS et Android. Le W3C promeut des normes comme WebAuthn pour le web. Mais nous sommes loin de solutions universelles.

2- Des entreprises mettent en œuvre des systèmes d’identification décentralisés. Il y a des concepts comme l’identité auto-souveraine, selon lequel un individu devrait posséder et contrôler son identité sans l’intervention des autorités administratives. Les développeurs s’intéressent également à la technologie de la Blockchain.

3- Enfin, certaines solutions tierces comme les gestionnaires de mots de passe et les solutions de SSO tentent de devenir des « fournisseurs d’identité numérique » mais c’est encore aujourd’hui un marché de niche.

Aucune de ces solutions n’est parfaite, aucune d’entre elles n’est universelle. Les solutions techniques ne suffiront pas à réparer une identité numérique défaillante. Nous avons besoin de solutions plus simples, faciles à utiliser et pouvant être adoptées par tous. Dans la vie optimisée d’aujourd’hui, la sécurité et la technologie ne peuvent être les seuls déclencheurs. C’est Evan Williams, le fondateur de Twitter et Medium, qui le dit : « La commodité décide de tout« .

Nos efforts individuels peuvent avoir un impact collectif.  Je voudrais partager avec vous ce que je fais personnellement et vous encourager à aller de l’avant et à commencer à faire vos premiers pas dans la gestion de votre hygiène numérique :

* J’utilise évidemment un gestionnaire de mots de passe, tel que Dashlane.

* J’utilise un navigateur plus sûr en termes de confidentialité, comme Brave.

* J’ai cessé d’utiliser Google comme moteur de recherche. En fait, j’ai décidé d’utiliser Ecosia pour son impact écologique, plus que pour le respect de la vie privée, mais il existe d’autres moteurs de recherche axés sur le respect de la vie privée.

* J’ai supprimé mon compte Facebook il y a quelque temps, et j’ai migré de WhatsApp à Signal.

* Je me suis éloigné de Gmail, et j’utilise Fastmail, un fournisseur de messagerie indépendant.

Étape par étape, je reprends le contrôle de mon identité numérique. Vous aussi, vous pouvez reprendre la main sur votre identité en ligne, et nous aider à réparer Internet et à le rendre  plus sûr.  Si vous le permettez, j’aimerais utiliser un parallèle provocateur à l’heure de cette pandémie mondiale. L’humanité a pu se débarrasser de maladies, comme la variole, en menant des campagnes massives de vaccination individuelle. J’espère que nous pourrons faire de même avec l’identité numérique.

En somme, il est grand temps de commencer à se brosser les dents.
___________________

par Frédéric Rivain, CTO de Dashlane