Avec le PVID, la France est le premier pays européen à se doter d’un référentiel d’exigences applicables aux prestataires de vérification d’identité à distance. Le document, particulièrement bien pensé, a toutes ses chances de servir de référence lors des travaux européens sur une future réglementation.
La crise sanitaire, qui a frappé le monde entier de plein fouet au début de 2020, n’a eu de cesse de mettre en avant le besoin d’accélérer les usages digitaux. La nécessité de disposer de services de vérification d’identité à distance a ainsi été révélée par les différents confinements et mesures de distanciation sociale, rendant quasiment obligatoire la contractualisation en ligne. La vérification à distance présente toutefois des risques d’usurpation d’identité. Les mêmes que pour la vérification en présentiel, auxquels il faut ajouter des menaces spécifiques comme l’injection de données frauduleuses ou encore la manipulation numérique de vidéos, les « deepfakes », etc.
Consciente de cela, l’ANSSI, l’autorité nationale en matière de sécurité et de défense des systèmes d’information, s’est penchée sur l’élaboration d’un référentiel d’exigences applicables aux Prestataires de Vérification d’Identité à Distance (PVID). Le respect des quelques centaines d’exigences portées par ce référentiel permettra très bientôt d’identifier les prestataires de vérification d’identité à distance en capacité de fournir un niveau de garantie substantiel ou élevé. Ce faisant, la France s’est distinguée comme le premier pays de l’Union à avoir élaboré une doctrine efficace en matière de vérification d’identité à distance.
Un cadre rigoureux pour encadrer la vérification d’identité à distance
Pour établir ce référentiel, et devant la multitude de pratiques en vigueur, l’ANSSI a dû faire des choix et se doter d’une doctrine en termes de vérification d’identité à distance. Il est difficile de résumer en quelques lignes les centaines d’exigences de ce référentiel, mais les points marquants en sont les suivants.
Le seul mécanisme de vérification d’identité à distance pris en compte est celui reposant sur l’acquisition du titre d’identité et du visage de l’utilisateur en imposant le recours à une capture vidéo afin de permettre une meilleure prévention des attaques. Le prestataire doit ensuite vérifier l’authenticité du titre d’identité présenté et en extraire les attributs d’identité, vérifier que la vidéo du visage est bien légitime (c’est la détection des attaques par présentation, que l’on appelle communément détection du « vivant ») et enfin la comparer avec le visage extrait de la vidéo du titre d’identité.
Si un échec peut être prononcé automatiquement, le recours à une validation manuelle est obligatoire avant de prononcer le succès d’une vérification d’identité à distance. Cette validation doit être opérée sur le territoire européen par un personnel formé.
Le résultat transmis au commanditaire de la vérification d’identité à distance ne comprend aucune information sur les vérifications réalisées, mais seulement les attributs d’identité extraits et le verdict succès ou échec avec un motif éventuel. C’est au prestataire de conserver le dossier de preuve en cas d’éventuel litige ultérieur.
L’ANSSI pose également de nombreuses exigences sur la sûreté de fonctionnement du prestataire, qu’elle soit technique (homologation du système d’information, opéré et hébergé en Europe, etc.) ou opérationnelle (formation des opérateurs, rôle important des référents fraude, suivi des performances, publication de bulletins opérationnels régulier, etc.) sans oublier bien sûr le strict respect du RGPD.
Avec ce référentiel l’ANSSI va uniformiser les pratiques et homogénéiser le niveau de service des prestataires tout en laissant une large place à la capacité à l’innovation. Elle fait aussi clairement le pari d’une homogénéisation par le haut des pratiques en Europe.
Un référentiel unique pour uniformiser les pratiques
À l’inverse, il existe aujourd’hui une multitude de pratiques permettant de vérifier une identité à distance en Europe, mais pour autant, aucune réglementation communautaire. Au sein de certains pays, les règlements sont mêmes différents en fonction des industries. Cette situation empêche l’interopérabilité européenne des différents services et donc leur déploiement en dehors de leurs frontières d’origines. Les entreprises qui souhaitent s’ouvrir aux marchés voisins doivent revoir leur copie à chaque extension géographique. Pire : certaines en profitent pour exploiter ces écarts de pratique et proposer des services de qualité inférieure.
Pour lutter contre cette fragmentation, plusieurs travaux sont engagés au niveau européen. L’ENISA, l’agence de l’Union européenne pour la cybersécurité a publié un rapport et l’ETSI travaille sur un standard d’exigences applicables aux prestataires de vérification d’identité à distance. La révision du règlement eIDAS devrait donc mieux définir ce qui est attendu d’un prestataire de vérification d’identité et à distance et, temporalité oblige, prendre en compte les récents travaux français dans sa réflexion.
D’autant plus que l’ANSSI a travaillé en étroite collaboration avec son homologue allemand, le BSI, pour rédiger son document. L’alliance franco-allemande pèse ainsi de tout son poids sur la définition d’un référentiel européen.L’ANSSI a par ailleurs anticipé les besoins de la commission en rédigeant un document très solide et bien construit. L’organisme français a établi un référentiel notamment adaptable à chaque industrie, permettant ainsi aux prestataires de vérification d’identité à distance d’étendre leur marché non seulement à la LCB-FT, mais aussi aux services qualifiés définis par eIDAS (signature électronique, recommandé électronique, identité numérique, etc.).
Une démarche qui s’inscrit dans la durée
Il faudra toutefois prendre son mal en patience avant que les premiers effets de ce nouveau référentiel français se fassent sentir, ne serait-ce qu’à l’échelle de l’hexagone.
Le document a en effet été publié le 1er mars et les prestataires peuvent candidater à la certification depuis le 1er avril. Mais le processus de certification est long : le prestataire doit d’abord faire une demande de certification, que l’ANSSI doit accepter sous deux mois. Une fois cette première étape validée, le prestataire doit rédiger une stratégie de certification, elle aussi à faire valider par l’ANSSI. Sur la base de cette stratégie, le centre d’évaluation, choisi par le prestataire parmi une liste de centres d’évaluation agréés par l’ANSSI, rédige et propose à l’ANSSI qui les valide les plans d’évaluation du service. C’est seulement à partir de ce moment que les travaux d’évaluation proprement dits sont réalisés par le centre d’évaluation puis dans le meilleur des cas validés par l’ANSSI avant une décision de certification.
Si la démarche colle au processus classique de certification d’un service par l’ANSSI, celle applicable aux PVID a une particularité qui lui est propre. À savoir la certification d’un service de vérification de l’authenticité de titre d’identité à distance. Pour cette partie de l’évaluation, l’ANSSI a choisi de ne pas faire appel à des centres d’évaluation, mais de recourir à l’expertise du Bureau de la fraude documentaire de la DCPAF et au Département documents de l’IRCGN.
L’opération prend donc plusieurs mois et il faut ajouter à cela l’effet « embouteillages » : toutes les entreprises a priori éligibles risquent fort de candidater à peu près au même moment. Les premières certifications ne devraient donc pas arriver avant le quatrième trimestre de 2021 ou le premier de 2022.
Deux ans pour expérimenter cette première mouture
Avant même de le faire naître, l’ANSSI a donné à la forme actuelle de son PVID une durée de vie de deux ans. Cette première période de confrontation avec la réalité du terrain permettra de tirer un bilan réaliste et d’améliorer éventuellement certains points du référentiel.
Le suivi des performances en termes de fausses acceptations et de faux rejets est par exemple très théorique dans cette première mouture. Les prestataires sont laissés libres de fixer eux-mêmes leurs objectifs. La prochaine version fixera probablement des niveaux des seuils de référence pour les niveaux de garantie substantiel ou élevé.
Finalement, ce premier test grandeur nature de deux ans est une bonne manière d’arriver in fine à un référentiel prenant en compte les retours des acteurs du secteur… et de les faire valoir à un niveau européen.
___________________
Par Marc Norlain, CEO et co-fondateur d’ARIADNEXT