L’émergence du web 3.0 : L’Identité Décentralisée

Bonjour à tous et bienvenue dans ce premier épisode de ce format dédié à la découverte du Web 3.0 et de ses acteurs.

Aujourd’hui nous commencerons notre étude par un sujet qui fait étonnamment peu de bruit en dépit de toutes ses promesses : l’identité décentralisée. En effet s’il est aujourd’hui possible de complètement gérer notre argent sans aucun tiers de confiance si on s’en donne les moyens, qu’en est-il de notre identité sur internet ? Voyons ensemble les usages actuels, les désavantages à considérer, ainsi que les réponses qu’apportent les acteurs de l’écosystème du Web 3.0.

Notre identité sur internet

Nous n’utilisons pas toujours des pseudonymes pour interagir avec des services ou d’autres utilisateurs sur internet.

Parfois il est préférable de décliner son identité pour des questions pratiques, mais également parfois de sécurité. Aujourd’hui, il faut convenir que rares sont les utilisateurs qui déploient de bonnes pratiques en matière de gestion de leurs données personnelles, principalement pour une question de facilité. En effet, mettre en place différentes adresses mail, mots de passe pour chaque service utilisé peut-être rébarbatif.

Cependant, cela fait bien longtemps que la diffusion de nos données personnelles ne se limite plus à une simple adresse email ou à un mot de passe mal protégé. Désormais ce sont des profils complets des utilisateurs qui sont stockés quelque part dans le « cloud », ou, pour être plus précis, dans les centres de données de l’un ou l’autre GAFAM. Certains utilisateurs assument complètement et acceptent cette contrepartie à l’accès à des services simples d’utilisation et généralement gratuits. Mais la problématique de fonds se trouve dans le monopole mis en place par ces acteurs et le manque d’alternatives intéressantes. Comme souvent, l’équation se révèle plutôt simple : sacrifier confidentialité et sécurité à l’ergonomie d’un service supposément gratuit, même si chacun sait que cette gratuité à un coût caché.

Se connecter avec des réseaux sociaux 

Afin de simplifier l’inscription à un nouveau service sur internet, différentes méthodes ont été développées. Mais aujourd’hui celles largement utilisée sont ces boutons « se connecter avec » permettant de relier des comptes existants et transférer les informations nécessaires vers notre nouveau compte. Je vais traiter principalement des GAFAM puisqu’en tant qu’Européens ce sont les services que nous utilisons. Mais le cas de la gestion des données d’entreprises chinoises comme WeChat est encore plus inquiétant… L’obtention et la concentration des données personnelles des utilisateurs de ces services dépassent en effet largement ce que l’on peut retrouver en Occident.

Les boutons magiques de Facebook et Google

Très pratique, en un clic notre compte est créé. Inutile de faire l’effort de se souvenir du mot de passe puisque notre compte Facebook nous ouvrira les portes des applications tierces.

Révolutionnaire pour l’expérience utilisateur, mais également pour la récupération de nos données personnelles. En effet ce petit bouton inoffensif permet à Facebook (ici, mais cela fonctionne également avec Google par exemple) de relier nos activités à d’autres applications à notre profil. Et donc de proposer à ses annonceurs un catalogue plus précis de prospects, puisque c’est leur business model je ne vous apprends rien.

Le fonctionnement est similaire pour Google dont la facilitation de la connexion est moins populaire que Facebook, mais demeure présente dans notre quotidien d’utilisateur.

 Sign in with Apple

Apple présente une position moins agressive vis-à-vis des données personnelles de ses clients. C’est un parti pris largement médiatisé qui fait désormais partie de la communication de la marque. En plus de toutes les options permettant aux clients de mieux contrôler qui utilise leurs données et quand, Apple a développé des systèmes de connexion propriétaires.

Ceux-ci sont bien différent de celui de Facebook ou de Google puisque de nombreuses options sont disponibles pour gérer ce que vous partagez avec les services. Par exemple, vous pouvez tout à fait créer une adresse mail jetable (qui ressemblera à azerty1234@apple.com) qui redirigera ses mails entrants vers la vôtre. Ainsi vous n’avez pas à divulguer votre adresse mail personnelle, limitant les spams potentiels.

Pour autant, si aujourd’hui Apple clame qu’il n’utilise et n’utilisera pas vos données dans le futur, la situation demeure problématique. En effet, se reposer sur un acteur de confiance pour garantir l’intégrité de vos données personnelles, c’est ajouter une potentielle vulnérabilité dans votre gestion de ces dernières. C’est certes plus confortable et Apple est plutôt meilleur élève que ses concurrents, mais vos data demeurent complètement centralisées…et pas chez-vous.

Prouver son identité sur Internet

Aujourd’hui différentes méthodes sont utilisées par les entreprises pour permettre à leurs utilisateurs de prouver leurs identités. Autrefois tournés principalement autour du binôme email/mot de passe, désormais les méthodes sont plus sophistiquées. Par exemple la réduction des coûts d’envois de SMS et l’automatisation de cette méthode permet de retrouver facilement l’accès à une application.

Qu’est-ce qu’une identité décentralisée ?

Pour déterminer ce qu’est une identité dite décentralisée et son utilisation dans le cadre du web 3.0, il est important de bien préciser ces termes.

En effet de quoi se compose réellement notre identité sur internet et à quoi correspondrait exactement sa décentralisation ? Ce sont deux termes extrêmement génériques et chacun peut imaginer les champs des possibilités pour lui-même. La DIF (Decentralized Identity Foundation, on en parle un peu plus bas), propose une définition de ces termes, supposés fonder la notion même d’identité décentralisée :

« Les identités décentralisés sont déployées sur des bases de données sans organes de contrôle et peuvent être universellement reliées à un identificateur ».

DIF

L’objectif de ces identités décentralisées est ainsi de permettre aux utilisateurs de pouvoir stocker de manière locale des informations privées, tout en permettant de garantir une confiance totale en la véracité de ces dernières lorsqu’elles sont diffusées.

Conservez vos données et partagez les informations nécessaires sans passer par un tiers de confiance. Une fois votre profil déployé et accessible uniquement par vous ou plutôt votre clé privée, ce sont les applications qui se connecteront à ce dernier. Lors de l’inscription par exemple les applications compatibles procéderont à une demande de permission pour avoir accès à certains types de données. Similaire à ce qui existe déjà actuellement sur nos smartphones avec les demandes d’accès aux photos, micro ou caméra, vous devenez donc le gestionnaire de ces accès et donc de la diffusion de vos données.

Les acteurs de l’identité décentralisée

Si nous décrivons souvent les secteurs décentralisés comme des écosystèmes, ce n’est pas sans raison. En effet c’est la synergie entre les différents acteurs existants et leurs services qui permet de proposer aux utilisateurs la meilleure expérience et les fonctionnalités les plus riches possibles. C’est pour cette raison qu’il est important de bien étudier les différents acteurs, ce qui n’est pas souvent tâche aisée puisque la communication se limite souvent à la niche des earlyadopters, dans une relative indifférence générale, jusqu’à ce que la technologie ne s’impose largement.

L’objectif de ces acteurs est donc de pouvoir proposer aux utilisateurs de reprendre le contrôle sur la diffusion de leurs données. Cela permettra également de réduire les accumulations de données que réalisent chaque jour Google et Facebook.

Metamask 

Ce n’est pas vraiment dans le domaine de l’identité décentralisée, mais le fonctionnement de Metamask présente des similitudes intéressantes. En effet ce n’est pas une identité mais un portefeuille (wallet) qui vous permet de vous connecter à différentes applications du web décentralisé.

J’avais cependant envie de vous présenter cette extension web afin de vous introduire le fonctionnement de la connexion à des services du web 3.0. En effet si vous vous intéressez aux applications décentralisées parmi lesquelles nous retrouvons des jeux vidéos ou des services financiers, il vous a nécessairement fallu connecter un wallet à ces dernières. Souvent, l’option la plus simple reste de cliquer sur le bouton « se connecter avec Metamask » et de laisser ce fameux renard réaliser l’opération.

Mais il faut avoir conscience que ce clic anodin a certaines retombées. Tout d’abord techniquement puisque cette connection peut créer des failles de sécurité si les développeurs de l’application ne sont pas suffisamment consciencieux. En effet contrairement aux idées reçues ou aux présentations marketing idéales, les utilisateurs de services reposant sur des registres distribués ne sont pas moins soumis aux risques de piratages, et paradoxalement, c’est peut-être même l’inverse. En effet, les transactions Ethereum étant publiques, il est possible de retracer toutes celles associées à un utilisateur et donc dresser un profil de ce dernier par le biais des applications qu’il utilise. Méfiance donc, de peur de permettre à quiconque de dresser votre carte comportementale d’utilisateur numérique

DIF

La DIF (Decentralized Identity Foundation) est une fondation qui a pour but de développer et de démocratiser des services d’identités décentralisées. Pour se faire, elle s’est entourée d’acteurs de tout horizon afin de développer une synergie entre les services de ces derniers. On retrouve beaucoup de noms connus dans l’écosystème, parmi lesquels il y’a notamment des acteurs des cryptomonnaies comme uPort, Hyperledger ou NEO mais pas seulement. En effet d’autres entreprises plus traditionnelles sont également de la partie comme Mastercard, Microsoft ou IBM.

L’objectif est donc de mettre en place des groupes des travails autour de fonctionnalités précises du secteur des identités décentralisées. Vous pouvez retrouver les travaux de ces groupes sur leurs sites et les codes sources sont – comme il se doit – évidemment open sources. 

DIDs par le W3C

L’équipe de W3C (World Wide Web Consortium) réalise des travaux autour de l’identité décentralisée. Nous pouvons retrouver des présentations de ces recherches régulièrement mises à jour. Ils présentent ces DIDs (Decentralized IDentifiers) comme de nouveaux types d’identifiants permettant la mise en place d’une véritable identité numérique et décentralisée. La difficulté étant de mettre en place une identité dont la propriété peut être prouvée sans utilisation de bases de données centralisées ni d’organes de contrôles (un peu le St Graal en fait).

uPort 

UPort est une entreprise développant différents services autour des identités décentralisées. Les porteurs de ce projet souhaitent en effet apporter à leurs utilisateurs une nouvelle façon de se connecter à divers services sur internet. Leurs solutions permettent de maîtriser la vie numérique en reprenant la maîtrise de ses informations personnelles, leurs sécurités et leur diffusion à des tiers. Le fonctionnement est assez simple puisqu’il faudra simplement mettre en place un profil afin de l’utiliser sur les applications compatibles avec uPort. 

uPort souhaite ainsi devenir une alternative directe à la fameuse « connexion avec Facebook » qui se trouve très précisément à l’opposé des valeurs du web 3.0. Leurs services ne sont pas très intéressants seuls, mais c’est par le biais de l’adoption de leur système à d’autres applications, décentralisés ou non, que pourra émerger une expérience confortable et sécurisée pour les utilisateurs. Et nous le verrons à plusieurs reprises dans cette découverte du web décentralisé, c’est de cette synergie entre différents acteurs qui offriront une navigation simple tout en garantissant une reprise de contrôle de la data personnelle, qu’émergeront de nouveaux modèles.

Brickchain

Brickchain est également un des acteurs du secteur de l’identité décentralisée, même s’il n’utilise pas la technologie blockchain. En effet le protocole open source Brickchain permet à ses utilisateurs de garder la maîtrise de leurs données, sans avoir recours à la lourde technologie que sont les registres distribués.

Une application mobile est au cœur de l’utilisation du système et permet aux utilisateurs d’utiliser leurs données de manière nomade. L’objectif de Brickchain est donc de mettre sur pied une couche d’interaction dans laquelle le strict et indispensable consentement du propriétaire est la seule manière d’obtenir l’accès à des données personnelles.

Le standard de token Ethereum ERC-725

S’il y’a bien une plateforme largement utilisée pour construire les innovations du web 3.0 c’est bien celle d’Ethereum. C’est donc sans surprise que nous pouvons retrouver un standard de tokens dédiés aux identités décentralisées ou tout du moins allant dans ce sens. Sobrement nommé « Proxy Account » ce token incarne une interface permettant de stocker des informations à propos d’un utilisateur mais pas seulement.

L’objectif de ce standard est de permettre à une entité morale d’exister sur le réseau Ethereum, tout en lui donnant la capacité d’exécuter des smart-contracts en tant que tels.

Le réseau Ontology 

Ontology est un projet de réseau blockchain public dédié à la collaboration libre entre différents acteurs. L’objectif est de permettre le partage des données de manière sécurisée en se focalisant sur la confiance entre différents utilisateurs.

Mais ce qui nous intéresse le plus est une des fonctionnalités que propose Ontology qui est le framework dédié à l’identité des utilisateurs nommés ONT ID. Il permet à chaque utilisateur de créer son propre identifiant et d’y lier les informations de son choix. Une fois mis en place seul le propriétaire de cet ID dispose d’un total contrôle sur ce dernier et sur les données stockées. Ontology apportera un maximum de transparence afin de plus facilement tracer où partent les données et qui les utilisent.

Cependant, introduire cette identité au sein du réseau facilite la multi-utilisation de cette dernière. En effet il est aisé de contrôler les différents rôles qu’un même utilisateur peut avoir et les différentes sources à ces informations personnelles. L’objectif d’Ontology est donc de réaliser le pont entre les développeurs des services et leurs utilisateurs sans organes de contrôles comme un état par exemple. 

Le futur de l’identité décentralisée

Comme nous l’avons vu lors de notre tour d’horizon de cet écosystème, ce dernier demeure encore à l’heure actuelle un secteur de niche. Mais tout comme beaucoup d’écosystèmes innovants il est possible que sa démocratisation se fasse rapidement, a fortiori pour les utilisateurs de cryptomonnaies, public particulièrement sensible sur ce sujet.

L’identité décentralisée est un secteur assez particulier du fait que l’objet de la décentralisation, ici l’identité numérique, n’est pas généralisé de manière centralisée. En effet, assez peu de systèmes existent autour de l’identité numérique, meme si nous pouvons observer quelques avancées dans ce domaine.

Mais ce n’est pas pour autant que des identités numériques n’ont pas déjà été mises en place.

Ainsi, en Estonie est-il déjà possible de se connecter à divers services numériques par le biais de la carte d’identité nationale. Cela a permis notamment à des entreprises de déléguer l’opération coûteuse de l’identification des utilisateurs à l’État par le biais de cette carte. Mais tout n’est pas rose puisque la centralisation de ce service de connection peut amener de réelle problématique en cas de vulnérabilité. En effet en 2017 ce sont la moitié des Estoniens qui furent privés de ces services en raison de failles de sécurités critiques.

En effet, la plupart des services étant très jeunes ou toujours en phase de développement, les risques sont très nombreux. Il est important de se renseigner très précisément sur un protocole avant d’y injecter des informations sensibles ou personnelles. Si la décentralisation ne pourra pas nécessairement régler toutes les problématiques en lien avec la gestion des données personnelles, elle pourrait en revanche donner plus de choix aux utilisateurs. Le marché se verrait ainsi débloqué, alors qu’il est aujourd’hui intimement lié aux GAFA.

Il serait ainsi possible d’assister à l’émergence de nouveaux acteurs et de modèles de monétisations plus respectueux des utilisateurs par exemple.

Plus important encore, il deviendrait possible de clarifier la notion même de donnée personnelles, ainsi que leurs réelles valeur. En effet, à l’heure actuelle et faute de contrôle, il est complexe de se renseigner et de se documenter sur elles afin d’être plus éclairés sur leurs gestions. Ce sont beaucoup de points sur lesquels doivent travailler les acteurs de ce secteur encore très jeune. Et je suis persuadé que nous aurons des nouvelles de cet écosystème bien plus vite que l’on pourrait le croire.

En guise de conclusion, on citera les déclarations toutes récentes du PDG de Paypal Dan Schulman qui, s’il explique que le géant du paiement prend son temps sur le sujet des cryptoactifs, voit surtout tout le potentiel de la blockchain dans le domaine de l’identité :

« La plupart des gens pensent que la blockchain renvoie à des notions d’efficacité, mais le système actuel est plutôt efficace. Il y a parfois des intermédiaires superflus, mais les cadres actuels sont plutôt solides. Nous pensons donc qu’une grande partie de ce qui peut se passer sur la blockchain est lié à l’identité, par exemple. »

Voilà, ce premier épisode de la découverte du web 3.0 consacré à l’identité décentralisée touche à sa fin. J’espère que cette lecture vous aura plu et surtout permis de découvrir cet écosystème. Si vous avez des questions ou remarques à propos de cet article n’hésitez pas à nous en faire part sur les réseaux sociaux du journal. À bientôt sur TheCoinTribune pour un nouvel épisode de la saga du web 3.0 !