Tout savoir sur l'identité décentralisée

Qu'est-ce que l'identité décentralisée ?

Les solutions centralisées de gestion des identités offrent des fonctionnalités d'authentification telles que l'authentification unique (SSO) et peuvent aider les entreprises à faire évoluer leurs pratiques de gestion des identités et des accès (IAM). Cependant, la gestion centralisée des identités comporte des risques et implique des compromis. Par exemple, les cybercriminels ciblent souvent les autorités centralisées et tentent de s'emparer de données sensibles. De plus, les autorités centralisées constituent un point de défaillance unique et limitent le contrôle des utilisateurs sur leurs données personnelles. 

L'identité décentralisée (DCI) utilise souvent des technologies de registres distribués (DLT), telles que la blockchain, à des fins d'authentification et peut contribuer à relever les défis liés à la gestion centralisée des identités. La DCI prend en charge l'authentification indépendante des autorités centralisées qui stockent des informations personnelles identifiables (PII) dans une base de données centralisée. 

Cependant, la DCI présente aussi des inconvénients. Les identités décentralisées peuvent poser des problèmes d'évolutivité et de complexité. La pertinence de la DCI pour votre cas d'usage dépend du contexte ; il n'y a pas de réponse universelle. Dans cette optique, cet article propose un aperçu de la DCI, en examinant les cas d'usage courants, ses avantages et les défis liés à sa mise en œuvre.

L'identité décentralisée vise à renforcer la sécurité en réduisant la dépendance vis-à-vis des autorités centrales, mais elle n'élimine pas les attaques ciblant l'identité. Les cybercriminels continuent d'exploiter les systèmes d'authentification en recourant à l'ingénierie sociale, à des identifiants compromis et au hijacking. Les entreprises ont besoin d'une approche à plusieurs niveaux en matière de sécurité des identités, alliant identité décentralisée et protection des identités en temps réel.

Concepts fondamentaux de l'identité décentralisée

Le DCI rend superflue l'intervention d'une autorité centrale ; il utilise plutôt des frameworks multiplateformes standard pour générer des identités et des identifiants uniques pour les utilisateurs, sans s'appuyer sur leurs données personnelles. Ces identités sont souvent enregistrées par l'utilisateur sur une blockchain (ou registre distribué sécurisé par cryptographie) garantissant qu'aucune entité ne peut à elle seule compromettre l'ensemble du système. 

Passons en revue les éléments clés de la DCI qui favorisent la décentralisation et la protection des données personnelles.

Identifiants décentralisés

Comme toute solution d'identité, la DCI nécessite des identifiants utilisateurs uniques. Un identifiant décentralisé (DID) est une chaîne alphanumérique unique associée à une identité dans une implémentation DCI. Les DID sont contrôlés par l'utilisateur et vérifiables sans autorité centrale. Par nature, les DID ne contiennent pas de données à caractère personnel telles que des numéros de téléphone, des adresses e-mail ou des noms. 

Identité auto-souveraine

L'identité auto-souveraine (SSI) est une forme particulière d'identité décentralisée qui permet aux utilisateurs d'exercer un contrôle total sur leur identité numérique et leurs données. Comme c'est l'utilisateur qui décide quelles informations sont accessibles à tout moment, cela renforce sa confiance et atténue ses inquiétudes en matière de confidentialité, en supprimant le recours au stockage des données par des tiers. Le SSI est un sous-ensemble du DCI, mais ce n'est pas la seule façon de mettre en œuvre le DCI.

Technologie blockchain

La blockchain est un registre distribué, immuable et public qui permet le stockage et la vérification sécurisés et inviolables de l'identité des utilisateurs. Le DID public de l'utilisateur est enregistré sur la blockchain, qui fait office de source unique de vérité concernant l'identité de l'utilisateur. La plupart des solutions DCI stockent les identifiants hors chaîne, dans le portefeuille de l'utilisateur, mais certaines implémentations testent des méthodes de vérification sur la chaîne. Lorsque l'utilisateur doit prouver son identité, il peut partager sur la blockchain une preuve cryptographique dérivée de ses identifiants. Le registre étant immuable et distribué, n'importe qui peut vérifier l'authenticité et l'intégrité des identifiants sans avoir à y accéder directement.

Portefeuilles d'identités

Un portefeuille d'identités est un espace de stockage numérique sécurisé conçu pour conserver en toute sécurité les identifiants des utilisateurs et permettre leur partage sans divulguer aucune information sensible. Cela permet aux utilisateurs de prouver leur identité tout en préservant leur vie privée, sans avoir à confier à une autorité centrale le stockage de ces identifiants. 

Identifiants vérifiables par cryptographie

Une identité n'a de valeur que si elle est vérifiable. Dans les implémentations DCI, les identifiants signés cryptographiquement permettent de prouver l'identité ou d'autres attributs (tels que le statut professionnel ou l'âge). Par exemple, une personne peut utiliser une pièce d'identité délivrée par les autorités ou un passeport conforme au modèle de données du World Wide Web Consortium (W3C) pour fournir des justificatifs à la demande tout en évitant le stockage de données personnelles sensibles sur une blockchain.

Cas d'usage réels de l'identité décentralisée

Fondamentalement, les implémentations de la DCI permettent aux utilisateurs de contrôler leurs données et de protéger les informations personnelles identifiables. Les cas d'usage courants de la DCI dans la pratique comprennent : 

• Intégration numérique : les applications et les services peuvent simplifier leurs processus d'intégration en s'appuyant sur des identifiants vérifiables pour confirmer les caractéristiques des utilisateurs telles que leur âge ou leur nationalité. Outre la protection de la vie privée des utilisateurs, cela allège la charge qui pèse sur les entreprises en matière de gestion d'un système sécurisé de traitement et de stockage des documents sensibles des utilisateurs. 
• Contrôle d'accès : les identifiants signés cryptographiquement garantissent leur authenticité, ce qui réduit le risque d'attaques par prise de contrôle de compte dues à des fuites de mots de passe. Par conséquent, le remplacement des méthodes d'authentification traditionnelles par une preuve d'identité cryptographique peut aider les applications numériques à renforcer leur posture de sécurité, à réduire les pertes de revenus et à renforcer la confiance des utilisateurs. 
• Vérification transfrontalière : les documents physiques contiennent des données personnelles sensibles et sont exposés à des risques de vol et de falsification. Les entreprises privées, tout comme les services publics, peuvent également recourir à la DCI pour identifier les personnes dans le cadre de voyages internationaux, de la délivrance de visas et du télétravail, réduisant ainsi le recours aux documents papier.

Principaux avantages de l'identité décentralisée

La DCI permet aux utilisateurs de mieux contrôler leur identité tout en atténuant les préoccupations liées à la confidentialité et en réduisant le risque de fuites de données. Examinons les quatre principaux avantages de la DCI dans la pratique. 

1 : Renforcement de la confidentialité et du contrôle par l'utilisateur

La DCI permet aux utilisateurs de prendre le contrôle total de leurs données en éliminant la dépendance à une autorité centrale pour le stockage des identifiants. Elle garantit à l'utilisateur une tranquillité d'esprit totale en matière de confidentialité et de sécurité des données, car les identifiants sont stockés dans un système crypté, distribué et inviolable. 

2 : Réduction du risque de compromission de données 

Le nombre de violations de données signalées par CrowdStrike ayant augmenté ces dernières années, les entreprises ont de plus en plus de mal à sécuriser leurs systèmes de stockage de données face à l'évolution des cybermenaces. Une violation des données de l'autorité centrale affecte les entreprises qui s'appuient sur celle-ci pour l'authentification, ce qui peut entraîner une perte de revenus et une perte de confiance des utilisateurs. Le passage à la DCI réduit ce risque, car le système ne dépend plus de la sécurité d'un seul fournisseur de stockage de données. 

3 : Interopérabilité

Les éléments fondamentaux de la DCI, tels que les DID et les identifiants vérifiables, s'appuient sur les normes du W3C largement adoptées. Cette approche fondée sur des normes permet des intégrations multiplateformes transparentes et une interopérabilité optimale. 

4 : Adhésion aux principes de confiance de Zero Trust 

Dans les systèmes traditionnels de stockage des identifiants, les utilisateurs doivent faire confiance à l'autorité centrale, ce qui augmente le risque de compromission de données si cette dernière venait à être compromise. Le modèle DCI s'inscrit dans les principes du Zero Trust, car il part du principe qu'aucune entité n'est considérée comme fiable par défaut. 

Défis et limites de l'identité décentralisée

La DCI est une technologie émergente qui n'est pas encore largement adoptée et qui pose des défis en matière d'évolutivité et de conformité. Dans cette section, nous allons présenter les difficultés et les limites courantes auxquelles se heurtent aujourd'hui les implémentations de la DCI. 

Obstacles à l'adoption 

Malgré ses avantages, la DCI est peu adoptée, car les fournisseurs d'identité centralisés existants sont réticents au changement. Les entreprises peuvent également se heurter à d'importants obstacles logistiques ou réglementaires lors de la migration de leurs systèmes existants vers une nouvelle solution de stockage des identités. 

Préoccupations liées à l'évolutivité

À mesure que le nombre d'utilisateurs augmente, les registres distribués peuvent être confrontés à des problèmes de latence dus à la congestion du réseau et à la lenteur de la résolution d'identité. De plus, les opérations cryptographiques sont très gourmandes en ressources informatiques et peuvent avoir du mal à répondre aux exigences de débit élevé des grandes entreprises comptant des millions d'utilisateurs. 

Questions réglementaires et de conformité 

À mesure que les exigences en matière de conformité réglementaire et les lois sur la protection de la vie privée, telles que le RGPD et la CCPA, continuent d'évoluer, il peut s'avérer difficile de garantir que les systèmes DCI restent conformes. Alors que les fournisseurs d'identité centralisés disposent d'équipes d'experts dédiées pour gérer ces changements réglementaires, les solutions DCI nécessitent un effort coordonné et collectif de la part de plusieurs entreprises pour assurer la maintenance du système. 

Expérience utilisateur

La DCI peut présenter une courbe d'apprentissage abrupte pour les utilisateurs qui ne sont pas familiarisés avec les nouvelles technologies ou les nouveaux processus, tels que les portefeuilles d'identité et les clés cryptographiques. De plus, certains utilisateurs peuvent avoir des difficultés à gérer leurs clés de récupération et leurs portefeuilles en toute sécurité, les comptes d'utilisateurs devenant irrécupérables en cas de perte de ces identifiants.

Comment CrowdStrike offre une sécurité des identités complète

Les solutions traditionnelles de gestion centralisée des identités exposent les utilisateurs à des risques de compromission de données et d'usurpation d'identité, car elles les obligent à confier leurs données à caractère personnel à une autorité centrale. L'identité décentralisée réduit ce risque en redonnant aux utilisateurs le contrôle de leurs données d'identité, mais elle s'accompagne de compromis en termes de complexité et de gestion. Les entreprises modernes ont besoin d’une solution d’identité complète qui évolue tout en limitant le risque liés aux données. 

CrowdStrike Falcon® Next-Gen Identity Security propose des solutions complètes de sécurité des identités et des endpoints, permettant aux entreprises de sécuriser les identités des utilisateurs dans les environnements modernes grâce à :  

• L'activation de la protection en temps réel contre les attaques basées sur l'identité.
• L'intégration parfaite aux systèmes Zero Trust pour empêcher les mouvements latéraux.
• La fourniture d'une surveillance avancée des événements liés à l'authentification, à l'autorisation et à l'accès afin de détecter automatiquement les comportements anormaux des utilisateurs.
• Le renforcement des efforts de la DCI en sécurisant à la fois les systèmes d'identité traditionnels et modernes.