Idemia Gregory Kuhlmey : « le wallet fonctionne main dans la main avec la CNIe »

Si le digital wallet attire l’attention par les nombreuses possibilités qu’il offre et les usages nouveaux qu’il promet, il prend tout son sens accompagné d’une carte d’identité électronique. Comment ces éléments s’articulent-ils pour offrir au citoyen un monde digital et physique plus sûr et plus convivial ? Éléments de réponse avec Gregory Kuhlmey, Program manager digital identity chez Idemia.

Pour créer un portefeuille électronique, il suffit d’accéder à la puce présente sur les cartes d’identité électroniques (CNIe). Comment cela se passe-t-il concrètement ?

Gregory Kuhlmey : Premier scénario : on fait d’abord une lecture optique pour récupérer le CAN, le Card Access Number, qui protège l’accès à la puce des lectures à distance non autorisées. Ensuite, on utilise son smartphone compatible NFC pour lire les informations de la puce de la CNIe. Puis on demande le PIN de l’utilisateur pour récupérer les données qui sont stockées dans la puce. On dispose de données de confiance, stockées dans la puce et on a deux facteurs d’authentification avec le PIN et la puce, qui est protégée contre le clonage.

Si on ne dispose pas d’un téléphone compatible NFC, on bascule sur le deuxième scénario où on se déplace en mairie. On refait une vérification en face à face avec le personnel, équipé du matériel pour lire la puce et vérifier le PIN de la carte.

Pas de biométrie à ce stade ?

Gregory Kuhlmey  : En France, l’usage de la biométrie est parfois un peu controversé, le scénario avec code PIN a donc été retenu. On aurait pu en imaginer d’autres, avec de la biométrie ou renforcer le PIN avec une vérification biométrique faciale, puisqu’un portrait de référence signé est stocké dans la puce. On connaît donc l’intégrité et l’authenticité de ce portrait de référence et on pourrait même s’en servir pour la validation initiale.

Dommage pour Idemia, qui propose des solutions de reconnaissance faciale…

Gregory Kuhlmey : En effet, nos solutions biométriques sont leaders mondiales sur des critères tels que la précision (accuracy), mais elles disposent aussi d’algorithmes non biaisés – et de manière démontrée –, quel que soit l’ethnicité, le sexe, l’âge de la personne. En France, l’usage de la biométrie n’est pas d’actualité pour le moment, peut-être dans d’autres pays européens.

Ce seront les seules interactions entre la CNIe et le digital wallet ?

Gregory Kuhlmey : Cela dépend du niveau d’assurance que l’on souhaite pour ses transactions. L’architecture Reference Framework (ARF) est le document de la Commission européenne qui définit le cadre technique et les standards à mettre en œuvre. La dernière version de cette ARF, publiée en février, prévoit deux configurations de wallet. L’une, obligatoire, correspond au niveau de sécurité maximale. L’autre est plus flexible et devrait mettre l’accent sur l’ergonomie. Ce qui est sûr, c’est que dans les transactions qui vont demander le niveau d’assurance le plus élevé, on devrait à nouveau faire appel à la carte à puce du document d’identité.

Quel exemple de transaction de ces différents niveaux de sécurité pouvez-vous citer ?

Gregory Kuhlmey . : Ah ! Difficile ! Les risques cyber allant croissant, les niveaux de sécurité élevés devraient souvent être utilisés. La proposition de réglementation prévoit pour l’instant que le wallet pourrait aussi être utilisé dans les secteurs réglementés, comme la banque ou l’énergie. En combinant avec d’autres risk engine, on peut être plus flexible sur l’authentification elle-même. Le secteur privé pourrait choisir des configurations qui privilégient l’ergonomie. Par contre, l’État va tirer l’usager vers une sécurité maximale.

Ce qui suppose d’avoir sa CNIe avec soi en plus du wallet…

Gregory Kuhlmey. : Voilà. Pour le niveau de sécurité le plus élevé, il faut refaire une authentification, s’appuyer sur la CNIe comme facteur d’authentification associé au wallet. Cela permet de connecter la carte d’identité à tout l’écosystème en ligne. Le wallet fonctionne main dans la main avec la carte d’identité électronique, parce que pour avoir le niveau d’assurance le plus élevé, il faut s’appuyer sur un secure element hardware.

On peut imaginer que dans quelques années, les secure elements dans les téléphones soient plus ouverts et performants, on pourrait alors charger des applets étatiques dans le téléphone et faire fonctionner le wallet de manière indépendante. Mais ce n’est pas encore le cas, tandis que l’on dispose d’un parc important de téléphones NFC, compatibles avec la CNIe.

Cet usage n’est pas encore développé en France, à la différence d’autres pays, comme l’Allemagne. Pourquoi ?

Gregory Kuhlmey : Le vrai succès, c’est l’Estonie, la vitrine digitale européenne avec les cartes d’identité d’Idemia. L’Allemagne a déployé sa carte d’identité à puce il y a plus de dix ans : ils ont eu le temps d’équiper la population et de développer les applications compatibles. La France a commencé à diffuser la CNIe il y a deux ans, la population n’est pas encore couverte. Par ailleurs, l’ANTS travaille sur le projet France Identité Numérique (FIN), pour construire l’application mobile qui saura exploiter les fonctionnalités de la puce.

Entre les wallets d’Apple et d’Android, ceux d’IDEMIA, etc., comment le citoyen va-t-il s’y retrouver ? Quels vont être les problèmes de compatibilité entre ces solutions et avec la CNIe ?

Gregory Kuhlmey : En France, l’application FIN devrait intégrer les fonctionnalités wallet, car à l’ANTS, c’est la même équipe qui travaille sur les deux projets. On peut vraiment espérer une seule application de l’ANTS qui gère à la fois FIN pour la connexion avec France Connect et qui implémente la partie portefeuille pour les transactions européennes ou selon les formats wallet.

Restent les autres portefeuilles…

Gregory Kuhlmey : Aux États-Unis, les leaders des portefeuilles proposent des solutions d’identité numérique en plus d’autres services numériques tels que les cartes de paiement, les cartes d’embarquement et les cartes de fidélité. Cela permet aux citoyens d’utiliser leur téléphone portable pour présenter leur pièce d’identité afin d’accéder à un certain nombre de services, y compris les voyages. Par exemple, les citoyens américains peuvent désormais présenter leur permis de conduire mobile pour voyager à l’intérieur du pays. Dans l’UE, les portefeuilles sont toujours en discussion pour soutenir l’initiative de l’écosystème.

Oui, mais la situation est différente en Europe. Les fournisseurs de portefeuilles devront se conformer aux exigences européennes. Les portefeuilles peuvent coexister avec des portefeuilles nationaux et peuvent être utilisés pour alimenter des cas d’utilisation spécifiques à des secteurs tels que la santé, l’éducation et les voyages.

Apple et Google sont des sociétés américaines…

Gregory Kuhlmey. : Oui, la question se pose différemment pour eux, mais en Europe, ils auront besoin de se conformer aux exigences européennes, ce qui n’est pas encore le cas. On peut cependant imaginer que d’autres wallets coexistent avec le portefeuille national. Celui-ci sera la référence et pourra alimenter des wallets sectoriels, Santé, Éducation, voyage, etc. Ils seraient beaucoup plus intégrés avec les métiers en question. Chacun aura une ergonomie optimisée, mais on conservera toujours le wallet national souverain, la référence et qui permet d’alimenter les autres.

Cela n’irait-il pas à l’encontre de l’ergonomie idéale du wallet, c’est-à-dire de disposer de tous ses documents dans un seul container ?

Gregory Kuhlmey : On ne peut pas résoudre tous les problèmes en même temps. La fonction du wallet national est d’être une référence, hautement sécurisé, en sacrifiant un peu d’ergonomie : il faut taper la carte contre le téléphone et utiliser le PIN.

On a peut-être envie d’avoir un wallet couteau suisse, mais parfois, il est préférable d’avoir le bon outil pour le bon usage. Avoir un couteau et une fourchette séparés, c’est plus pratique pour manger que d’avoir un couteau et une fourchette sur le même couteau suisse.

La CNI numérique servira aussi à s’identifier sur les sites qui utilisent France Connect. C’est une première étape, quelles seront les suivantes ?

Gregory Kuhlmey. : La connexion avec France Connect est la première application de la CNIe, avant même le wallet. La CNIe et l’appli FIN vont fonctionner comme fournisseur d’identité au niveau le plus élevé de sécurité. Si France Connect fonctionne essentiellement avec les sites gouvernementaux, elle cherche à s’ouvrir vers le secteur privé. Celui-ci pourra choisir le protocole d’échange FIN ou celui au format wallet.

France Connect propose quasiment une identité digitale. La Poste propose aussi son système de Digital ID…

Gregory Kuhlmey : La Poste est un fournisseur d’identité qui est branché sur France Connect. L’application de l’ANTS sera un fournisseur d’identité au même titre que celui de La Poste, des impôts ou d’Ameli. FIN sera un moyen en plus, celui qui sera au niveau élevé, là où La Poste n’est aujourd’hui qu’au niveau substantiel. L’avantage de l’application FIN, c’est qu’elle rend la carte d’identité connectée. Elle est exploitable en ligne et devient donc un moyen d’authentification et de partage d’attributs, comme l’âge.

La menace évolue, le bouclier se doit aussi d’évoluer. A-t-on anticipé la possibilité d’upgrader la sécurité de la CNIe et les applicatifs associés ?

Dès aujourd’hui avec des téléphones NFC, on peut avoir une identité digitale sécurisée, avec un ancrage dans une carte à puce certifiée. Elle a été auditée, analysée sécuritairement. On a donc des assurances sur cet élément, qui sert d’ancrage à l’identité digitale présente et à venir. Plutôt que de s’appuyer sur une puce non évaluée de n’importe quel téléphone, on s’appuie sur un élément que l’Anssi a certifié : on est sur du solide.

Quelles sont les prochaines évolutions des wallets ?

Gregory Kuhlmey : L’UE a lancé des « large-scale pilots ». Quatre consortiums ont été sélectionnés par la Commission européenne pour tester l’utilisation du wallet sur des cas d’usage de bout en bout. Cela permettra d’alimenter l’écriture des standards, de la réglementation, avec des retours terrain très rapides sur l’ergonomie et les usages. Est-ce compatible avec suffisamment de téléphones ? Les utilisateurs peuvent-ils créer leur wallet ?

On va par exemple essayer d’ouvrir un compte en banque en ligne avec un wallet. La réglementation bancaire le permet-elle ? Prend-elle en compte l’identité digitale ? Il s’agit de confronter l’utilisation du wallet à la réalité du terrain. IDEMIA fait partie de POTENTIAL, l’un des consortiums, qui est piloté par la France. Nous démarrons les travaux le 1ᵉʳ juin.