Dans un monde où nos vies numériques et physiques sont inextricablement liées, la sécurité des identités est primordiale. Les violations de données et l’usurpation d’identité sont des menaces croissantes.
Pour contrer cela, Microsoft s’intègre dans l’idée d’une solution innovante d’identité décentralisée qui donne aux utilisateurs le contrôle de leurs informations, éliminant la dépendance aux autorités centralisées et aux intermédiaires. Voici d’ailleurs ici quelques notions présentées par Microsoft.
Et voilà les différents points abordés dans cet article :
- Pourquoi imaginer des identités décentralisées ?
- Microsoft travaille-t-il seul dans son coin ?
- Qu’est-ce que sont les identificateurs décentralisés (DID) ?
- Qu’est-ce qu’un justificatif vérifiable ?
- Comment fonctionne l’identité décentralisée ?
- Comment puis-je facilement tester les identités vérifiées ?
- Peut-on mettre en place les identités vérifiées sur Entra ID ?
Pourquoi imaginer des identités décentralisées ?
Notre identité numérique est utilisée partout, souvent sans notre consentement éclairé. Actuellement, nos données sont contrôlées par des tiers, ce qui présente des risques de sécurité. Une identité décentralisée permet aux utilisateurs de contrôler et sécuriser leurs informations personnelles :
Microsoft travaille-t-il seul dans son coin ?
La réponse est bien évidemment non 🙏
Microsoft collabore activement avec les membres de la DIF (Decentralized Identity Foundation), du W3C Credentials Community Group et de la communauté plus étendue en lien avec l’identité. Nous avons travaillé avec ces groupes pour identifier et développer des normes critiques, et les normes suivantes ont été implémentées dans nos services.
Qu’est-ce que sont les identificateurs décentralisés (DID) ?
Les DID sont des identifiants uniques créés et contrôlés par les utilisateurs, résistants à la censure et immuables. Ils permettent de prouver des informations sans dépendre de systèmes centralisés :
Qu’est-ce qu’un justificatif vérifiable ?
Les justificatifs vérifiables sont des attestations numériques signées par des entités de confiance. Ils fonctionnent comme des preuves de diplômes, permis ou autres certifications, mais sous une forme numérique sécurisée.
L’application France Identité en est d’ailleurs un bonne exemple puis qu’elle permet le stockage des nouvelles cartes d’identité française ou le permis de conduire :
Comment fonctionne l’identité décentralisée ?
Nous avons besoin d’une nouvelle forme d’identité. Nous avons besoin d’une identité capable de réunir des technologies et des normes pour fournir des attributs d’identité clés tels que l’indépendance et la résistance à la censure. Ces fonctionnalités sont difficiles à obtenir à l’aide des systèmes existants.
Pour y parvenir, il nous faut nous appuyer sur une base technique composée de sept innovations clés. Les identificateurs détenus par l’utilisateur constituent l’une de ces innovations clés, un agent utilisateur pour gérer les clés associées à ces identificateurs et les magasins de données chiffrés et contrôlés par l’utilisateur.
1. Identificateurs décentralisés (DID) W3C. ID créés, détenus et contrôlés par les utilisateurs indépendamment de toute organisation ou de tout gouvernement. Les DID sont des identificateurs globaux uniques liés à des métadonnées DPKI (Decentralized Public Key Infrastructure) composés de documents JSON contenant des éléments de clé publique, des descripteurs d’authentification et des points de terminaison de service.
2. Système d’approbation. Pour pouvoir résoudre les documents DID, les DID sont généralement enregistrés sur un réseau sous-jacent d’un type qui représente un système d’approbation. Microsoft prend actuellement en charge le système d’approbation DID :Web. DID:Web est un modèle basé sur des autorisations qui autorise l’approbation à l’aide de la réputation existante d’un domaine web. DID:Web est dans l’état de pris en charge Disponibilité générale.
3. Agent utilisateur/Portefeuille DID : application Microsoft Authenticator. Permet aux personnes réelles d’utiliser des identités décentralisées et des justificatifs vérifiables. Authenticator crée des DID, facilite les demandes d’émission et de présentation de justificatifs vérifiables, et gère la sauvegarde de la valeur initiale de la requête dans un fichier portefeuille chiffré.
4. Outil de résolution Microsoft. API qui recherche et résout les DID à l’aide de la méthode
did:web
et retourne le DDO (DID Document Object). Le DDO comprend les métadonnées DPKI associées au DID telles que les clés publiques et les points de terminaison de service.5. Service Vérification d’identité Microsoft Entra. Service d’émission et de vérification dans Azure et API REST pour Justificatifs vérifiables W3C signés avec la méthode
did:web
. Ils permettent aux propriétaires d’identité de générer, présenter et vérifier les revendications. Ils constituent la base de confiance entre les utilisateurs des systèmes.
Comment puis-je facilement tester les identités vérifiées ?
Par cet exercice d’identité vérifiée proposé par Microsoft, le processus devrait vous paraître plus concret. Voici l’explication du contexte de cet démonstration
- Woodgrove est une société privée.
- Proseware, une société qui offre des remises aux employés de Woodgrove.
- Alice, une employée de Woodgrove souhaite obtenir une remise tarifaire sur les produits Proseware
Voici les différentes étapes de cet exercice :
- Etape 1 : Obtention d’une identité vérifiée en relation avec une identité physique
- Etape 2 : Utilisation de l’identité vérifié pour accéder aux ressources d’entreprise
- Etape 3 : Utilisation de l’identité vérifié pour accéder aux ressources tierces
Si vous ne souhaitez pas faire cet exercice par vous-même, j’ai retrouvé une vidéo retraçant les différentes étapes :
Le seul prérequis nécessaire pour réaliser cet exercice est de disposer de Microsoft Authenticator sur son smartphone.
Pour réaliser cet exercice, rendez-vous sur cette page, renseignez des informations fictives, puis cliquez sur Suivant :
Cliquez-ici pour obtenir une identité vérifiée :
Cliquez-ici pour prendre une photographie fictive :
Cliquez-ici pour téléverser une copie d’une identité gouvernementale fictive :
Cliquez sur Suivant :
Attendez quelques secondes, puis cliquez sur OK :
Votre identité fictive a bien généré une identité vérifiée que nous allons maintenant récupérer :
Pour cela, ouvrez Microsoft Authenticator sur votre smartphone afin de scanner le QR code généré pour cette identité vérifiée :
La page web s’actualise et vous demande de reproduire le code PIN sur votre Smartphone :
Cliquez sur Suivant :
Cliquez sur Ajouter :
La page web s’actualise pour vous confirmer le succès de la récupération de l’identité vérifiée sur votre application Microsoft Authenticator, et vous invite ensuite à retourner sur la page principale :
L’étape 2 est automatiquement validée par le fait de disposer cette identité vérifiée sur votre application Microsoft Authenticator :
L’identité vérifiée s’intègre dans la liste des identités vérifiées sauvegardées, cliquez sur celle-ci :
Constatez les informations Entra ID stockées dans cette identité vérifiée :
Un autre onglet affiche l’historique des actions associées à cette identité vérifiée :
Toujours sur le portail web, cliquez-ici pour utiliser cette identité vérifiée pour vous authentifier sur portail employé de votre entreprise :
Scanner le QR code suivant afin d’autoriser le partage de votre identité vérifiée avec votre entreprise Woodgrove :
Utilisez la fonction suivante pour scanner le QR code généré :
Le site web est maintenant en attente de l’acceptation du partage d’informations de votre identité vérifiée :
Choisissez l’identité vérifiée à partager avec l’entreprise Woodgrove, puis confirmez le partage en cliquant ici :
Le site web de votre entreprise Woodgrove s’actualise et vous invite maintenant à continuer pour accéder au portail employé :
Une nouvelle activité liée à Woodgrove s’ajoute sur votre identité vérifiée :
Retournez sur le portail employé de votre entreprise Woodgrove afin de tester la validité de votre identité vérifiée par ce lien :
Un nouvel onglet s’ouvre à destination d’un site de vente fictif appelé Proseware :
Afin de profiter de rabais intéressant, une identification entreprise est nécessaire chez Proseware. Pour cela, cliquez sur le bouton suivant pour accéder aux prix remisés :
Cliquez sur le choix suivant afin d’utiliser votre nouvelle identité vérifiée :
Comme votre identité vérifiée est stockée sur votre application Microsoft Authenticator, un QR code est généré par Proseware afin de partager des informations d’identification :
Ouvrez Microsoft Authenticator sur votre smartphone, puis utilisez la fonction suivant pour scanner le QR code généré par Proseware :
Le site web de Proseware est maintenant en attente de l’acceptation du partage d’informations de votre identité vérifiée :
Choisissez l’identité vérifiée à partager avec Proseware, puis confirmez le partage en cliquant ici :
Le site web de Proseware s’actualise et affiche maintenant des tarifs remisés selon votre identité vérifiée :
Une nouvelle activité Proseware s’ajoute sur votre identité vérifiée :
Quelques informations supplémentaires sur ce partage sont disponibles :
Peut-on mettre en place les identités vérifiées sur Entra ID ?
Oui, il est possible de mettre en place les identités vérifiées sur Microsoft Entra ID. Voici quelques étapes clés pour commencer :
- Configurer votre locataire Microsoft Entra : Vous devez d’abord configurer votre locataire pour la vérification d’identité.
- Créer des informations d’identification vérifiables : Utilisez le portail Microsoft Entra pour créer et émettre des informations d’identification personnalisées.
- Utiliser des outils et des exemples de code : Microsoft fournit des exemples de code et des guides pour vous aider à émettre et vérifier des informations d’identification vérifiables.
Pour cela, rendez-vous sur la page suivante d’Entra ID afin de démarrer le processus de mise en route d’Entra Verified ID.
Deux options de mise en place s’offrent alors à vous :
- Configuration rapide : La configuration rapide s’occupe de la signature des clés, de l’inscription de votre ID décentralisé et de la vérification de la propriété de votre domaine. Il crée également pour vous des informations d’identification d’espace de travail vérifiées.
- Configuration avancée : La configuration avancée de la Vérification d’identité est la méthode classique de configuration quand vous, administrateur, devez configurer Azure KeyVault, inscrire votre ID décentralisé et vérifier votre domaine.
Pour notre démonstration, choisissez la configuration rapide :
Si votre tenant contient plusieurs domaines personnalisés, choisissez celui que vous souhaitez mettre en place pour ce service d’identité vérifiée, puis cliquez sur Sauvegarder :
La configuration sur votre tenant se met alors en place, Entra vous invite à patienter environ 1 minute :
Une fois la configuration automatique terminée, la notification suivante apparaît :
Retournez sur cette même page afin de constater l’apparition de nouveaux menus, ainsi que l’apparition d’un rendu graphique de l’identité vérifiée générée sur votre tenant :
Cliquez-ici afin de contrôler qui sur votre tenant peut obtenir une identité vérifiée :
Par défaut, tous les utilisateurs de votre tenant peuvent obtenir une identité vérifié. Cette option reste modifiable via ces 2 champs :
Retournez sur la page précédente afin d’obtenir une identité vérifiée sur votre compte Entra actuel :
Ce lien ouvre un nouvel onglet vers la page Mon Compte :
Cliquez-ici pour obtenir votre identité vérifiée :
Un QR code est alors généré et valable pendant 5 minutes :
Sur votre smartphone, ouvrez l’application Microsoft Authenticator, puis rendez-vous dans le menu suivant afin de scanner le QR Code :
L’identité vérifiée associée au QR code est reconnue, Microsoft Authenticator vous propose de l’ajouter à votre portefeuille d’identités vérifiées :
Cette dernière s’intègre alors dans la liste des identités vérifiées déjà sauvegardées :
Cliquez dessus afin de constater les informations Entra ID stockées dans cette identité vérifiée :
Ces informations ont été rendues accessibles par le biais de la configuration de l’identité vérifiée de votre tenant :
Toujours sur l’application Microsoft Authenticator, un autre onglet affiche l’historique des actions associées à cette identité vérifiée :
Retournez sur le portail Entra ID afin de tester la validité de votre identité vérifiée par ce lien :
Un nouvel onglet s’ouvre à destination d’un site de vente fictif appelé Proseware :
Afin de profiter de rabais intéressant, une identification est nécessaire chez Proseware. Pour cela, cliquez sur le bouton suivant pour accéder aux prix remisés :
Cliquez sur le choix suivant afin d’utiliser votre nouvelle identité vérifiée :
Comme votre identité vérifiée est stockée sur votre application Microsoft Authenticator, un QR code est généré par Proseware afin de partager des informations d’identification :
Ouvrez Microsoft Authenticator sur votre smartphone, puis utilisez la fonction suivant pour scanner le QR code généré par Proseware :
Le site web de Proseware est maintenant en attente de l’acceptation du partage d’informations de votre identité vérifiée :
Confirmez le partage en cliquant ici :
Le site web de Proseware s’actualise et affiche maintenant des tarifs remisés selon votre identité vérifiée :
Une nouvelle activité Proseware s’ajoute sur votre identité vérifiée :
Quelques informations supplémentaires sur ce partage sont disponibles :
Enfin, une fonction de révocation est même disponible via la page de configuration d’Entra ID :
Et il semble également possible de retirer le service déjà configuré d’identités vérifiées sur un tenant :
Conclusion
L’identité décentralisée promet de redonner le contrôle des données aux utilisateurs, en assurant une gestion sécurisée et privée des identités numériques :
- Contrôle et Sécurité : Les utilisateurs gèrent leurs propres identifiants et données, réduisant les risques de violations et d’usurpation d’identité.
- Confidentialité : Les données personnelles sont partagées uniquement avec consentement explicite, sans intermédiaires centralisés.
- Interopérabilité : Utilisation de normes ouvertes (comme les DID et justificatifs vérifiables), permettant une intégration fluide avec divers systèmes.
- Fiabilité : Justificatifs émis par des entités de confiance, validés de manière sécurisée et infalsifiable.