Lutte contre la fraude à l'identité !

La fraude à l’identité est étroitement liée à la fraude documentaire qui consiste donc à falsifier des documents transmis numériquement (justificatifs d’identité, de domicile, de revenus, etc.). D'après le Centre de recherche pour l'étude et l'observation des conditions de vie (Crédoc), le nombre de victimes d'usurpation d'identité en France s'élève à plus de 210 000 personnes par an. Dans ce contexte, il est impératif de garantir la sécurité de l’identification d’une personne physique ou morale à distance, c’est aussi devenu un enjeu majeur pour les entreprises, quelles que soient sa taille ou son activité. Docaposte fait partie de ces quelques prestataires tiers de confiance en France qui possèdent une expertise reconnue dans les solutions de vérification d’identité à distance. L’éditeur - tout comme IDnow, Ariadnext, Netheos et NJF Vision - dispose d’ailleurs de la certification Pvid auprès de l’Anssi qui vise justement à réduire le risque d'usurpation de l'identité. Ce référentiel Pvid datant du 1^er mars 2021 s’est inscrit dans un contexte post-covid où, à la faveur de l’évolution des usages vers plus de télé-procédures, les entreprises ont adapté leurs services pour rester actives en toutes circonstances et vérifier de manière plus sûre l’identité d’une personne à distance. A noter que d’autres acteurs sont actuellement engagés dans un processus de certification auprès de l’Anssi. « Notre métier est bien de prouver l’identité des gens derrière leur écran, notamment le smartphone », précise ainsi Olivier Svendsen, responsable de l’activité vérification d’identité à distance chez Docaposte. Pour ce faire, la solution agit comme une boîte noire qui effectue des contrôles techniques automatiques (reconnaissance, vidéo, IA, etc.) et humains via des experts de la vérification d’identité, c’est d’ailleurs toujours l’humain qui a le dernier mot selon Olivier Svendsen. Cette solution certifiée Pvid vient en complément de la signature électronique de l’éditeur ainsi que sa plateforme d’orchestration de vérification d’identité. Pour le porte-parole de Docaposte, les cas d’usages sont infinis et touchent à de multiples secteurs, de l’ouverture d’un compte bancaire à l’accès à un service de téléchargement de données sensibles.

Vers un portefeuille européen d'identité numérique

Pour aller vers un plus haut niveau de sécurité, l’Union européenne a adopté en mars 2024 le règlement eIDAS V2.0 qui introduit le portefeuille européen d'identité numérique (aussi appelé e-wallet ou EUDI wallet) et qui devrait être opérationnel d’ici 2026. Sécurisé et disponible depuis un mobile, ce portefeuille, valable dans toute l’Union européenne, permettra de fournir des données d'identité (de manière similaire à la présentation d'une carte nationale d'identité ou un passeport) et de partager des attestations électroniques d'attributs, permettant par exemple d'attester des droits octroyés par des documents administratifs tels que le permis de conduire, les documents de voyage (visas), les diplômes ou encore les documents de santé (attestations de couverture par la sécurité sociale ou la mutuelle). A noter que les États membres devront proposer au moins un EUDI wallet pour tous les citoyens fin 2026. Ensuite, dès 2027, les organismes publics, certains services ou secteurs (transport, énergie, banque, services financiers, sécurité sociale, etc.) seront obligés d'accepter l'EUDI wallet comme moyen d'authentification. L’objectif fixé par la Commission européenne est qu’en 2030, 80 % des citoyens doivent avoir un e-wallet européen eIDAS. C’est France Identité qui va gérer ce portefeuille pour la France. Selon Olivier Svendsen, ce portefeuille se présentera sous la forme d’une application mobile et sera encadré par des protocoles. Avec ce portefeuille, il deviendra théoriquement plus difficile à frauder, reste que ce dispositif repose sur le smartphone qui deviendra donc le terminal de confiance. Mais malheureusement, nous ne le contrôlons pas, nous sommes majoritairement dépendants d’Apple et de Google sur ce point, ainsi si une faille intervient, c’est l’applicatif qui peut être touché…

Une signature électronique qualifiée renforcée dans l'eIDAS 2.0

Depuis l’entrée en vigueur du règlement européen eIDAS en 2014, la signature électronique s’est imposée dans le monde de l’entreprise. Rappelons que l’eIDAS regroupe, suivant les usages, le concept des trois types de signature : simple, avancée (AES) et qualifiée (QES). La signature simple et la signature avancée sont requises pour les documents ayant un facteur risque allant de très faible à moyen, quant à la signature qualifiée, elle est justifiée pour les documents à haut risque comme les contrats de crédits ou les appels d’offres publics par exemple. D’ailleurs, les secteurs comme la santé, la finance ou les marchés publics exigent déjà une signature électronique qualifiée. Avec l’eIDAS en version 2.0 (qui met en œuvre le portefeuille européen d’identité numérique), la signature électronique avancée sera renforcée, des normes plus rigoureuses avec des sanctions sévères pour les prestataires de services de confiance non conformes.