Selon un dicton populaire : « Il faut des années pour instaurer la confiance, quelques secondes pour la briser et une éternité pour la rétablir. »
Même si je ne suis pas entièrement d’accord, cette conception n’est pas fausse. Dans la « vraie vie », il faut un certain temps pour instaurer la confiance entre deux parties — la durée variant en fonction de plusieurs facteurs. Vous êtes-vous déjà demandé pourquoi l’on fait d’emblée confiance à certaines personnes plus qu’à d’autres, sans même les avoir rencontrées ? Les facteurs qui influent sur notre perception sont multiples et complexes : l’apparence de la personne, son ton de voix, son titre ou son rang, etc. La confiance s’établit au fil du temps, mais peut se perdre en quelques instants.
Or, dans le monde numérique, cela pose problème. Lorsque l’on décide de faire confiance à quelqu’un ou quelque chose, les facteurs qui interviennent ne sont pas les mêmes que dans le monde réel. Impossible de juger à l’apparence si l’on ne peut voir l’autre. Et impossible de juger à la voix si l’on ne peut l’entendre. Quant aux titres et rangs, ils sont déjà suffisamment trompeurs dans le monde réel. En ligne, on est souvent obligé de décider en quelques secondes de faire confiance, ou pas, à l’autre. Cela contraste avec la vraie vie, où l’on peut prendre le temps de vérifier si l’autre partie est vraiment fiable. Le manque d’informations — par rapport aux informations dont on dispose en temps normal pour fonder notre confiance — ainsi que la pression subie pour décider vite conduisent bien souvent à des erreurs de jugement. Des erreurs qui peuvent être conséquentes... et coûteuses. C’est notamment le cas si vous êtes victime d’une attaque de phishing ou d’une autre forme de fraude — ce qui, depuis quelques années, est devenu un problème critique en ligne.
Figure 1 : Extrait du rapport « State of Phish » de Proofpoint en 2019. Même si nous avons beaucoup progressé et que nous avons appris la prudence en ligne, le problème de l’hameçonnage (phishing) perdure et continue à prendre de l’ampleur.
Présentation de l’eIDAS
Les enjeux autour de la question de la confiance n’ont pas échappé aux décideurs politiques et aux économistes. Dans une étude de 2021, l’Union européenne constatait que le manque de confiance entre commerçants et acheteurs constituait l’un des principaux freins à l’essor du commerce en ligne. Plusieurs mesures ont été prises. L’unité « eGovernment and Trust » a ainsi été créée avec l’introduction, dans son sillage, du règlement relatif aux services électroniques d’identification, d’authentification et de confiance – dit Règlement eIDAS (electronic identification, authentication and trust services), cf. notre précédent billet sur le sujet. Entré en vigueur en juillet 2016, l’eIDAS existe donc depuis un certain temps. A-t-il vraiment aidé à résoudre les problèmes de confiance numérique ?
Avant d’analyser plus en détail l’adoption de l’eIDAS, rappelons que le règlement ne s’applique pas partout sur le globe. De nombreuses autres directives autour de la confiance ont ainsi vu le jour dans le monde et s’appliquent à certains secteurs et pays. C’est notamment le cas du CA/Browser Forum pour les AC publiques — dont GlobalSign fait partie — qui régit l’émission de certificats SSL/TLS de confiance. Autre exemple sur le plan réglementaire et applicable à un pays, plus qu’à un secteur mondial : le réseau japonais des autorités de certifications (JCAN, Japanese Certification Authority Network) qui tient une liste des services de confiance fiables au Japon. Nous reviendrons plus tard sur les répercussions de l’eIDAS sur le réseau mondial des mécanismes de confiance. Penchons-nous tout d’abord sur l’adoption de l’eIDAS.
Qu’a-t-on appris sur la confiance depuis l’eIDAS ?
Un rapport de fin 2017 publié par l’Agence européenne pour la cybersécurité (ENISA) détaille la manière dont l’eIDAS a été adopté depuis sa création en 2016. À peine un an après la mise en place des services de confiance qualifiés, est-il plus facile de vérifier la confiance en ligne ? Difficile à dire. Bien sûr, 64 % des prestataires de services de confiance (PSC) se sont fait connaître et ont annoncé envisager devenir prestataires de services de confiance qualifiés (PSCQ). 90 % des PME et des grands groupes ont vu dans l’eIDAS un moyen de développer leur activité. Mais le rapport a également souligné une méconnaissance des services de confiance chez les citoyens et entreprises. Autre problème : le manque de normalisation et de spécifications techniques et juridiques précises autour des services de confiance. À cela s’ajoute une certaine confusion du fait que de nombreux pays continuent à maintenir plusieurs mécanismes de confiance au niveau national.
L’eIDAS a cependant permis de faire avancer les choses dans de nombreux domaines. L’eIDAS visait à l’origine à apporter une sécurité juridique là où l’impact de la transformation numérique serait particulièrement déstabilisant. Comment ? En s’assurant notamment de l’existence d’une norme garantissant un niveau de confiance équivalent entre les signatures électroniques et les signatures manuscrites. Formidable. Autre exemple : l’instauration d’une authentification basée sur des certificats qualifiés permet aux citoyens d’accéder aux services publics qui, en d’autres circonstances, exigeraient qu’ils se déplacement physiquement pour effectuer leurs démarches en personne. L’eIDAS constitue également le socle d’autres règlements visant à améliorer la flexibilité de plusieurs processus, sans déroger à la sécurité. C’est notamment le cas de la directive révisée sur les services de paiement (DSP2) qui fluidifie le traitement des paiements électroniques tout en réglementant les modalités d’authentification des parties concernées.
Figure 2 : Popularité des différents services de confiance un an après la mise en œuvre de l’eIDAS. Sans surprise, les signatures, les sceaux et les horodatages qualifiés sont les plus appréciés du fait de leur simplicité de mise en œuvre dans les processus de transformation numérique.
Si vous vous trouvez actuellement en dehors de l’Union européenne, c’est-à-dire dans une région non concernée par l’eIDAS, et que vous avez lu ce billet jusqu’ici, soyez remercié de votre curiosité qui sera, sachez-le, récompensée. J’ai indiqué plus tôt que nous examinerions l’impact de l’eIDAS en dehors de l’Union européenne. Un récent rapport de l’ETSI comparait l’eIDAS à d’autres mécanismes de confiance dans le monde et en tirait quelques conclusions :
- Malgré la pertinence des conseils sur les bonnes pratiques, la supervision, et les audits, l’eIDAS devrait, dans sa prochaine version prévue pour 2020, faire l’objet de corrections et d’ajustements.
- S’il faut davantage promouvoir l’eIDAS, le règlement doit aussi respecter les autres directives sur la confiance qui existent et identifier les domaines où ces directives apportent des solutions à certains points non couverts par l’eIDAS.
- Les normes ETSI basées sur l’eIDAS peuvent servir, au niveau international, de modèle pour la mise en œuvre technique de signatures électroniques présentant un haut niveau de fiabilité. Une fois que les mécanismes de confiance internationaux se seront adaptés à ces normes techniques, ils pourraient être ajoutés via la liste de confiance de l’UE à l’aide de certificats de passerelle ou de moyens similaires.
L’eIDAS n’a donc pas encore résolu le problème de la confiance numérique, mais il contribue à améliorer de nombreux processus sur le plan de la rapidité, de la praticité et de l’accessibilité. Plutôt positif, non ? Et cela nous concerne tous : le comptable qui peut traiter ses factures beaucoup plus rapidement. La dame âgée qui peut demander son nouveau passeport en ligne. Et le jeune chef d’entreprise enthousiaste qui peut désormais créer une entreprise en Allemagne tout en travaillant à distance depuis les États-Unis.
C’est ce qui nous a motivés chez GlobalSign à travailler d’arrache-pied pour proposer une large palette de services de confiance qualifiés : certificats qualifiés pour les signatures et les sceaux électroniques, horodatages qualifiés, certificats qualifiés d’authentification de sites web (QWAC) et modifications des sceaux et certificats QWAC en conformité avec les exigences de la directive DSP2. Pour en savoir plus, consultez notre site web.