Tribune : et s'il existait un marché de l'identité ?
Après tout, notre identité est précieuse puisqu'elle fait vivre le site Internet lorsqu'on alimente ses bases de données qu'il revend ensuite. Alors, lorsque l'on se crée un compte sur un site Internet, pourquoi ne pas, en lieu et place de nos propres coordonnées, rentrer les coordonnées d'un intermédiaire qui négocierait directement avec le site Internet le prix de notre identité ?
Le hold-up des identités
Aujourd'hui, au lieu de demander aux utilisateurs de saisir leur nom et mot de passe - ou tout autre complément d'informations concernant leur identité - les sites Internet pourraient tout simplement crier « Haut les mains ! ».
D'après Bob Blakley, director of Security Innovation de Citigroup, cette situation est révélatrice d'une faille fondamentale. L'échange d'informations concernant les identités devrait se dérouler comme une « négociation » et non comme un « hold-up ».
L'aspect le plus important de cette approche réside dans le fait qu'une négociation contractuelle doit avoir lieu avant tout comme un échange de biens précieux. Si c'est effectivement le cas sur n'importe quel marché, ce n'est pas ce qui se passe dans le monde de l'identité. En partant du principe que les informations concernant les identités ont de la valeur, il convient d'aborder cette question de la même manière que notre économie actuelle gère les autres échanges de biens.
Lire aussi : Six enseignements clés sur les mots de passe tirés de la mise à jour du cadre de cybersécurité du NIST
Imaginons qu'au lieu de saisir un nom et un mot de passe, l'internaute fournit au site Web les coordonnées d'un intermédiaire qui gère les informations relatives à son identité. Le site contacte l'intermédiaire en question et lui fait une offre. L'utilisateur final peut alors accepter de fournir ses informations à un certain prix, refuser en bloc de traiter avec le site, ou accepter de céder tout ou une partie de ses données d'identité en échange de l'utilisation du service ou du site Web.
L'idée est d'instaurer une négociation entre pairs, et non d'initier un acte de répression. Le fait de transmettre les coordonnées d'un intermédiaire en lieu et place de données peut résoudre nos problèmes actuels et permettre de créer une interface unique pour l'enregistrement et l'authentification.
La valeur de l'identité
Dans la situation actuelle, les sites Web détiennent le pouvoir. Les internautes acceptent des contrats implicites lorsqu'ils visitent un site Web, mais il s'agit bel et bien d'un accord unilatéral.
Les utilisateurs doivent considérer les données relatives à leur identité comme un actif précieux et les traiter comme s'il s'agissait d'argent, de diamants ou de tout autre objet de valeur.
Lire aussi : Sécurisation des identifiants et protection contre les attaques par déplacement latéral
Une fois négociés, les contrats pourraient inclure des restrictions quant à la façon dont le site contacté entend exploiter les informations des utilisateurs. Cette solution éviterait le problème majeur que représente l'utilisation de données d'identité par des annonceurs tiers, sans l'aval de leur propriétaire.
Formuler explicitement un accord pour l'utilisation de données est un signal très fort. Aujourd'hui, le consentement implicite prévaut, ce qui n'est pas sans risque sur le plan juridique.
Voir aussi
Silicon.fr étend son site dédié à l'emploi IT
Silicon.fr en direct sur les smartphones et tablettes
Sur le même thème
Voir tous les articles Cloud