Charte du Réseau de Confiance numérique Capucine.net

Pour un Réseau de Confiance Numérique RCN
lundi 16 avril 2007.
 

Introduction

L’Identité Numérique est au cœur des débats relatifs aux usages d’Internet tels que la Carte Nationale d’Identité Electronique, la Loi Informatique et Liberté, la Loi sur les droits d’auteurs (Dadvsi), les droits de patients pour accéder à leur Dossier Médical Personnel (DMP), le Vote Assisté par Ordinateur, la Gouvernance au sein d’Internet etc...
Les rédacteurs et les signataires de cette charte on pour objet de cerner cette problématique par une approche centrée sur l’utilisateur et la mise en œuvre de solutions techniques adéquates.

Le modèle de notre société repose sur trois pôles : technologique, économique, et sociétal ; les pouvoirs politiques, administratifs et médiatiques qui s’appuient sur ces trois pôles favorisent les usages des technologies en faveur de l’économie et au détriment du sociétal, créant un déséquilibre du modèle et de l’ensemble du système. C’est ce qui explique l’apparition des fractures numériques et sociales qui sont à l’origine des disfonctionnement de notre société qui de plus se mondialise.

Domaines d’application

Le réseau informatique Internet à l’échelle mondiale, reposant sur le protocole de communication (IP) sert de cadre aux usages proposés aux utilisateurs (Internautes). Du point de vue de la confidentialité des communications il convient de distinguer l’Internet (accès mondial) de l’extranet réseau d’interconnexion avec les partenaires d’une entreprise et l’intranet, qui est un réseau interne à une entreprise
Le net étant employé pour désigner l’ensemble Internet, extranet, intranet. . (CF Wikipedia)
Le réseau de confiance numérique capucine.net est une approche centrée sur l’utilisateur du net.
Il est constitué du domaine d’authentification "capucine" dédié aux utilisateurs du réseau, hébergé sur des serveurs inscrits au standard OATH (http://www.openauthentication.org/) dont l’architecture de référence est adoptée par une cinquantaine d’acteurs majeurs de la sécurisation.
Son objet est de rendre plus sur par rapport à l’utilisateur toute transaction nécessitant un niveau de sécurisation suffisant pour traiter de l’identité, de la stricte confidentialité et de l’intégrité des données.

Volet Sécurité

L’article 1 de la loi " Informatique, Fichiers et Libertés" (6 janvier 1978) précise : "L’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques."

Le Net a été développé depuis ses origines sans dispositif particulier de sécurité. L’ouverture au trafic commercial à partir des années 90 sous le protocole TCP/IP marque la naissance d’Internet tel que nous le connaissons aujourd’hui, avec les inconvénients lies à la duplication du fait de la numérisation.
La deuxième transition en 2000, liée aux usages de l’e-administration concernant l’identité, la santé, l’éducation, l’emploi, la justice et la politique (avec notamment le Vote Assisté par Ordinateur) nécessite un niveau de sécurité suffisant au niveau de chaque utilisateur lui assurant l’intégrité et la confidentialité de ses données.
La difficulté provient de la caractéristique de la dématérialisation qui fait que toute information statique numérisable est reproductible d’où l’impossibilité apparente de traiter de l’identité et d’en assurer l’intégrité, et les débats qui s’ensuivent sur la Carte Nationale d’Identité, la loi sur les droits d’auteurs (DADVSI), l’accès au DMP, le vote par Internet etc...
Néanmoins les technologies assurant la sécurité se sont développées au point de mettre au point des solutions satisfaisantes sans pour autant être mises en œuvre et mises à la disposition des usagers.
Les deux maillons les plus faibles d’un réseau sécurisé (Intranet/Extranet) sont le couple PC et utilisateur. Pour y remédier, il convient de passer du PC (Personal Computer) au PW (Personal Web) en s’appuyant sur une authentification forte.
Le "Personal Web" est le dispositif qui permet à l’utilisateur de générer un mot de passe unique limité dans le temps appelé OTP (One time Password). Celui-ci apporte une authentification forte, en s’appuyant sur la technologie PKI (Personal Key Identification) tout en permettant d’initialiser une séquence SSO (Single Sign One).
En effet, le socle commun de sécurisation IAS ( Identité, Authentification, Signature ), conforme aux standards définis par l’ADAE dans le référentiel du projet CVQ (Carte de Vie Quotidienne), ne fonctionne pas. Ceci pour les raisons invoquées plus haut, ce que démontrent les fraudes basées sur de fausses identités authentifiés par la carte Vitale 1 par exemple, d’autres fraudes étant prévisibles également dans le cadre de l’utilisation des documents biométriques à venir et de l’usage de la technologie RFID .
Il est aujourd’hui essentiel d’innover en inversant deux facteurs du socle de sécurisation et en passant du système « IAS » au système « AIS » (Authentification, Identification et Signature), tout en s’appuyant sur les technologies déjà en place, en protégeant ainsi l’identification par un dispositif d’authentification.
Les partenaires appliquant ces principes, ces standards et ces techniques contribueront au bon fonctionnement du réseau dont le contrôle sera partagé en respectant certaines normes (règles d’attribution du label).

Volet Ethique

La présente Charte s’appuie sur les débats qui ont animé le Sommet de Tunis en novembre 2005
et inscrit dans la réflexion sur la Gouvernance de l’Internet.

Un label s’efforce aujourd’hui de signaler la mise en œuvre des solutions techniques satisfaisantes sur la base de standards et en conformité avec les législations des pays concernés (Capucine.net)
Il convient donc de mettre les technologies au service de l’utilisateur et non l’inverse ; celui-ci doit pouvoir contrôler ses propres données et être assuré de la transparence des dispositifs mis en œuvre.

Volet Equité

La France est en 2006 au 14 ème rang du taux de pénétration d’Internet dans le monde, mais ce media incontournable génère des disparités pour ceux qui n’y ont pas accès, provoquant ainsi une réelle fracture cognitive.
La société civile se doit dans une dimension prospective de rejoindre les partenariats Public-Prives dans une logique gagnante pour tous les acteurs.
La présente charte entend donc appeler chacun à contribuer à la construction de ce réseau que l’on a pu dire vertueux.
Ce dispositif de sécurisation des usages d’Internet peut être financé à travers un modèle économique innovant dont le principe est d’assurer son autofinancement ; l’augmentation de productivité généré couvrant largement les investissements. Le micro crédit peut être utilisé pour les plus démunis, l’accès à internet permettant même d’optimiser les aides et d’en assurer une meilleure gestion.

Volet Développement Durable

Le réseau de confiance numérique ainsi crée pourrait être l’outil de mise en œuvre des mesures à prendre pour assurer la durabilité de notre développement et le renouvellement énergétique en favorisant l’accès aux « territoires de la connaissance ».
Il pourrait de même contribuer à promouvoir et faire connaître les initiatives ayant pour but de favoriser le déploiement des projets de Cartes de Vie Quotidienne dans les Villes Numériques, dont la mise en réseau territorial peut contribuer à la genèse de nouvelles formes de gouvernance.
Association Capucine.net
Paris, le 16 février 2007

Répondre à cet article