La norme d’identification numérique derrière les identifiants mobiles intègre un accès aux données à distance que les gouvernements peuvent activer discrètement. Les défenseurs de la vie privée s’y opposent.
Bienvenue à une nouvelle initiative qui donne la priorité à la confidentialité et remet en question le statu quo de l’identité numérique, en appelant à un abandon radical de l’infrastructure de surveillance intégrée aux permis de conduire mobiles.
La campagne, intitulée No Phone Home, rassemble une large alliance de groupes de défense des libertés civiles, d’experts en confidentialité, de technologues, de législateurs et de fonctionnaires qui résistent à la manière dont les identifiants numériques compromettent les droits des personnes.
Ce qui alimente la campagne, c’est l’inquiétude suscitée par la manière dont les permis de conduire mobiles, de plus en plus adoptés aux États-Unis et à l’étranger, reposent sur un cadre technique leur permettant de transmettre silencieusement des données aux autorités compétentes. Bien que cette fonction ne soit pas activée par défaut, elle existe, ce qui, selon les défenseurs de la vie privée, constitue une grave vulnérabilité.
Même si elle n’est pas utilisée, si l’architecture permet de renvoyer des données vers les serveurs gouvernementaux, elle finira par l’être, prévient le communiqué de campagne.
Il s’agit d’une norme internationale largement méconnue : la norme ISO/IEC 18013-5:2021.
Cette spécification est devenue le fondement des systèmes d’identification numérique utilisés dans plusieurs États américains et à l’international, notamment ceux compatibles avec Apple Wallet et Google Wallet . Elle impose aux identifiants mobiles de prendre en charge la récupération des données côté serveur ; une fonctionnalité qui ouvre la voie au suivi de masse.
Les outils d’identité numérique ont été initialement développés au sein d’entreprises où la confidentialité n’était pas une préoccupation majeure.
La campagne défend un argument politique et éthique. Le principe fondamental est simple : les identifiants numériques, comme les identifiants physiques, ne doivent pas révéler les déplacements ni les comportements d’une personne. Si de nombreux États se sont engagés à ne pas utiliser les fonctionnalités de suivi intégrées aux normes d’identification numérique, il s’agit d’une décision politique et non d’une mesure de protection technique.
En effet, un gouvernement d’État a récemment réalisé qu’il avait par erreur laissé la fonction de suivi activée dans son application d’identification mobile et ne l’avait désactivée qu’après coup. Cet incident a renforcé l’urgence du message de la campagne.
L’inquiétude va au-delà des espaces physiques. Avec l’utilisation croissante des identifiants numériques pour la vérification de l’âge en ligne, les défenseurs de la vie privée s’inquiètent de la manière dont l’activité en ligne pourrait être enregistrée et reliée aux individus. En Louisiane, par exemple, les résidents doivent vérifier leur âge via l’ application LA Wallet pour accéder à du contenu pour adultes en ligne.
D’autres normes, comme OpenID Connect, font l’objet de critiques similaires. Bien que de conception différente, OIDC prend également en charge les transmissions de données silencieuses. La structure de l’ISO, en particulier, favorise les vérificateurs (entreprises et agences vérifiant l’identité), plutôt que les individus cherchant à protéger leur vie privée.
Bien que les permis de conduire numériques restent facultatifs et relativement rares aujourd’hui, leur croissance s’accélère . De plus en plus d’États déploient des portefeuilles numériques, et les pays de l’Union européenne et d’ailleurs évoluent rapidement vers des systèmes officiels d’identité numérique.
Nous sommes à un moment critique. Si nous n’exigeons pas de garanties dès maintenant, nous allons nous retrouver avec des systèmes d’identité numérique qui porteront fondamentalement atteinte à la vie privée.
Voir l’article original cliquez ci-dessous :
THE BLACK SUN 