Cyberidentité, questions en suspens (Ph. Davadie)

L'usurpation d'identité via l'internet est un sujet qui préoccupe de plus en plus, ce qui est compréhensible au vu du fort développement des activités réalisées grâce à ce média.

Quelques exemples récents l'illustrent :

• le faux tweet de Torreton adressé à Depardieu, démenti par l'épouse de Torreton ;
• l'alerte relative à facebook car des applications liées à ce système enverraient des billets (posts) en lieu et place du propriétaire du compte sans le prévenir.

Ces exemples, pour pertinents qu'ils soient, biaisent dès le départ le sujet. En effet, ils ne concernent que des usurpations d'identité privée, alors qu'il est également possible d'usurper l'identité d'une personne morale, tant une institution (faux courriels de hameçonnage par exemple) qu'une entreprise car un concurrent pourrait annuler ou modifier une commande passée via l'internet. De plus, ils ne concernent qu'un nombre restreint d'actes réalisables via l'internet.

Malgré la double restriction évoquée supra, la question de la preuve de l'identité dans le cyberespace pose principalement quatre problèmes :

• quels éléments constituent l'identité déclinable sur l'internet (nom, prénom, etc.) ;
• par quels moyens prouver son identité sur l'internet ;
• faut-il que chaque internaute dispose d'un « passeport électronique » comme le préconisait en septembre 2009 M. Kasperky ;
• à quelles occasions faut-il contrôler l'identité des internautes ?

Par quels éléments définir une cyberidentité ?

Avant de débuter toute argumentation, il convient de définir le terme cyberidentité. Nous appellerons cyberidentité l'identité permettant d'identifier chaque internaute, qu'il soit ou non connecté, de même que l'identité réelle permet d'identifier chaque personne dans le monde réel. À l'instar de l'identité réelle, la cyberidentité doit être précise, exhaustive, univoque et appropriable par l'intéressé.

Cette question des éléments constitutifs de la cyberidentité est pertinente, car le cyberespace n'est pas une simple transposition informatique ou numérique d'un milieu physique dans lequel nous évoluons au gré de nos besoins ou envies (terre, air, mer). Il possède deux caractéristiques qui le distinguent de ces trois milieux physiques : il permet l'ubiquité et il est hypermnésique. En effet, je peux simultanément traiter des affaires avec un interlocuteur situé à Rio et un autre à Vladivostok, et tout ce que je fais sur l'internet est enregistré pendant une durée potentiellement illimitée.

Cette hypermnésie pose la question incidente de la durée de conservation des traces. En effet, si un État décide de fixer une durée maximum de conservation des traces de connexion, est-il sûr que les identifiants de connexion antérieurs à la date permise par la loi sont effacés ? Car il est envisageable que leur propriétaire les ait conservés et simplement déconnectés de l'internet.

Ceci dit, de quoi peut se composer la cyberidentité ? Des mêmes éléments que ceux requis pour l'identité réelle ? Mais ceux-ci ne sont pas universels. Selon le pays dans lequel on vit, la filiation est primordiale ou accessoire pour justifier son identité. Et surtout, quelle est la pertinence de mentionner dans sa cyberidentité des éléments inutiles pour identifier une personne sur l’internet ? Si la taille et le sexe sont pertinents pour identifier une personne dans le monde réel, ces éléments deviennent inutiles dès que l'on entre dans le cyberespace.

Le nom et le prénom sont utiles dans le monde réel, moins dans le cyberespace et, tant dans le monde réel que dans le cyber, ils ne préservent pas des homonymies.

Nous pouvons alors déduire de ce qui précède que comme les caractéristiques physiques ne permettent pas d'identifier un internaute, elles ne peuvent servir de base à une cyberidentité. Il est donc nécessaire, si on tient absolument à définir une cyberidentité, de trouver des éléments précis, exhaustifs et univoques.

Vient alors à l'esprit l'hypothèse suivante : puisque le cyberespace est un lieu où le numérique est prépondérant, puisqu'on y trouve abondance de 0 et de 1 à l'état brut (si l'on peut dire), alors pourquoi ne pas définir une identité numérique au sens propre, c'est-à-dire élaborée à partir de chiffres et formant un nombre unique ? En France, le numéro INSEE en est un excellent exemple. En préfixant ce numéro1 par un code propre à chaque pays, chaque internaute se verrait porteur d'une cyberidentité universelle, précise, exhaustive et univoque.

Certes, mais il lui manquerait le dernier élément de l'identité, à savoir qu'elle ne serait pas appropriable par les intéressés. Qui, en effet, est capable de déclarer, le plus sérieusement du monde, que son identité, donc ce qui le résume, est une pure suite de chiffres ? Au contraire, cette nouvelle identité générerait un fort refus, puisqu'un des slogans souvent entendu dans différentes contestations est « nous ne sommes pas des numéros ! ».

De plus, la CNIL a rejeté l'idée selon laquelle le numéro INSEE pourrait figurer dans toutes les demandes envoyées à l'administration, car la facilité des recoupements possibles serait attentatoire aux libertés publiques.

Enfin, cette solution « numérique » signifierait que les parents ne peuvent plus donner d'identité à leurs enfants, puisque l’État y pourvoirait, au moins partiellement, dans le cyberespace. Où résiderait alors la liberté individuelle ?

Prouver sa cyberidentité

Bien que cette première question des éléments constitutifs de la cyberidentité ne soit pas encore résolue, elle appelle tout naturellement la seconde, comment prouver son identité sur l'internet, c'est-à-dire par quels moyens ?

Les moyens utilisés pour prouver la cyberidentité de l'internaute doivent être fiables, car l'identité doit être inviolable2, ce qui signifie que le support de la cyberidentité doit être infalsifiable et que les moyens de contrôle de cette cyberidentité ne doivent pas pouvoir être piratés. De plus, comme l'internet est hypermnésique, les bases de données dans lesquelles sont mentionnées les éléments du contrôle de la cyberidentité (lieu3, date, heure, notamment) doivent également être fortement sécurisés.

Contrairement aux problèmes soulevés par l'interrogation précédente, ceux que soulève la présente question sont essentiellement d'ordre technique. L'habitude d'une navigation très rapide sur l'internet ayant été prise, il est indispensable que les opérations de contrôle de cyberidentité soient rapides et ne ralentissent pas la navigation de l'internaute.

Mais si le contrôle est rapide, une éventuelle profusion de contrôles risque de ralentir la navigation. Apparaît alors la nécessité de définir une durée de validité du contrôle d'identité qui pourrait être exprimée en temps ou en nombre de rebonds sur les sites visités par exemple. Là encore, le dispositif retenu pour signaler que l'internaute ne doit pas être contrôlé doit être vérifiable rapidement pour ne pas ralentir la navigation.

Une autre question, tout aussi technique, se pose. Comment peut-on actuellement sécuriser un éventuel titre de cyberidentité, son dispositif de contrôle et le lieu de stockage des données ainsi récoltées, alors que les failles de sécurité sont, si ce n'est incalculables, du moins en grand nombre ? Quelle confiance peut-on avoir envers une société qui déclarera avoir sécurisé les titres de cyberidentité, si un jour elle se fait, elle aussi, pirater4 ?

Cette question n'est pas identique à celle des vols d'identifiants de cartes bancaires, car si dans ce cas le préjudice est facilement estimable dans l'attente de la fabrication d'une nouvelle carte, en cas de vol de cyberidentité, le préjudice n'est pas aisément estimable. Et changer de cyberidentité en cas de vol de la précédente revient alors à ne pas en disposer, car les changements sont potentiellement très nombreux et ne peuvent cesser qu'à la mort de l'internaute.

Le titre de cyberidentité

Supposons que les questions précédentes soient résolues, que les éléments constitutifs de la cyberidentité aient été définis et que le processus de preuve de la cyberidentité soit également validé.

Se posent alors les questions de la délivrance et de la détention d'un titre de cyberidentité.

Qui délivrera les titres de cyberidentité ? Les États dont les internautes sont les citoyens (mais est-ce pertinent si l'internet n'a pas de frontières ?) ou un organisme supranational chargé de la régulation dans le cyberespace ? Ce qui pourrait être au moins tout autant pertinent puisque l'accès au cyberespace est possible à partir de n'importe quel pays de la planète. Et comme les organismes chargés de la délivrance de ces titres (États ou organisme supra-national) feront vraisemblablement sous-traiter leur réalisation, qu'adviendra-t-il de ces données en cas de changement ou de défaillance du prestataire de service ? À qui seront-elles réputées appartenir ?

Quelle sera la durée de validité du titre de cyberidentité ? Faudra-t-il le renouveler régulièrement, mais sur quelles bases, ou sera-t-il valable indéfiniment ? Puisqu'on peut légalement changer de nom, donc d'identité, dans le monde réel, cette procédure sera-t-elle applicable dans le cyberespace ?

L'organisme qui délivrera ces titres sera-t-il également habilité à les supprimer ? Selon quelles modalités et pour quelles raisons cette suppression aura-t-elle lieu ?

Si le cyberespace se distingue du monde réel du fait de sa création par l'homme, certaines questions posées dans le monde réel n'en ont pas moins un impact dans le cyberespace. Ainsi des clandestins et des apatrides.

S'il revient aux États de délivrer des titres de cyberidentité, comment géreront-ils la question des clandestins à l'intérieur de leurs frontières physiques ? Ceux-ci exigeront-ils un titre de cyberidentité pour naviguer sur l'internet ? Mais alors, comme certains refusent de déclarer leur identité réelle pour ne pas être expulsés vers leur pays d'origine, comment leur donner une cyberidentité qui ne sera pas usurpée ? Et comme il ne peut qu'y avoir un lien fort entre cyberidentité et identité réelle, le pays hôte se substituera-t-il au pays d'origine pour donner une identité réelle et légale à ces personnes ?

Mais dans ce cas, comme on ne peut ignorer l'existence d'organisations criminelles spécialisées dans la traite des êtres humains, cela revient à leur accorder de facto la possibilité de se constituer un stock de cyberidentités valables, puisque leurs détenteurs viendront demander « asile » dans différents pays, au gré de leur « employeur ». Quant aux apatrides, si cette question a perdu de son acuité depuis la fin de la guerre froide, sommes-nous sûrs qu'elle est derrière nous ? Les apatrides seront-ils, de facto, exclus de l'internet ?

Contrôler la cyberidentité

Si le titre de cyberidentité voyait le jour, se poserait la question de savoir à quel moment il serait exigé. Le serait-il dès qu'on se connecte à une machine reliée à l'internet ou dès qu'on souhaite accéder à l'internet ? Dans le premier cas, cela signifie qu'une personne ne disposant pas de titre de cyberidentité se verrait refuser l'accès à toutes les ressources informatiques existantes, ce qui peut sembler un bien dur châtiment qui, d'ailleurs, serait applicable pour quel type de fautes ?

Si l'on part du principe que la cyberidentité doit être déclinée dès que la connexion à l'internet est demandée, faudra-t-il alors déclarer son identité pour envoyer un courrier électronique ? Dans ce cas, quel avenir pour le secret des correspondances ?

Et, de même que dans le monde réel les passeports diplomatiques procurent une certaine immunité, verrons-nous apparaître leur équivalent dans le cyberespace ? Quelles seront alors les privilèges conférés à leurs détenteurs ?

Une des commodités de l'internet est de tester ses idées par l'intermédiaire de pseudo. Notons cependant que les pseudonymes n'ont pas attendu l'ère numérique pour être utilisés, des écrivains s'en sont parfois servi : le doublon Romain Gary / Émile Ajar en est un récent exemple. Si la connexion à l'internet impose de déclarer son identité réelle, quel est l'avenir de ce dispositif ? Existera-t-il un service officiel d'anonymisation qui, en échange de la déclaration de sa véritable identité remettra à l'internaute un pseudonyme ? Qui conservera ces correspondances entre identité et pseudonyme ? Et qui sera habilité à lever l'anonymat du pseudonyme ?

Enfin se pose l'épineuse question des contrôles d'identité, car si des titres de cyberidentité sont délivrés, c'est bien pour qu'ils soient utilisés, donc pour que chaque internaute prouve son identité lors d'un contrôle.

Qui sera donc habilité à contrôler les identités ? Uniquement des cyber forces de l'ordre (ou des cyber forces du cyber ordre?) ? Mais selon quelles bases légales, et dans quelles limites « territoriales » si l'expression est permise.

Car si l'internet n'a pas de frontières, un cyber policier allemand sera-t-il habilité à contrôler la cyberidentité d'un internaute français qui consulte à partir de son ordinateur personnel, installé physiquement en France, un site dont les serveurs sont en France ? Cela peut sembler absurde, sauf si la connexion est transmise par un serveur situé physiquement en Allemagne. Mais que va-t-il contrôler ? Que l'internaute a le droit de fureter sur l'internet à une heure tardive ou les sites qu'il compte consulter ? Et si l'internet a des frontières, alors cela signifie qu'un pays hostile à celui de l'internaute peut lui refuser l'accès à ses ressources pour des motifs hautement estimables de son point de vue, mais pas forcément de celui de l'internaute.

Si le contrôle est à la charge des sites visités, une fois encore, quelle sera la base légale de ces contrôles ? Tous les sites internet accepteront-ils d'effectuer ces contrôles et d'en respecter les règles ? On peut en douter lorsqu'on a vu il y a quelques temps, les médecins et pharmaciens se soulever contre l'obligation qui leur serait faite de refuser la délivrance de soins ou de médicaments à une personne présentant une carte vitale ornée d'une photo autre que la sienne. De plus, nous pouvons nous demander s'il est utile ou nécessaire de systématiquement décliner sa cyberidentité pour acheter via l'internet ou s'y promener, alors que ce n'est pas toujours le cas dans le monde réel.

Poursuivons, quelles seront les bases légales du refus d'accès à une ressource disponible sur l'internet ? L'âge ? Mais cela peut varier d'un État à l'autre. La nationalité ? D'autres critères, mais lesquels alors ?

Et s'il y a refus d'accès, il faudra que le vigile qui, soit dit en passant, pourra être un algorithme ait de bonnes raisons de refuser l'accès. Qui donc vérifiera l'implémentation des algorithmes ? Seront-ils infaillibles ? Au vu de la controverse soulevée à propos du référencement des sites selon l'algorithme utilisé par le moteur de recherche, le débat risque d'être passionné à défaut d'être passionnant car réservé aux seuls techniciens des algorithmes. Ne court-on pas le risque d'une censure ou d'un contrôle plus que strict de l'internet ?

Et qui dit refus d'accès dit contentieux. Comment prouver le refus d'accès ? Délivrera-t-on un récépissé de refus d'accès ? Et quelles seront les voies de recours possibles ? Quel procédure sera utilisée ? Quel délai sera nécessaire pour trancher ? Car si l'unité de temps dans le cyberespace est de l'ordre de la fraction de seconde (qui tend d'ailleurs à diminuer de plus en plus), l'unité de temps de la justice des hommes est plutôt le mois. Sauf pour les comparutions immédiates, mais cela suppose que l'auteur des faits soit déjà identifié.

Enfin un dernier point doit être évoqué. Dans le monde réel, particulièrement dans les banlieues françaises, les contrôles d'identité sont mal vécus car estimés discriminatoires et vexatoires, leur répétition ne faisant qu'amplifier les choses. À quelles occasions faudra-t-il vérifier les titres de cyberidentité ? Exceptionnellement ou de manière régulière ? Mais si c'est de manière régulière, ce qui est mal dans le monde réel sera-t-il subitement paré de toutes les cyber vertus ? La rapidité du contrôle le parera-t-elle de toutes les (cyber) vertus, prétexte à une fréquence qui, dans le monde réel, serait qualifiée d'abusive ?

Conclusion

La question de la cyberidentité n'est donc pas aussi simple qu'il y paraît, car elle ne peut se résumer à des identifiants permettant l'authentification sur l'un ou l'autre site visité. Elle soulève des questions fondamentales qu'il n'est pas possible d'occulter sous peine de bâtir un cyberespace sur des bases chancelantes.

Elle prouve, si besoin était, que le cyberespace n'est pas simplement un milieu nouveau comme l'ont été la mer et l'espace au moment de leur conquête, mais qu'il est un révélateur actuel des questions qui fondent une civilisation : qu'est-ce qu'une personne, quelle est son identité, quels rapports l’État et l'individu peuvent-ils établir, comment l’État s'accommode-t-il de la liberté de ses citoyens ?

Cependant, si on pense, comme certains philosophes que « toute l'individualité de l'homme s'inscrit dans son corps5 » comment peut-on alors définir une identité dans un monde dématérialisé comme l'est le cyberespace ? On en vient à se demander si l'impossibilité de disposer de moyens techniques garantissant l'inviolabilité de la cyberidentité n'est pas caractéristique du cyberespace, ce qui pose la question de la cyberidentité d'une manière différente : sa définition ne créerait-elle pas davantage de problèmes que de solutions ?

Philippe Davadie

1. Ou un équivalent pour chaque pays du monde.
2. La recherche permanente de titres d'identité infalsifiables en est une preuve dans le monde réel.
3. Si tant est que ce terme ait un sens dans le cyberespace. Ce pourrait être le site internet visité, mais la migration du serveur de site d'un pays vers un autre pourrait créer des complications en cas de vérification des sites visités par un internaute.
4. Au premier semestre 2011, la société RSA a été victime d'une attaque visant à récupérer des éléments relatifs à leur système d'authentification forte SecurID.
5. Aline Lizotte in La personne humaine.