Vous travaillez sur l’identité numérique. Quels sont les enjeux ?

Cela part d’une réflexion sur la mobilité. Nous allons être connectés au travers d’un nombre croissant d’appareils, dans un grand nombre de situations, avec plusieurs intermédiaires techniques, qu’il s’agisse de fournisseurs d’accès ou d’opérateurs. Comment donner une cohérence à cet ensemble ? Il ne faut pas se focaliser sur l’opérateur, le réseau ou l’application, mais sur la personne.

L’idée de base est légitime : il s’agit de gérer un grand nombre d’interlocuteurs, d’identifiants, et de remplir des formulaires automatiquement, dans un but de commodité pour l’internaute. La gestion de l’identité numérique permet par exemple de mettre à jour son agenda, la liste de ses correspondants. Cela implique qu’on centralise la connaissance de soi et de ses données avant de créer des services.

Microsoft, avec Passport, et Sun, à la tête de Liberty Alliance, se lancent dans la gestion d’identité numérique. Existe-t-il une différence de philosophie entre leurs approches ?

L’intuition créative, il faut bien le dire, est née chez Microsoft, avec Passport, qui fonctionne déjà en partie. Sun n’a fait que reprendre l’idée et n’a encore rien réalisé. Mais Microsoft avait prévu que toutes les données seraient stockées chez eux. C’était sans doute une mauvaise idée, d’ailleurs cela a suscité un débat et la création de Liberty Alliance en réaction. Cette dernière prône un stockage déconcentré. Microsoft commence à parler de la possibilité de ranger les données ailleurs, chez des banques, des administrations, des fournisseurs d’accès à Internet... Les deux philosophies ont donc tendance à se rapprocher. Au bout, tout le monde mise de toute façon sur les webservices, c’est-à-dire le fait de faire dialoguer des applications entre elles. Dans ce contexte, un concept comme Passport devient essentiel.

Le fait que ce business lié à l’identité soit géré par des entreprises privées ne vous choque pas ?

Il faut bien distinguer la première phase, celle de l’authentification des internautes par des sociétés comme Verisign, de la deuxième phase, celle de la gestion de l’identité numérique, avec Microsoft par exemple. Reposons la question de la privatisation dans ce cadre. La première étape, celle de la signature numérique, n’existe nulle part pour les particuliers : on en est encore loin, car personne n’a envie de délivrer des certificats numériques, gérer des révocations de comptes, régler le problème des disques durs qui crashent pour des millions de clients. Qui est prêt à payer pour mettre en place une telle logistique ? C’est bien pour cela que l’infrastructure à clé publique SET pour le paiement en ligne a échoué. Les banques ont rapidement arbitré entre la sécurité et les coûts. De toute façon, l’authentification n’est pas nécessairement " forte " : elle peut, notamment, vous permettre de jouer de plusieurs identités étanches. Le vrai danger serait de prévoir un seul système d’identification avec un entrepôt de données relié à l’état civil. Pour ce qui est de la deuxième phase, la gestion des identités numériques peut être un service privé. La Grande-Bretagne a choisi Passport pour fournir certains services administratifs au public, comme la délivrance d’une carte d’identité.

Le fait que Microsoft souffre de failles de sécurité chroniques et soit une société américaine n’est-il pas rédhibitoire pour les gouvernements européens qui voudraient conserver des données personnelles ? Ne pourraient-ils pas se substituer aux entreprises privées ?

Les autres gouvernements européens s’orientent vers d’autres options que la solution anglaise. La plupart des administrations ne sont pas prêtes à garder leurs données à l’extérieur. En France, la CNIL a de toute façon toujours refusé qu’il existe un lieu unique de stockage et un identifiant unique des Français. Le gouvernement ne pourrait donc pas être le référent – mais plusieurs institutions pourraient se répartir la charge. Les compétences informatiques ne manquent pas dans les administrations, que ce soit à Bercy ou à la Sécurité sociale.

Vous ne semblez pas très inquiet pour la gestion des identités numériques ?

A trop mettre en avant les inquiétudes, on ne voit plus les opportunités. Il n’y a pas de souci à se faire tant qu’il n’y a pas d’interconnexion totale des fichiers ni dans le public, ni dans le privé. Et bien sûr, tant qu’Internet reste un réseau ouvert échappant aux monopoles.

Justement, c’est une question qu’on est en droit de poser : Microsoft et Sun se mènent aujourd’hui une lutte acharnée pour définir les standards de demain dans les webservices, non sans outils propriétaires...

Tant que la propriété n’est pas inscrite dans les gènes du réseau, ça va. Ce qui se passe à l’écran ressemble à cet égard à notre ordinaire : on appartient à plusieurs communautés, qui vivent avec leurs propres règles, mais cela ne nous empêche pas d’être intégré au reste de la société. Je crois que Microsoft n’est plus aujourd’hui la principale menace pour l’esprit ouvert d’Internet. Elle se situe plutôt du côté des opérateurs de réseau, des acteurs de la mobilité. Les gens du haut débit et du téléphone mobile se réjouissent publiquement : " On va enfin pouvoir refermer la parenthèse de l’Internet ouvert ! " Ils ont pour cela de bonnes raisons : apporter de la qualité de service, optimiser les réseaux en évitant par exemple qu’ils soient surdimensionnés, développer des modèles économiques gagnants... On va donc recréer un univers très organisé. Il faut se méfier de cette " évidence " actuelle. Les acteurs économiques qui s’en prévalent vont peut-être droit dans le mur, comme à l’époque où ils s’entendaient tous pour reconnaître qu’Internet ne pouvait pas marcher. C’était une évidence à la mi-90. Résultat, ils n’ont jamais vu venir les innovations liées à l’usage du réseau.