Le consortium W3C a décidé de faire avancer une spécification pour les identificateurs décentralisés (DID) au statut de recommandation du W3C, malgré les objections de plusieurs membres éminents du consortium.

Bien qu’encore à ses débuts, DID promet de donner aux internautes plus de contrôle sur leurs identités numériques.

Que sont les identifiants décentralisés ?

Les individus et les organisations s’appuient sur des identifiants tels que des numéros de téléphone, des adresses e-mail et des noms d’utilisateur sur les réseaux sociaux. Cependant, la plupart des identifiants sont émis et contrôlés par des autorités externes qui décident à qui ou à quoi ils se réfèrent et quand ils peuvent être révoqués.

Les DID sont un nouveau type d’identifiant qui permet des identités numériques vérifiables et décentralisées. Les DID peuvent faire référence à des personnes, des organisations, des objets, des modèles de données ou des entités abstraites, tels que déterminés par un « contrôleur » DID.

Contrairement aux identifiants fédérés typiques, les DID ont été conçus de manière à pouvoir être dissociés des registres centralisés, des fournisseurs d’identité et des autorités de certification.

« Les identificateurs décentralisés… sont un élément fondamental important pour une nouvelle approche de l’identité numérique », Markus Sabadello, PDG de Danube Tech et co-rédacteur en chef du Spécification W3C DID CoreRaconté La gorgée quotidienne.

« Sans identifiants, nous ne pouvons pas établir de connexions ni effectuer de transactions. Nous ne pouvons pas partager de données et nous ne pouvons pas échanger de messages. Et sans cela, nous ne pouvons pas construire des concepts de niveau supérieur tels que la confiance et la réputation.

« Les fondements techniques de l’identité numérique et des interactions en ligne doivent être décentralisés. C’est ce que proposent les DID.

Comment fonctionne DID ?

Un DID est identifié par une chaîne qui inclut un schéma d’URI, la méthode et un identifiant :

Digital Identifiers DID, la technologie d'identification Web de nouvelle génération

Les URL DID font référence à un sujet DID et se résolvent en documents DID, qui contiennent des informations associées au DID, telles que des clés publiques cryptographiques, des services et des interactions.

Les DID peuvent être enregistrés sur des registres de données vérifiables, tels que des registres distribués, des systèmes de fichiers décentralisés, des bases de données de toutes sortes et des réseaux peer-to-peer. Enfin, un contrôleur DID est la personne, l’organisation, l’appareil ou le service qui peut modifier le document DID.

L’architecture a été conçue pour le contrôle, la confidentialité, la sécurité, l’interopérabilité, l’extensibilité et la portabilité.

Les utilisateurs doivent posséder leur identité, la transférer où ils le souhaitent, la brancher à l’application de leur choix et décider du type de données à partager avec les fournisseurs de services.

L’application la plus courante en conjonction avec les DID est les informations d’identification vérifiables (VC). Ce sont des équivalents numériques de vos documents liés à l’identité, tels que les certificats de naissance, les permis de conduire, les cartes de sécurité sociale et toute information vous concernant en tant que personne.

« Les DID permettent la création, la gestion et l’utilisation de ces informations d’identité d’une manière qui place le sujet (vous) au centre de toute interaction », a déclaré Sabadello. « Vos données personnelles ne sont pas partagées à moins que vous ne l’autorisiez explicitement. »

DID peut également être utilisé pour des informations sur les organisations et les objets physiques. Cependant, même si les VC sont l’application la plus courante des DID, le potentiel réel des DID est beaucoup plus important et pourrait impliquer vraiment n’importe quel type d’interaction en ligne.

« Vous pouvez envoyer des messages texte et photo arbitraires à vos amis, sécurisés par des DID. Vous pouvez créer un réseau social décentralisé à l’aide de DID. Vous pouvez même jouer à une partie d’échecs via des connexions basées sur DID », a déclaré Sabadello.

Pas une solution parfaite

Malgré ses promesses, DID a aussi ses doutes.

« Je pense que le concept même d’un DID exagère l’importance des identifiants », a déclaré Stephen Wilson, directeur général de Lockstep Group. La gorgée quotidienne. «Ce ne sont que des pointeurs de base de données ou des numéros de référence. Ils sont presque toujours attribués, mécaniquement, par les systèmes de gestion de l’information.

Alors que les identités des utilisateurs ont été volées et abusées de différentes manières, l’indexation des identités différemment ne changera rien, dit Wilson.

« Surtout lorsque les défenseurs de DID n’ont pas expliqué comment leur nouvelle technologie BYO sera adoptée par les services grand public. Même si les DID (et SSI) étaient une excellente idée, le coût de l’intégration des changements dans l’entreprise est inconnu et non pris en compte », a-t-il déclaré.

INTERVIEW Le directeur technique de Cloudflare, John Graham-Cumming, envisage un avenir sans friction pour les tests d’authentification Web

Wilson avertit également qu’en ce qui concerne le capitalisme de surveillance, les scientifiques de données les plus intelligents au monde travaillent sur la façon d’exploiter nos activités numériques et d’extraire des indices subtils et précieux.

« Ils continueront à nous suivre, peu importe comment nous choisissons de nous identifier », a-t-il déclaré.

Le problème le plus profond avec les DID, dit Wilson, est qu’ils ne font rien pour toucher le côté des informations d’identification.

« Le monde a déplacé l’attention de QUI vous êtes vers CE que vous êtes », a-t-il déclaré. « Même si un DID a fourni une nouvelle façon radicale d’affirmer QUI je suis, et alors ? Les contreparties avec lesquelles je fais affaire souhaitent de diverses manières que je prouve mon permis de conduire, mon âge, mes qualifications, mes affiliations, mon statut Covid, etc.

Tous ces documents sont fournis et vérifiés par des tiers. Même si vous pourrez transporter des preuves numériques de votre identité dans un portefeuille et les utiliser de manière privée, peer-to-peer et décentralisée, l’autorité sous-jacente qui sous-tend les informations d’identification reste centralisée.

« Ainsi, un DID peut appartenir à l’utilisateur, être auto-publié, non censuré, peu importe, mais toutes les informations d’identification restent les mêmes – administrées par des autorités externes », a déclaré Wilson.

Des désaccords dans la communauté

Le 30 juin, le W3C a voté en faveur de faire passer la spécification de base DID au statut de recommandation du W3C. La décision a rencontré des objections de la part de plusieurs membres, dont Mozilla et Google.

« DID-core n’est utile qu’avec l’utilisation de » méthodes DID « , qui nécessitent leurs propres spécifications », a écrit Google. « Il est impossible d’examiner l’impact de la spécification DID de base sur le Web sans examiner simultanément les méthodes avec lesquelles elle va être utilisée. »

L’objection de Mozilla déclare: « La spécification DID Core n’a démontré aucun degré d’interopérabilité pratique, déléguant plutôt cela à un registre de plus de 50 méthodes. »

« [The members who issued objections] a fourni plusieurs arguments pour les objections, y compris des préoccupations concernant l’interopérabilité, la centralisation et l’utilisation des chaînes de blocs », a déclaré Sabadello.

« L’opinion écrasante de la communauté travaillant sur les DID était que ces préoccupations étaient largement injustifiées. Certains membres de la communauté pourraient aller jusqu’à décrire cela comme une décision stratégique prise par de puissantes entreprises pour empêcher ou au moins ralentir le succès des technologies qui pourraient nuire à leurs modèles commerciaux traditionnels basés sur une technologie et un contrôle centralisés.

La décision du W3C, déclarée par Ralph Swick, pour Tim Berners-Lee, stipule que la spécification de base ne manque pas de preuves d’implémentabilité.

« L’historique de nombreuses normes Internet montre que les travaux futurs peuvent – et conduisent souvent – à des améliorations d’une norme initiale », indique la déclaration du W3C. « C’est une caractéristique, pas un défaut. C’est en fin de compte un jugement de la communauté quant à la durée pendant laquelle une technologie doit être déployée avant que la communauté ne mette à jour une norme.

Prochaines étapes pour DID

Selon le W3C, le groupe de travail abordera et fournira ensuite la ou les méthodes DID standard proposées et démontrera les implémentations interopérables. Ce sera l’occasion de vérifier les objections soulevées lors de la décision.

Les DID sont une partie fondamentale d’un écosystème plus large, dit Sabadello. De nombreux autres blocs de construction techniques sont liés aux DID, tels que les informations d’identification vérifiables (VC), les informations d’identification vérifiables OpenID Connect 4 et DIDComm.

« Avec l’approbation de la norme DID, ces autres éléments de base peuvent être mis en œuvre et déployés en toute confiance », a-t-il déclaré, ajoutant que des projets majeurs bénéficiant d’un fort soutien politique et des entreprises sont désormais en cours, tels que le cadre européen d’identité souveraine (ESSIF ).

« Cela signifie qu’au cours des prochaines années, les applications et services d’identité numérique deviendront accessibles à des millions (voire des milliards) de personnes et augmenteront leurs niveaux de liberté et de protection dans la vie numérique », a-t-il déclaré.