Uncategorized

Qu’est-ce que les Verifiable Credentials ?

Qu’est-ce que les Verifiable Credentials ?

Il existe un document que presque tout le monde porte avec soi et qui résout un problème que nous avons collectivement échoué à résoudre numériquement depuis plus de trois décennies. Votre passeport. Remettez-le à un agent des douanes à Zurich, Tokyo ou São Paulo. L’agent l’inspecte, vérifie la photographie, contrôle les éléments de sécurité de l’autorité émettrice, et vous le rend. Aucun appel téléphonique à votre gouvernement. Aucune interrogation de base de données en temps réel. Le document lui-même porte la preuve.

Essayez maintenant de faire la même chose en ligne.

Vous vous connectez à un site web. Ce site confirme que vous connaissez un mot de passe, ou que vous contrôlez une adresse électronique particulière. Mais il ne peut pas confirmer que vous êtes un médecin agréé. Ou un conseiller financier certifié. Ou un représentant autorisé d’une institution spécifique. Pour cela, il doit appeler un service externe, consulter un registre central, ou vous demander de télécharger un document qu’un humain examinera trois jours plus tard.

Les Verifiable Credentials sont le passeport numérique. Une assertion structurée et signée cryptographiquement concernant votre identité ou vos autorisations — émise par une autorité que vous et le vérificateur faites confiance, et vérifiable sans appeler quiconque.

Le concept n’est pas nouveau. Ce qui est nouveau, c’est que nous disposons enfin de l’infrastructure cryptographique pour la faire fonctionner à l’échelle institutionnelle sans recréer les dépendances mêmes que le concept était censé éliminer.

Trois rôles, un triangle

Le modèle repose sur trois acteurs — et la relation entre eux est ce qui fait fonctionner l’ensemble.

L’émetteur crée la credential. Un conseil médical certifie un médecin. Une université décerne un diplôme. Un employeur confirme un rôle institutionnel. L’émetteur signe la credential avec une clé cryptographique. Cette signature est l’équivalent numérique du sceau embossé sur votre passeport — elle peut être vérifiée par quiconque connaît la clé publique de l’émetteur, et elle ne peut pas être contrefaite.

Le titulaire est la personne ou l’organisation que la credential décrit. Les titulaires stockent les credentials dans un portefeuille, une application, ou une infrastructure institutionnelle. La différence critique par rapport aux systèmes traditionnels : le titulaire décide quand et avec qui partager. Dans un modèle de base de données, l’émetteur contrôle l’accès. Dans un modèle de credential, le sujet le fait. Ce n’est pas une préférence philosophique. C’est un choix architectural avec des implications directes pour la minimisation des données, la réglementation de la vie privée, et l’indépendance opérationnelle.

Le vérificateur est celui qui doit vérifier. Un système d’admission hospitalière. Une pharmacie. Une plateforme de conformité financière. Une application de contrôle aux frontières. Le vérificateur ne contacte pas l’émetteur. Il vérifie la signature cryptographique par rapport à la clé publique de l’émetteur — un processus qui prend des millisecondes, fonctionne hors ligne, et ne divulgue rien à l’émetteur sur quand ou où la credential a été présentée.

Ce triangle n’est pas une connexion. C’est une relation de confiance. Et la distinction est structurelle, non sémantique.

Pourquoi cela importe plus que de meilleurs mots de passe

Les systèmes de connexion standard — OAuth, SAML, et les protocoles qui s’y ajoutent — sont des mécanismes de session. Ils confirment que vous avez le droit d’accéder à un système particulier à un moment particulier. Ils ne sont pas conçus pour porter des assertions durables concernant votre identité au-delà des limites institutionnelles.

OAuth fonctionne bien dans un seul domaine. Un utilisateur s’authentifie auprès d’un fournisseur d’identité, obtient un jeton, accède aux services. Mais dès que vous franchissez les limites d’une institution à une autre, OAuth se heurte à une limitation structurelle : il suppose que la partie émettant le jeton est la partie qui s’y fie. Les jetons de l’Institution A n’ont aucune signification pour l’Institution B à moins qu’elles aient d’abord négocié un accord de fédération. Quand vous avez besoin que dix institutions interopèrent, vous avez besoin d’jusqu’à 45 accords de confiance bilatéraux. À cent institutions, cela devient 4 950.

Alors qu’est-ce qui se passe réellement ? Tout le monde converge vers un fournisseur d’identité central — Google, Microsoft, Okta — et la « fédération » devient une dépendance en étoile. La décentralisation était théorique. La centralisation est réelle.

Les systèmes basés sur des certificats font face à une version différente du même problème. L’infrastructure de clé publique traditionnelle peut confirmer qu’un serveur est authentique. Elle peut même confirmer qu’un individu détient un certificat spécifique. Mais la faiblesse structurelle n’est pas l’échelle — les magasins de certificats racine livrés avec les systèmes d’exploitation la gèrent raisonnablement bien. La faiblesse structurelle est la délégation de confiance. Chaque autorité de certification est un tiers qui peut être compromise, contrainte par un gouvernement, ou simplement défaillir. DigiNotar l’a prouvé en 2011. Et aujourd’hui, Let’s Encrypt seul détient environ 60 % de part de marché pour les certificats TLS — une institution américaine unique qui est un point unique de défaillance structurel pour la sécurité du transport Internet.

Les Verifiable Credentials résolvent ce problème différemment. Plutôt que de router la confiance par une autorité centrale, chaque entité maintient sa propre identité cryptographique. La vérification est directe : le vérificateur lit le matériel de clé publique de l’émetteur et vérifie la signature. Aucun intermédiaire, aucune négociation bilatérale, aucun point unique de défaillance dont la compromission invaliderait tout ce qu’il a jamais signé.

Divulgation sélective : afficher uniquement ce qui est nécessaire

Une credential est émise une fois et présentée plusieurs fois. Mais présenter une credential ne signifie pas partager tout ce qu’elle contient.

Une pharmacie doit savoir qu’un prescripteur détient une inscription professionnelle valide. Elle n’a pas besoin de l’employeur du prescripteur, de sa date de graduation, ou de son dossier de formation continue. La divulgation sélective signifie que le titulaire partage uniquement les attributs que le vérificateur demande — et le vérificateur ne confirme que ce qu’il a demandé.

Ce n’est pas une fonctionnalité de confidentialité ajoutée après coup. C’est une propriété architecturale du format de credential lui-même. Les implications pour la conformité sont significatives : dans toute juridiction avec des exigences de minimisation des données — RGPD, Loi fédérale sur la protection des données suisse, HIPAA — le modèle de credential est structurellement aligné avec la loi plutôt que de la combattre.

De la spécification à la production

Les Verifiable Credentials ne sont pas un concept de tableau blanc en attente de quelqu’un pour les construire. Elles sont en production.

Dans le secteur suisse de la santé, SEAL — le point de départ de la couche de communication de Vereign sur Stargate — porte plus de 800 000 messages chiffrés par mois entre plus de 30 000 pratiques médicales. Chaque message traité par cette infrastructure porte des assertions vérifiables concernant l’identité du sender et l’autorisation professionnelle. La partie réceptrice — un système de dossiers hospitaliers, une clinique de spécialistes, une pharmacie — vérifie ces assertions indépendamment. Aucun registre central interrogé. Aucun intermédiaire de confiance consulté.

L’architecture de confiance sous-jacente utilise Decentralized Key Management (DKMS) — un principe de conception où chaque entité maintient son propre identifiant cryptographique ancré à un journal d’événements de clé immuable. Pensez-y comme placer l’Autorité de Certification à la périphérie : chaque organisation devient son propre ancre de confiance, et n’importe quel homologue peut vérifier cette confiance en lisant l’enregistrement cryptographique directement. Aucune Autorité de Certification partagée requise. Aucune négociation bilatérale. Aucun point unique de défaillance.

La gestion des clés est conçue pour la résilience opérationnelle : si une clé est compromise, l’entité bascule vers des clés de remplacement pré-engagées sans modifier son identifiant. La relation de confiance survit à la compromission des clés — quelque chose que les systèmes de certificats traditionnels ne peuvent pas faire sans rééditer chaque credential de zéro.

Ce qui rend une Credential « Verifiable »

Le mot effectue un travail technique spécifique. Une credential est vérifiable quand trois conditions sont réunies :

  1. Vérification de la signature. La signature cryptographique de l’émetteur peut être confirmée par rapport à une clé publique que le vérificateur fait confiance ou peut découvrir par un processus de résolution de confiance
  2. Preuve de falsification. Toute modification de la credential après émission brise la signature — le vérificateur la détecte immédiatement
  3. Vérification de la révocation. L’émetteur peut publier des informations de révocation sans révéler quelles credentials spécifiques ont été révoquées, protégeant la vie privée du titulaire même dans le processus de révocation

Ces trois propriétés sont ce qui sépare une Verifiable Credential d’une assertion auto-déclarée. N’importe qui peut mettre un titre de poste dans une signature électronique. Seul un émetteur de confiance peut produire une credential signée, irrévocable, qu’un tiers peut indépendamment confirmer — et que le titulaire contrôle.

La vraie question

Le modèle hérité d’identité numérique — un fournisseur détient vos données, vous vous authentifiez auprès de ce fournisseur — a servi adéquatement l’internet primitif. Il ne sert pas les environnements où plusieurs institutions doivent faire confiance aux assertions les unes des autres concernant les personnes, les rôles, et les autorisations sans abandonner le contrôle à un intermédiaire partagé.

Les Verifiable Credentials représentent une architecture différente. Les assertions d’identité sont détenues par le sujet. Émises par les autorités appropriées. Vérifiables par n’importe quelle partie qui fait confiance à ces autorités. Sans intermédiaires. Sans goulots d’étranglement centraux. Sans les implications de confidentialité des magasins de données centralisés.

La technologie est déployée. Les standards mûrissent. Les chiffres de production augmentent. La question pour toute organisation réglementée n’est plus de savoir si les Verifiable Credentials fonctionnent — mais ce qui arrive à ceux qui attendent tandis que leurs homologues construisent une infrastructure de confiance qui délivre réellement une preuve cryptographique au lieu de demander à tout le monde de simplement les croire sur parole.

Continuer la lecture

Comment la confiance distribuée fonctionne dans les secteurs réglementés
Uncategorized

Comment la confiance distribuée fonctionne dans les secteurs réglementés

Regulated industries share a structural problem: the organisations that need to trust each other do not share infrastructure. A hospital and a pharmacy. A bank and a regulator. A manufacturer and a customs authority. Each operates within its own security perimeter, with its own identity systems, its own compliance requirements, and its own chain of […]

Lire la suite →
Pourquoi la santé a besoin d’une nouvelle couche de confiance
Uncategorized

Pourquoi la santé a besoin d’une nouvelle couche de confiance

Il existe une expérience de pensée en philosophie que l’on appelle le bateau de Thésée. Si l’on remplace chaque planche d’un navire en bois, une par une, s’agit-il toujours du même navire ? L’informatique de santé mène sa propre version de cette expérience depuis trois décennies — remplaçant les composants analogiques par des composants numériques, […]

Lire la suite →

Une communication vérifiée — déployée, pas seulement décrite.

L'infrastructure de confiance de Vereign est opérationnelle dans l'ensemble du système de santé suisse. Réservez une revue d'architecture de 30 minutes pour définir ce que signifie une communication souveraine pour votre organisation.

Réserver une revue d'architecture
Protection des données suisse Conforme au RGPD Open Source AGPLv3+ Hébergement suisse