Dans notre article précédent, nous imaginions un monde numérique où la confiance n’est plus un luxe, mais une partie intégrante de l’Internet, une couche de confiance présente au cœur de chaque interaction. Toutefois, une vision ne suffit pas pour sécuriser une organisation ou une plateforme. Pour transformer cette vision en réalité, il nous faut examiner avec rigueur les rouages techniques et organisationnels à l’œuvre pour métamorphoser l’Internet actuel sans état en un réseau résilient, vérifiable et sécurisé dès la conception.

Nous avons préparé une analyse architecturale approfondie d’un réseau sécurisé de ce type, qui classe chaque acteur du numérique (être humain, appareil, service) et attribue un rôle clair à chacun au sein d’un écosystème fondé sur le principe d’identité vérifiable. Rendre l’Internet plus sûr s’apparente à sécuriser une maison : on peut protéger seulement les objets de valeur, des pièces précises ou toute la structure. L’architecture présentée ici se concentre sur la sécurité de « la maison tout entière » (le réseau sous-jacent) pour que chaque « pièce » soit plus sûre par défaut.

Une image qui se précise

Avant d’aborder l’architecture en question, il faut énoncer une réalité préoccupante sur le marché : les mises en œuvre de bout en bout pleinement intégrées de ce modèle n’en sont qu’à leurs débuts. Ce n’est donc pas qu’une question d’intention, mais bien d’échelle, d’interopérabilité, de contraintes des anciens systèmes et de complexité de l’infrastructure des communications globales.

Des parties de ce modèle existent déjà. Apple et Google ont prouvé ce qu’il est possible de faire avec l’authentification des utilisateurs et utilisatrices en introduisant les clés d’accès et les identifiants liés à leur plateforme (Apple en 2023 et Google en 2022). Des fournisseurs de télécommunications (tels que Bell, Rogers, AT&T et Telstra) ont continué à renforcer le contrôle de l’authentification sur les appareils, de l’identité par carte SIM et de l’accès au réseau à l’aide de mécanismes comme les cadres d’authentification EAP-TLS et 5G (3GPP TS 33.501, GSMA, 2023).

Le défi consiste à intégrer ces avancées technologiques à une chaîne de confiance continue et unique, où chaque maillon fait l’objet d’une vérification cryptographique au-delà des frontières de l’organisation et du réseau. La confiance n’est pas une simple chaîne : c’est une structure porteuse. Si un seul élément essentiel à l’ensemble ne peut pas être vérifié, il devient difficile de maintenir l’assurance de bout en bout.

Ce défi est exacerbé par les fondements mêmes de l’Internet. Plusieurs de ses protocoles (p. ex., IP, SIP et SMTP) ont été conçus à une époque qui privilégiait l’accessibilité et la résilience, au détriment de l’identité explicite et de l’état des composants. Les systèmes modernes doivent donc créer des couches d’identité, d’attestation et d’application des politiques à ces protocoles, qui n’ont pas été pensés pour résister aux menaces auxquelles nous faisons face aujourd’hui. Cette tension entre une conception ancienne et les attentes en matière de sécurité est un thème récurrent dans toutes les discussions sérieuses sur la sécurité de l’Internet.

Classification de la confiance

L’architecture que nous proposons hiérarchise l’Internet en fonction du niveau d’unité de confiance. Chaque couche se construit sur la base des garanties vérifiables fournies par la couche précédente. Au cœur de ce modèle se trouve une pile simple, partant de l’utilisateur ou de l’utilisatrice et se prolongeant jusqu’aux services dont il ou elle se sert. Chaque couche joue son rôle pour transformer le vague concept d’identité en un fait vérifiable.

1. L’utilisateur ou l’utilisatrice : l’identité humaine comme point d’ancrage

Chaque interaction sécurisée commence par une personne. Au lieu de se fier à des mots de passe fragiles, largement réutilisés et souvent ciblés par les tentatives d’hameçonnage (NIST SP 800-63B), les utilisateurs et utilisatrices s’authentifient de plus en plus à l’aide de portefeuilles d’identifiants vérifiables (IV) et de clés d’accès FIDO2. Ces mécanismes sont aujourd’hui largement utilisés par Apple, Google et Microsoft (alliance FIDO, 2022).

Mais à l’heure actuelle, la plupart des utilisateurs et utilisatrices dépendent encore de fournisseurs d’identité d’entreprise ou d’identifiants par carte SIM. Des modèles plus robustes émergent : des identifiants décentralisés (DID), qui sont liés de manière cryptographique à un individu et se résolvent sans dépendre d’une instance centrale unique (W3C DID Core, 2022). Ces approches jettent les bases d’une identité tournée vers l’utilisateur ou l’utilisatrice, applicable de manière cohérente, quel que soit le service ou le réseau visé.

2. L’appareil : l’agent matériel fiable

Même après avoir fait l’objet d’une vérification, la fiabilité d’un utilisateur ou d’une utilisatrice est limitée par celle de son appareil, lequel doit démontrer son intégrité. Le matériel moderne compte de plus en plus d’enclaves sécurisées, comme des modules de plateforme sécurisée (TPM) et des environnements d’exécution de confiance (TEE). Plusieurs de ces enclaves intègrent le principe d’attestation reposant sur un élément matériel, qui produit un « certificat de santé numérique » indiquant si l’appareil a été ou non compromis (TCG, 2021).

Même si ces capacités sont de plus en plus adoptées, l’authentification logicielle demeure une pratique courante dans plusieurs environnements. Cela les expose aux logiciels malveillants, aux programmes malveillants furtifs et aux compromissions de la chaîne d’approvisionnement (ENISA, 2023). Pour que la fiabilité des appareils soit vérifiable par défaut, il faut absolument combler cet écart.

3. L’accès au réseau : la première ligne

L’admission au réseau est le premier point de contrôle opérationnel : seule la connexion des appareils authentifiés doit être autorisée. Les fournisseurs de télécommunications penchent résolument de ce côté en appliquant des cadres d’authentification par carte SIM, comme EAP-AKA dans les systèmes 3GPP et EAP-TLS pour des réseaux privés et d’entreprise (3GPP TS 33.501; GSMA, 2023).

Ces cadres s’inspirent de contrôles réels connus, comme présenter une carte d’embarquement ou confirmer son identité par vérification biométrique avant d’entrer dans une zone sécurisée. En confirmant son identité avant d’accéder au réseau, on renforce l’assurance du système tout au long de la session de connexion.

4. Les politiques et passerelles : la tour de contrôle

Une fois à l’intérieur de la zone sécurisée, le trafic passe par la passerelle d’identité et d’attestation, qui joue le rôle de couche de contrôle du système. Cette passerelle applique des décisions découlant des politiques en vigueur en s’appuyant sur :

  • un moteur de politique qui définit les règles d’accès en fonction des autorisations et du contexte;
  • un outil de résolution des DID qui compare les identités aux entrées de registres infalsifiables;
  • des services d’attestation qui confirment l’intégrité des appareils et des charges de travail.

L’authentification mutuelle, dont le concept est semblable au protocole TLS mutuel (mTLS), est la pierre angulaire de ce modèle de vérification, même si le protocole varie en fonction des couches (RFC 8705).

Exemples d’utilisation

L’utilité d’une telle architecture à haut niveau d’assurance est évidente quand on l’applique à des problèmes de la vie quotidienne.

Les institutions financières perdent des milliards chaque année à cause de l’usurpation d’identité et du piratage psychologique (FBI IC3, 2023). Des pirates imitent des numéros de téléphone officiels et il est plus difficile pour les clients et clientes de détecter les communications frauduleuses. Au sein d’un réseau à haut niveau d’assurance, l’appel d’une banque intègre une identité cryptographique et un sceau reposant sur un élément matériel. Si un fraudeur tente d’usurper l’identité de l’appel, la passerelle détecte l’absence des identifiants requis ou valides et met fin à la communication avant qu’elle atteigne le client ou la cliente, qui n’a ainsi plus à assumer le rôle de dernière ligne de défense.

Dans le secteur des soins de santé, l’intégrité des données est intrinsèquement liée à la sécurité des patients et patientes. Que ce soit un moniteur cardiaque ou un système d’IRM, chaque dispositif médical doit être un agent matériel fiable au sein du réseau. Si un dispositif montre des signes d’altération, le service d’attestation à distance (RAS) peut l’isoler, conformément à la politique en place (FDA, 2023). On obtient ainsi un environnement clinique où l’authenticité des données est vérifiée à la source.

Les composants ouverts de la chaîne de confiance

En dépit des progrès déjà réalisés, plusieurs composants ne sont pas encore intégrés uniformément aux écosystèmes d’identité et de réseau :

  • l’intégration plus poussée d’identités par carte SIM physique ou embarquée (eSIM) avec des cadres de confiance plus larges;
  • des modèles de fiabilité uniforme englobant les environnements d’entreprise Active Directory;
  • des flux OAuth d’API sécurisés liés à l’identité (OAuth 2.1, RFC 9449);
  • l’utilisation systématique, imposée au niveau du réseau, de certificats cryptographiques pour les appareils connectés (IdO);
  • l’application plus stricte des mécanismes d’identité aux frontières du réseau, y compris pour les applications hors du contrôle direct des fournisseurs de services Internet.

Tant que ces composants ne seront pas solidement en place, la structure de fiabilité restera fragmentée.

Notre avis

L’un des plus grands défis de la prochaine décennie sera d’arrêter d’espérer et de commencer à faire ses preuves. Comme les progrès se réalisent bien souvent en silos, il faut chercher à tirer le plus de valeur possible de l’intégration de ces composants de bout en bout.

Les fournisseurs de télécommunications ont un rôle unique et essentiel à jouer dans cette évolution, puisqu’ils gèrent la couche d’accès où se rejoignent identité, matériel et connectivité. Une conclusion s’impose : il faut abandonner l’idée que la sécurité est d’abord un centre de coûts et embrasser le concept d’identité vérifiée comme un élément essentiel de toute infrastructure. Une véritable assurance de bout en bout exige aussi que la confiance soit appliquée aux points d’échanges entre les fournisseurs, soit les frontières numériques où se rencontrent les réseaux.

La voie à suivre est claire. Aujourd’hui, nous ne pouvons qu’espérer que la personne qui nous appelle ou l’appareil que nous utilisons est fiable. Lorsque l’identité et l’intégrité seront inscrites dans l’ADN du réseau, nous entrerons dans un monde où le réseau peut le prouver. Voici l’avenir que nous devons bâtir ensemble : un environnement numérique où la confiance est à la base même de l’infrastructure, et non plus une fonctionnalité ajoutée.

Dans la 3e partie à venir : La vie dans un écosystème fiable nous passerons de l’architecture technique à l’aspect humain pour réfléchir à quoi pourrait ressembler la vie et le travail dans un réseau qui peut répondre de façon fiable à la question : qui se trouve réellement de l’autre côté?

Contactez-nous pour en savoir plus sur les services de sécurité de CGI.