Même si le nom de la société du duo Hugues Dorchy-Olivier Libon a changé (Elegio est une sorte de “spin-out” ou d’héritière de The eID Company qui s’est trouvée de nouveaux propriétaires), les deux associés continuent d’être actifs dans les solutions de vote dématérialisé sécurisé via recours à des identifiants électroniques certifiés.

L’e-ID (notre belle petite carte d’identité électronique) fut leur premier instrument et le reste dans certaines circonstances mais son mode d’utilisation reste parfois lourd, imposant de recourir à des lecteurs de carte dont la manipulation peut être contraignante – par exemple, dans un contexte mobile.

Voilà pourquoi Elegio a rajouté, ces derniers temps, une nouvelle corde à son arc: en l’occurrence, l’authentification via une fonctionnalité spécifique de la carte SIM des téléphones mobiles.

Coffre-fort personnel

Voici peu, s’appuyant sur ces nouvelles compétences, Elegio, basée à Wavre, a décroché la deuxième place lors d’un concours international de développement d’applis organisé par la GSM Association (GSMA).

Thème du concours: développer une application à finalité (potentiellement) commerciale exploitant la technique d’identification numérique sécurisée Mobile Connect.

Cette solution, basée sur la technologie open source OpenID Connect, permet à un smartphone de faire office de sésame et de garant de l’identité de l’utilisateur, lui autorisant un accès à un site. La “clé” en fait n’est pas le smartphone ou une quelconque appli qu’il hébergerait mais bien la carte SIM et, de manière plus précise encore (les cas de piratage de cartes SIM étant avérés), le module HSM (hardware security module).

Explications…

L’identité de l’utilisateur est validée et “provisionnée” dans la carte SIM par l’opérateur mobile (il y a évidemment toujours un risque de fausse déclaration d’identité lorsque l’usager achète son smartphone ou prend son abonnement chez un opérateur). L’opérateur agit donc comme le “tiers de confiance”, le seul à pouvoir certifier l’identité de l’utilisateur.

Olivier Libon: “La puce de la carte SIM garantit l’identité de l’utilisateur. Elle offre le même niveau de certification légale que la puce d’une carte d’identité électronique mais élimine le problème du lecteur de carte.”

Le module HSM, lui, fait office de coffre-fort. Activé exclusivement par l’opérateur, ce module matériel miniaturisé est incorporé à la puce d’une carte SIM et a pour mission de générer, stocker et protéger des clés cryptographiques qui ne quittent jamais l’enceinte du HSM.

“Même si le smartphone devait être infecté par un virus, ce dernier ne pourrait jamais pénétrer dans l’espace sécurisé”, affirme Olivier Libon, CTO d’Egegio. “La transaction qui s’instaure communique avec le module HSM qui procède au calcul.”

La transaction s’effectuera, selon le cas, entièrement et uniquement via le smartphone ou en duo avec une utilisation sur ordinateur classique. Dans ce dernier cas, le smartphone et le processus Mobile Connect servent à authentifier la transaction entre l’ordinateur et le site destinataire.

“La sécurité est renforcée par le fait qu’on utilise deux canaux de communications”, souligne Olivier Libon. “L’appli communique via Internet tandis que le processus de validation de l’identité de l’utilisateur se fait au départ de la carte SIM, c’est-à-dire via le réseau GSM. Toute tentative de piratage impliquerait que le “man in the middle” devrait se positionner sur les deux canaux.” Pas totalement impossible mais nettement plus difficile…

A ce mécanisme de sécurité (via calcul de la clé, spécifique à l’utilisateur, dans le HSM) s’ajoutera éventuellement d’autres processus d’authentification, selon le degré de sensibilité du contexte et le degré de sécurité que voudra par exemple imposer le site marchand ou le site sur lequel se déroulera un vote.

Le site pourra par exemple exiger de l’utilisateur qu’il “consente” à la transaction en introduisant un identifiant. “Commander une simple place de concert se fera sans doute d’un simple clic. Dans le cas d’un service bancaire ou d’une élection, il faudra probablement un mot de passe et un code PIN”, explique Olivier Libon.

Identité

Dernier volet de notre explication sur le processus mis en oeuvre via Mobile Connect: la “granularité” d’identification de l’utilisateur – qu’il agisse comme électeur, consommateur, internaute…

L’un des avantages qu’Elegio met en avant en parlant de Mobile Connect est la possibilité d’imposer des balises et conditions à l’émission d’un vote. L’organisateur d’un concours peut par exemple exiger que seules des personnes d’une certaine tranche d’âge puissent participer. Dans le cas d’une consultation populaire ou d’une enquête publique, la zone géographique peut être limitée à un périmètre plus ou moins restreint. Etc. etc.

Hugues Dorchy (Elegio): “Nous nous positionnons comme un prestataire de services, ajoutant certaines couches au processus d’authentification. Qu’il s’agisse d’attributs d’identité ou d’une signature électronique.”

Mais comment vérifier que les votants répondent à ces conditions dans la mesure où l’identification d’un utilisateur, via sa carte SIM, se limite à certains paramètres basiques?

“L’authentification est prise en charge par la carte SIM [via calcul et vérification de la clé unique]. L’identification proprement dite, elle, inclut des paramètres tels que l’âge, l’adresse, le code postal… toutes données qui sont contenues dans un fichier du donneur d’ordre”, explique Olivier Libon.

“Elegio”, ajoute Hugues Dorchy, “servira d’intermédiaire pour la mise en corrélation entre le numéro de registre national et la base de données – celle de la commune, du site commercial, de l’organisateur d’un concours…

Notre rôle et notre valeur ajoutée résident donc dans le fait que nous nous positionnons comme un prestataire de services, ajoutant certaines couches au processus d’authentification. Qu’il s’agisse d’attributs d’identité ou d’une signature électronique.”

Sésame, sans doute, mais il manque encore le cadenas belge

Un peu partout dans le monde, les opérateurs mobiles ont déjà adopté la technologie Mobile Connect. Principalement dans des pays très en avance en termes de solutions mobiles. C’est par exemple le cas en Corée mais aussi dans certains pays aux économies largement moins évoluées mais où le mobile est devenu un support essentiel de communication (Amérique du Sud, Sud-Est asiatique…). En Europe, la technologie Mobile Connect est d’ores et déjà exploitable en France (Orange), au Royaume-Uni (Vodafone, O2), en Espagne (Telefonica, Orange, Vodafone), en Italie (TIM), en Finlande (Telia, DNA, Elisa). L’Allemagne (via Telefonica) devrait suivre à court terme.

Mais pas encore en Belgique. Des choses se préparent, dit-on, avec possible déploiement d’ici la fin de l’année, mais les opérateurs se font très discrets.

Cibles

La cible que vise Elegio avec ce genre de solution de vote électronique utilisant la solution Mobile Connect est celle de “toute élection ou scrutin, à enjeu légal, qui impose un vote sérieux, sécurisé, certifié, où il s’agit par exemple de désigner des personnes devant assumer des fonctions à responsabilité”, indique Olivier Libon.

“Ce que nous voulons favoriser, c’est avant tout une participation plus active des employés, des citoyens, des consommateurs dans des décisions qui les concernent”, déclare Hughes Dorchy.

Il y va, selon lui, de l’avenir de notre vie en société. Il évoque par exemple la perte de confiance du citoyen vis-à-vis de la politique (ou des politiques) avec, comme corollaire, la montée en puissance du populisme. Mais il pense aussi à la mondialisation qui “prive le niveau local, voire national, du pouvoir de décision, chose qu’à terme, les populations ne supporteront plus… Si on ne rend pas la parole aux gens, on va tout droit au clash.”

L’avenir de son appli, Elegio le voit également du côté des responsables publics locaux (ou moins locaux). “Nous voulons par exemple pouvoir proposer aux communes un outil d’enquête publique dématérialisée, la possibilité pour elles d’organiser des consultations populaires sans devoir aménager des isoloirs ou recourir à l’infrastructure onéreuse que procure le fédéral.”

Toutefois, certains domaines d’application demeurent, à court ou plus long terme, hors de portée pour une solution basée sur Mobile Connect. Hormis l’absence de support par les opérateurs mobiles actifs sur le marché belge, les habitudes et, parfois, les réglementations empêchent certaines portes de s’ouvrir.

Le monde des élections sociales, par exemple, continuera sans doute encore “un certain temps” de recourir à un vote “matérialisé”, avec urnes et isoloirs ou, en tout cas, processus classique. “Le secteur demeure très conservateur, attaché à un certain cérémonial…”

Autre porte qui ne s’ouvrira pas à brève échéance: celui des élections – communales, régionales ou fédérales. Pour de multiples raisons tenant tout à la fois à la réglementation, à la révision des procédures, et à un certain contrat d’exclusivité passé par l’Etat belge avec SmartMatic (contrat qui vient à échéance en 2021).

En termes d’élections (politiques), il est un terrain où Elegio estime que sa solution serait particulièrement utile. Il concerne le vote des Belges de l’étranger. “Les procédures sont encore excessivement lourdes, décourageant nombre de nos compatriotes d’émettre un vote.

A un échelon plus modeste, Elegio ne dispose pas encore, dans l’état actuel des choses, d’une voie royale vers des processus de consultation populaire, du moins au niveau communal. Mais cette fois en raison d’une disposition légale: interdiction d’organiser une consultation populaire, à ce niveau, dans un délais de 16 mois avant les prochaines élections (pour rappel, elles se dérouleront en octobre 2018).

“Par contre, rien n’empêche les communes d’organiser des enquêtes publiques…” Une piste qui, dans un avenir plus immédiat, sera explorée par Elegio.

En dehors du monde politique et civique, d’autres cibles, commerciales cette fois, sont possibles – et commencent dès à présent à être explorées: associations et fédérations sportives (pour l’élection de leurs organes internes), concours en tous genres, participation citoyenne dans le cadre du phénomène des “smart cities”, processus de nominations au sein de structures d’enseignement….

Et l’international? La société y pense bien entendu mais ses moyens limités ne lui donnent pas forcément les moyens nécessaires pour démarcher des utilisateurs potentiels. Elle tente donc pour l’instant de trouver des partenaires ayant, si possible, un profil d’“opérateur industriel, ayant une présence internationale et un lien direct avec les processus électoraux. Un tel opérateur pourrait nous donner un petit coup de boost très utile…”, estime Olivier Libon.