La blockchain, la finance et notre identité
Le vaste camp de réfugiés de Mae La au cœur des jungles du nord-ouest de la Thaïlande semble un endroit peu probable pour trouver des pionniers d’une nouvelle technologie d’identité numérique.
La première fois que Larry Dohrs a visité le camp, le vétéran défenseur des réfugiés, avec sa moustache blanche emblématique et ses lunettes surdimensionnées, a été frappé par ses conditions primitives et sa décrépitude « dickensienne ». Situé à 8 km à l’ouest de la frontière birmane, à l’ombre des majestueuses montagnes Dawna, le camp était encerclé de barbelés. Des structures délabrées en bambou et en chaume à deux étages se penchaient de manière précaire au-dessus des ruelles boueuses et sinueuses, faisant équipe avec des gens, principalement des Karens qui avaient fui les violentes persécutions de leur gouvernement.
L’impermanence de l’existence des réfugiés elle-même, ainsi que le poids qu’elle semblait peser sur les résidents du camp, ont attiré l’attention de Dohrs sur la question improbable de l’identité numérique. De nombreux réfugiés ont été réinstallés dans de nouveaux foyers dans d’autres pays, mais certains des 35 000 résidents restants des camps y avait vécu pendant trois décennies. Ils voyaient les rations alimentaires diminuer et l’argent pour les services sociaux se tarir alors que le financement était détourné vers des crises humanitaires apparemment plus aiguës ailleurs. Il y avait ceux qui envisageaient de quitter Mae La par eux-mêmes, même sans aucun endroit où aller. Mais pour la plupart d’entre eux, l’existence hors du camp leur paraissait depuis longtemps inimaginable.
La plupart des réfugiés n’avaient aucune forme d’identification légale. Quitter les barbelés de leur gare de passage dans la jungle reviendrait à disparaître. Les organisations non gouvernementales et les agences d’aide internationale qui leur ont fourni pendant des décennies de la nourriture, des soins de santé, une éducation et une formation professionnelle resteraient en arrière, de même que tout dossier sur les antécédents médicaux, les résultats scolaires et les diplômes des réfugiés.
Les résidents apatrides et sans papier de Mae La vivaient dans des limbes bureaucratiques, où la seule preuve de qui ils étaient et de ce qu’ils avaient fait existait dans une série de bases de données exclusives à l’extérieur leur propre contrôle. « Leur existence à l’intérieur du camp est établie, et leur existence à l’extérieur du camp ne l’est pas », dit Dohrs. « Il y a un manque de liberté. Et une incertitude qui les ronge vraiment et crée le désespoir. »
C’est l’une des raisons pour lesquelles, après s’être concentré pendant des années sur les questions de rapatriement des réfugiés et des droits de l’homme, il a signé pour diriger les opérations en Asie du Sud-Est pour iRespond, une ONG qui aide les réfugiés et autres à établir leur identité à l’aide de données biométriques. L’année dernière, lui et ses collègues ont choisi Mae La comme site d’un ambitieux programme pilote qui a attiré l’attention – et le financement – de certains des principaux défenseurs de la technologie blockchain très médiatisée mais toujours expérimentale.
Au lieu de stocker les informations d’identité des réfugiés sur un seul serveur centralisé, hébergé dans un seul endroit et contrôlé par une seule ONG ou entreprise à l’intérieur du camp, la nouvelle identité de chaque réfugié serait accessible simplement en se connectant à la blockchain. Une sorte de grand livre distribué, la chaîne se compose de plusieurs copies du même corpus d’enregistrements mis à jour en permanence et hébergés sur plus de 60 « nœuds » informatiques interconnectés situés sur tous les continents, à l’exception de l’Antarctique. Les informations seront cryptées et protégées biométriquement pour empêcher l’accès à quiconque, à l’exception des réfugiés eux-mêmes.
De nombreux bailleurs de fonds – qui font partie de ce qu’on appelle l’alliance ID2020, qui comprend Accenture, Microsoft et la Fondation Rockefeller – espèrent que le projet Mae La pourrait éventuellement servir de modèle pour les millions d’apatrides dans le monde, ainsi que les citoyens des pays développés. et tout le monde. Comme l’attestent les récentes révélations sur Facebook et Google, même les élites privilégiées sont impuissantes à contrôler leurs informations dans le domaine numérique, où les identités existent hors de notre contrôle, sur les serveurs de différentes agences gouvernementales, entreprises technologiques et je ne sais quoi d’autres organisations. l’ensemble des données collectées et conservées à leur guise, à leur guise.
Tout ce que nous faisons sur le Internet laisse une trace de données. Chaque fois que nous nous inscrivons pour une nouvelle entreprise de câblodistribution, une entreprise de télécommunications, une entreprise de covoiturage, une banque ou un organisme gouvernemental, nous devons créer un nom d’utilisateur et un mot de passe différents et fournir des informations personnelles telles que des numéros de carte de crédit, des adresses de domicile. , des numéros de téléphone et même des numéros de sécurité sociale. Toutes ces informations, hébergées sur un serveur, peuvent être vendues sur les marchés de données.
Plus important encore, chacun de ces serveurs devient alors un pot de miel, où les informations personnelles restent vulnérables aux pirates. L’automne dernier, sur une seule période de six jours, Marriott International, Dunkin’ et Quora ont annoncé qu’ils avaient été piratés, exposant les informations privées des clients à des acteurs inconnus. La violation de Marriott était la deuxième plus importante de tous les temps (après le piratage de Yahoo en 2016, impliquant 3 milliards de comptes), affectant jusqu’à 500 millions de clients qui avaient utilisé la base de données de réservation d’invités Starwood de l’entreprise. Le piratage le plus destructeur était peut-être le Septembre 2017 La violation de données d’Equifax, qui, selon les experts, a exposé suffisamment de données sensibles pour exposer près de 150 millions d’Américains à un vol d’identité généralisé. Pour déterminer les cotes de crédit, le bureau avait exploité un large éventail d’informations personnelles provenant d’autres sources en ligne, souvent sans le consentement direct ou la connaissance des sujets, et les avait agrégées dans des fichiers électroniques détaillés sur son serveur, créant ainsi le pot de miel ultime pour les voleurs d’identité.
C’est un nouveau type de crise d’identité, unique à l’ère d’Internet. « En ce moment, beaucoup de gens se sentent impuissants », déclare Adam Gunther, directeur de l’identité de confiance blockchain chez IBM. « ‘Tout le monde a mes données. Je n’ai aucun contrôle. J’ai abandonné.' »
Des milliers de réfugiés dans le camp de Mae La en Thaïlande, près de la frontière birmane, y vivent depuis des décennies et veulent maintenant partirPaula Bronstein/Getty
Il n’est pas nécessaire que ce soit ainsi, soutient Gunther. Bien que Facebook, Google et Amazon aient des modèles commerciaux basés sur la collecte de nos données personnelles, le vaste La majorité des entreprises commerciales, dit-il, préféreraient ne pas conserver ce genre d’informations sur leurs serveurs, préférant une solution qui les déchargerait de la responsabilité et nous permettrait d’une manière ou d’une autre de prendre nos données avec nous. Pour résoudre ce problème insoluble, Gunther, Dohrs et d’autres élaborent une manière fondamentalement nouvelle d’établir une identité numérique.
Enjeux élevés et urgence
Dohrs est le premier à admettre qu’au départ, à chaque fois que le sujet de la technologie au cœur du projet Mae La revenait, ses yeux étaient vitreux. « Je connaissais des personnes impliquées dans la crypto-monnaie, et c’était vraiment difficile pour moi de comprendre », dit-il.
Comme beaucoup, Dohrs a entendu parler de la blockchain pour la première fois dans le contexte du bitcoin, la monnaie numérique qui a développé un culte lorsqu’elle a été introduite en 2009 par une figure mystérieuse connue sous le pseudonyme de Satoshi Nakamoto. Mais finalement Dohrs est venu voir son applicabilité à son travail en assistant à un forum parrainé par l’Agence américaine pour l’international Développement sur d’autres cas d’utilisation de la technologie. Là, il apprit que la plus grande invention de Nakamoto n’était pas son concept de monnaie numérique ; il s’agissait du système de stockage de données distribué et non piratable qu’il avait créé pour savoir qui en était propriétaire.
La percée de Nakamoto était un logiciel qui a permis à des milliers de personnes de servir simultanément de dépositaires du même ensemble d’enregistrements mis à jour en permanence : la blockchain. À l’aide de son système, l’heure et l’origine de chaque transfert et transaction de bitcoins ont été enregistrées et révisées en même temps sur une multitude d’ordinateurs gérés indépendamment. Une majorité de ces ordinateurs devaient valider tout nouveau « bloc » de transactions pour le faire tenir (d’où le terme blockchain). Pour ces raisons, il était pratiquement impossible pour quiconque de le pirater, de le tromper ou de le manipuler. Et comme le grand livre n’était pas confiné ou dépendant d’un seul serveur, mais de nombreux « nœuds » indépendants, aucune entité ne le possédait. Il était contrôlé par tout le monde et personne en même temps temps.
Quelques années seulement après l’invention de Nakamoto, d’autres programmeurs avaient repris son concept et construit de nouvelles chaînes de blocs encore plus sophistiquées, des systèmes pouvant être utilisés pour enregistrer toute transaction ou tout ensemble d’enregistrements, comme un « contrat intelligent » auto-exécutable entre deux parties à échanger 1 500 $ contre une once d’or à une date précise dans six mois.
Un jeton représentant le bitcoin, basé sur la même technologie de blockchain que Dohrs espère aider à réinstaller les réfugiés.Matthew Horwood/Getty
Presque dès le début, les partisans de la technologie ont reconnu le potentiel que ces espaces de stockage virtuels neutres pourraient avoir pour l’identité numérique. Si les informations étaient correctement cryptées, la blockchain pourrait nous libérer de la tyrannie de ceux qui possèdent les serveurs sur lesquels nous comptons pour utiliser Internet et restaurer la confidentialité que beaucoup se plaignent d’avoir perdue, tout en nous permettant un meilleur contrôle sur les nombreux enregistrements qui documenter nos histoires. Et depuis, des groupes se réunissent autour du globe pour discuter de la manière dont nous pourrions tirer parti de ce nouvel Internet véritablement communautaire, de la manière dont ce type d’« identité auto-souveraine » pourrait fonctionner et de la façon de le mettre en œuvre.
L’urgence et les enjeux auxquels sont confrontés les réfugiés de Mae La et la population clairement définie en font un terrain d’essai idéal pour l’identité autosouveraine. La clé du projet est de relier les résidents à la blockchain en scannant leurs iris, garantissant ainsi que seuls les résidents eux-mêmes contrôlent qui peuvent avoir accès à leurs informations.
L’automne dernier, iRespond, en partenariat avec l’International Rescue Committee, a commencé à fournir des identités numériques sécurisées et cryptées aux quelque 35 000 résidents de Mae La bénéficiant des services de l’IRC. Lorsqu’un réfugié s’inscrit au programme, son iris est scanné et l’algorithme propriétaire d’iRespond convertit ensuite cette image unique en un numéro à 12 chiffres sans nom ni identifiant personnel.
Dans un premier temps, ces identités numériques protégées par cryptographie donneront au l’accès des réfugiés à des soins de santé améliorés et cohérents dans le camp grâce à des dossiers médicaux électroniques précis et sécurisés. Les enregistrements, stockés sur le cloud ou dans une base de données connectée à Internet, seront liés à leur numéro introuvable à 12 chiffres hébergé sur la blockchain.
Mais plus tard, si les réfugiés se présentent dans un dispensaire participant ailleurs et souhaitent partager leurs dossiers avec leur nouveau soignant, tout ce qu’ils auront à faire est de fournir un consentement éclairé verbal et de permettre à un médecin d’effectuer un scanner de l’iris. La clinique pourra alors accéder à leurs dossiers en extrayant leurs numéros sur la blockchain. « La seule façon d’accéder à ces informations est d’avoir cet iris présent; il n’y a pas d’adresse, pas de nom, pas d’anniversaire, pas d’informations personnellement identifiables associées au numéro d’identification sur la blockchain », explique Scott Reid, directeur de l’exploitation d’iRespond.
Ce n’est que la première étape d’un effort qui vise à équiper l’ensemble de la population réfugiée du camp d’équipements sécurisés et portables des « portefeuilles numériques » qui contiendront non seulement leurs dossiers médicaux, mais aussi leurs diplômes et leurs diplômes professionnels, les antécédents de travail dans le camp et une myriade d’autres dossiers qui pourraient s’avérer essentiels pour quiconque souhaite établir une identité et commencer une nouvelle vie en dehors du camp.
Finalement, Dohrs et ses collaborateurs visent à offrir aux réfugiés un niveau de contrôle précis sur les informations personnelles partagées avec les autres. Lorsque les réfugiés sont interrogés par un médecin, un employeur ou un banquier, ils seront en mesure de décider quelles parties de leurs dossiers de santé, de leurs diplômes, de leurs antécédents professionnels ou même de leurs prêts ils souhaitent rendre visibles. Ce niveau de pouvoir discrétionnaire et granulaire en matière de confidentialité est en quelque sorte un Saint Graal pour les défenseurs de la blockchain.
Si le projet tient cette promesse, il pourrait contribuer à changer fondamentalement la façon dont chacun interagit avec les entreprises et les institutions gouvernementales du monde entier.
Partir de zéro
Rouven Heck est l’une des personnes qui essaient d’amener Mae Des solutions de type La au monde au sens large. Son intérêt pour l’identité numérique a été piqué en 2013, lorsque sa société, Deutsche Bank, l’a transféré d’Allemagne aux États-Unis. L’homme de 34 ans n’a pas pu louer un appartement à New York ; il ne pouvait pas obtenir un bail sans antécédents de crédit aux États-Unis. Sécuriser les cartes de crédit et un téléphone portable était tout aussi difficile, même avec un historique de crédit impeccable en Allemagne. Il n’y avait tout simplement aucun système de validation de ces informations d’identification aux États-Unis.
Comme beaucoup de ses amis européens, Heck a dû repartir de zéro. Son employeur lui a fourni un logement temporaire et l’a aidé à obtenir un numéro de sécurité sociale, afin qu’il puisse « construire une empreinte dans cet écosystème ». Ils lui ont également obtenu une carte de crédit en exploitant leur propre relation avec une banque nationale. Il a quand même fallu quatre mois pour établir suffisamment d’historique pour prendre un bail.
Un médecin britannique examine un enfant dans le camp de réfugiés de Mae La en 2012 en Thaïlande. Parce que les dossiers médicaux n’existent pas en dehors du camp, les réfugiés qui partent repartiraient de zéro.Paula Bronstein/Getty
Résoudre le problème de l’identité est devenu une obsession. Après avoir quitté la Deutsche Bank en avril 2016, Heck est allé travailler pour l’incubateur d’entreprises ConsenSys, basé à Brooklyn, New York, créé par l’un des cofondateurs d’Ethereum, une plate-forme de blockchain populaire, où Heck a lancé uPort. Le réseau d’identité auto-souveraine fonctionne sur des milliers d’ordinateurs à travers le monde, Keyliance fournissant l’épine dorsale technologique pour soutenir des dizaines de projets expérimentaux traitant de l’identité numérique portable.
Heck et d’autres pionniers affirment qu’un système d’identité auto-souverain sécurisé utiliserait idéalement la blockchain uniquement pour vérifier l’identité des individus et la légitimité du gouvernement ou des informations d’identification privées qu’ils présentent. Les informations d’identification elles-mêmes seraient stockées « hors chaîne » dans nos portefeuilles numériques. Cela donnerait à leurs propriétaires la possibilité de contrôler l’accès aux informations personnelles et aux informations d’identification fournies aux autres pour s’authentifier. transactions impliquant des dossiers de santé et d’éducation, des cartes de crédit, des antécédents professionnels, des permis de conduire et toute autre information. Un tel système rendrait nos données facilement disponibles lorsque nous nous déplaçons d’un pays ou d’une juridiction à un autre, ou lorsque nous changeons de fournisseur de téléphone portable ou d’Internet.
La manière précise dont les portefeuilles numériques fonctionneront dans le monde développé est encore en cours de définition. Cela variera probablement en fonction des utilisateurs de la blockchain. Les utilisateurs d’uPort auront probablement une « clé privée » qui peut être stockée sur leur téléphone ou ailleurs et peut être utilisée pour démontrer qu’ils sont le propriétaire légitime de leurs données. Les données elles-mêmes seraient stockées quelque part sur le cloud sous une forme cryptée qui ne pourrait pas être déchiffrée sans la clé privée, explique Heck. De même, les utilisateurs d’un autre réseau d’identité appelé Sovrin pourraient stocker des données personnelles dans n’importe quel nombre de zones protégées – fournies par ce que Phil Windley, président de la Fondation Sovrin à but non lucratif, appelle des « agents » – qui pourraient être accessible uniquement avec une clé privée. (Si un téléphone contenant une clé privée est perdu ou volé, un utilisateur peut le désactiver et en obtenir une nouvelle.)
« Quand vous allez au bar, ils n’ont besoin que de savoir que vous avez plus de 21 ans », explique Windley, dont la Fondation Sovrin supervise le réseau d’ordinateurs et de serveurs à 60 nœuds que le projet Mae La utilise à cette fin. « Ils n’ont pas besoin de connaître votre adresse ou votre date de naissance, votre statut de donneur d’organes et tout ce qui figure actuellement sur votre permis de conduire. En utilisant la blockchain et un portefeuille numérique, vous pouvez prouver votre âge ou votre identité sans révéler toutes ces autres informations personnelles sur votre permis de conduire. »
De même, ajoute-t-il, pour obtenir un prêt hypothécaire, vous ne devriez pas avoir besoin de fournir des mois de relevés bancaires ; vous devriez avoir la possibilité de confirmer simplement que vous avez un emploi rémunéré et que vous gagnez plus d’un certain montant par an. « Si nous ne protégeons pas la vie privée des individus avec une divulgation minimale, dit Windley, nous ne créons pas en fait un système qui met l’individu en contrôle. »
Un tel système pourrait remplacer les identifiants universels tels que les numéros de sécurité sociale par des données d’identification biométriques cryptées qui ne peuvent pas être volées ou falsifiées, ou utilisées par un gouvernement, ou agrégées avec d’autres données personnelles sans notre consentement par une société telle qu’Equifax. Cela pourrait également nous permettre d’unifier nos données numériques balkanisées sans avoir à sacrifier la vie privée, comme cela s’est produit avec les identifiants universels. « Ce qui se passe avec les identifiants universels en général, c’est qu’ils sont utilisés dans notre dos pour faire des corrélations que nous ne connaissons pas nécessairement », explique Windley. « Equifax, par exemple, peut créer un pointage de crédit en utilisant le numéro de sécurité sociale. Ensuite, ils ont un gros piratage, et les données de tout le monde sont perdues parce qu’ils ne font pas très attention. »
Il existe un « vrai sentiment de trahison autour des numéros de sécurité sociale et de la façon dont ils ont été mal gérés par les organisations », ajoute-t-il. « Cela résoudra ce problème et nous permettra de créer un système d’identité numérique qui ne devenir le meilleur système de surveillance au monde. »
Il est moins clair comment cette nouvelle architecture pourrait affecter les plaintes concernant les organisations avec des modèles commerciaux, comme celui de Facebook, basés sur la « monétisation » des données personnelles qu’elles collectent. Les défenseurs de la blockchain comme Windley, Heck et Gunther insistent sur le fait que dans un monde où l’identité souveraine devient la norme, il deviendra de plus en plus difficile d’amener les gens à accepter les conditions de ces services. De nouvelles lois seront probablement adoptées; Les autorités européennes ont commencé à mettre en œuvre des protections supplémentaires des données des consommateurs. Et des systèmes concurrents surgiront pour tenter d’offrir les mêmes types de services, tout en garantissant la confidentialité.
« C’est un problème universel », dit Heck, « et nous sommes sur la bonne voie pour créer quelque chose qui peut vraiment aider dans tous les contextes, à travers le monde. »