Dans le cadre de la série d’interviews GoCrypto, Mike Ermolaev s’est entretenu avec Arshad Noor, CTO de StrongKey. Fort de plus de 34 ans d’expérience en technologies de l’information, Arshad a consacré les 23 dernières années à résoudre des problèmes de protection des données en utilisant la cryptographie appliquée. Il a conçu et construit des infrastructures à clés publiques (PKI) – renforçant les défenses dans les secteurs bancaire, de la défense, des télécommunications, des produits pharmaceutiques, de la biotechnologie et du commerce électronique – des industries ayant particulièrement besoin d’une authentification et d’un chiffrement robustes. Notamment, Noor est l’auteur du premier système de gestion de clés symétriques open-source et a contribué à de nombreuses normes de sécurité.
Lors de l’entretien, Noor a partagé des idées sur les systèmes d’identité numérique mondiaux, en soulignant l’urgence de construire un système d’identité numérique mondial cohérent, tout en reconnaissant que seuls les protocoles de sécurité internationalement sanctionnés peuvent protéger nos vies de plus en plus numériques. Il a également parlé de la tokenisation de la société et a soutenu l’idée d’une monnaie numérique de banque centrale américaine (CBDC) de détail, un sujet sur lequel il s’est exprimé récemment. Cette conversation s’inscrit dans la continuité de la série d’interviews alimentée par GoMining, vous apportant des perspectives d’experts de premier plan dans le domaine de la cryptomonnaie et de la sécurité des données.
Contributions Pionnières de Noor à l’Identité Numérique et à la Protection des Données
Les innovations de Noor incluent StrongKey Sign-On (SKSO), une application web pour l’authentification forte des utilisateurs sans services SSO tiers, et StrongKey FIDO Server (SKFS), une solution open-source, certifiée FIDO, pour la gestion des identifiants FIDO, ainsi que PKI2FIDO, une application web permettant une authentification plus simple et sécurisé pour les entreprises et les agences gouvernementales. Avant de rejoindre StrongKey, Noor a travaillé pour des géants de l’industrie tels que Sun Microsystems, Citibank et BASF Corporation, consolidant sa réputation en tant qu’architecte de solutions IT expérimenté et constructeur mondial de PKI. Son parcours impressionnant et sa connaissance spécialisée font de lui une autorité incontournable en matière de protection des données et d’identité numérique, offrant des perspectives aiguës sur le potentiel transformateur de ces systèmes.
Source : Iiot-world.com
Les Normes Mondiales d’Identité Numérique Doivent Être Harmonisées
En parlant d’un système d’identité mondial, Noor a décrit sa structure prospective, en soulignant l’existence de multiples écosystèmes d’identité servant des besoins divers. Il a expliqué,
« Indubitablement, il y aura de nombreuses îles d’écosystèmes d’identité pour répondre à une variété de besoins. Des normes existent actuellement pour permettre le partage des attributs d’identité – avec attestation – afin qu’ils soient dignes de confiance à travers les frontières – les passeports en sont un exemple. »
Il a souligné que l’utilisation commerciale des attributs d’identité numérique nécessitera un cadre robuste accepté par les nations.
« Une fois qu’un tel cadre – et une fondation de confiance pour soutenir ce cadre – est établi, des schémas peuvent être créés par des écosystèmes divers pour permettre une utilisation transfrontalière. »
a ajouté Arshad Noor.
Il a également abordé les avantages et les défis associés à un système d’identité numérique mondial, mettant en avant le potentiel de l’augmentation du commerce électronique transfrontalier et de la concurrence. Noor a noté,
« Un avantage d’un cadre permettant de partager des identités à l’échelle mondiale est qu’il augmentera le commerce électronique transfrontalier ; bien qu’il augmentera également la concurrence pour les produits et services, tout le monde – sauf les non-compétitifs – en bénéficiera. »
Cependant, il a insisté sur la nécessité d’harmoniser les contrôles de sécurité et de confidentialité pour assurer la robustesse du système, à l’instar de l’harmonisation observée dans le commerce mondial.
« Au minimum, ce qui est nécessaire pour participer à un tel cadre est une base mondiale pour les contrôles de sécurité et de confidentialité. Il n’est pas logique d’avoir une norme comme le RGPD dans l’UE, alors que les États-Unis n’ont pas d’équivalent en matière de régulation. Des dizaines de nations dans le monde entier ont établi leurs propres versions uniques de règles de sécurité et de confidentialité ; tout comme le commerce mondial a nécessité l’harmonisation des règles régissant le commerce et la logistique, la sécurité des données et la confidentialité doivent être harmonisées de manière similaire à l’échelle mondiale. Cela implique que le groupe responsable de l’harmonisation doit avoir une représentation de chaque nation – avec des droits de vote égaux – pour garantir un succès à long terme. Bien que cela prendra du temps – et sera probablement désordonné au début – cela peut fonctionner. »
Défis de l’Authentification Sans Mot de Passe
Noor a mis en lumière les nombreux défis de la mise en œuvre de l’authentification sans mot de passe, en mettant l’accent sur plusieurs obstacles critiques : l’inertie des entreprises et des gouvernements, la complexité de l’intégration, la pensée de groupe dans la prise de décision, les investissements dans des projets technologiques échoués transformant l’IT en un « gouffre » financier, l’opportunité manquée avec les certificats numériques X.509, et l’accent actuel sur l’expérience utilisateur (UX) plutôt que sur la sécurité.
Inertie des Entreprises et des Gouvernements
L’authentification sans mot de passe rencontre des défis majeurs en raison de l’inaction des entreprises et des gouvernements, selon Noor. Il a remarqué,
« Les systèmes d’authentification pour traiter les systèmes distribués et les faiblesses des mots de passe ont été inventés depuis les années 80. Malheureusement, à mesure que les grandes institutions investissent dans chaque nouvelle ‘bibelot brillant’ qui apparaît, la complexité de l’intégration croît de façon exponentielle. »
Noor a expliqué que les investissements dans des projets technologiques échoués ont transformé l’IT en un « gouffre », poussant les cadres IT à parier leur carrière sur des projets qu’ils ne comprennent pas toujours, menant à une « mentalité de troupeau ».
Il a élaboré,
« 80 % du marché ne bougera pas tant qu’ils n’auront pas vu comment les premiers adopteurs s’en sortent et qu’il y a un ROI prouvé. Mais avec la complexité qui existe dans l’environnement actuel, mesurer un tel ROI est très difficile. Conduisant à l’inertie. »
Opportunités Manquées et Deuxième Chance avec FIDO
Il a également réfléchi à l’opportunité manquée à la fin des années 90 et au début des années 2000 d’introduire une authentification sans mot de passe avec les certificats numériques X.509, en notant,
« L’industrie a tué la ‘poule aux œufs d’or’ en sur-tarifant et en sous-livrant la PKI. »
Selon Noor, il y a une seconde chance avec FIDO mais certaines grandes entreprises technologiques se concentrent trop sur l’expérience utilisateur (UX) au lieu d’éduquer les consommateurs sur les besoins en matière de sécurité et l’adaptation des comportements. Il a déclaré,
« Le monde a maintenant une seconde chance avec FIDO ; mais encore une fois, certaines des plus grandes entreprises de l’industrie technologique gâchent cette opportunité en choisissant de se concentrer sur l’expérience utilisateur (UX) plutôt que sur l’enseignement aux consommateurs des besoins en matière de sécurité, et par conséquent, l’adaptation des comportements. »
La Transition vers l’Authentification Sans Mot de Passe est Essentielle, mais les Détails de Mise en Œuvre Comptent
En discutant de l’avenir de la PKI et de l’authentification sans mot de passe, Noor a dit,
« La PKI, FIDO, et l’authentification sans mot de passe sont analogues – elles sont simplement différentes styles de ‘chemises’ coupées dans le même ’tissu’. »
Il a insisté sur le fait que comparé à ce qui précédait la cryptographie à clé publique, il n’y a pas d’alternative, affirmant,
« Le monde doit passer à l’authentification sans mot de passe pour atténuer le marasme des fuites de données dans lequel nous nous noyons actuellement. Cependant, les détails de mise en œuvre comptent. Tout comme une arme à feu peut être utilisée pour se défendre contre des maraudeurs, il est également possible de se tirer dessus avec le même instrument. »
Une Évaluation Rationnelle Nécessaire pour la Blockchain contre les Technologies Traditionnelles
Comme Noor l’a souligné, bien que la technologie blockchain puisse techniquement faciliter les opérations commerciales, les bases de données distribuées et les transactions signées numériquement peuvent atteindre le même objectif.
“Presque tout ce qui peut être mis en œuvre avec la blockchain pouvait être mis en œuvre avec des bases de données traditionnelles utilisant la cryptographie à clé publique à la fin des années 90 – le marché n’a pas pu adopter cette capacité en raison des récessions suivant les effondrements des « dot com » et des titres adossés à des hypothèques immobilières,”
il a expliqué.
“Au début des années 2010, la blockchain a capté l’imagination de certaines personnes dans l’industrie technologique. Alors que les processus commerciaux s’étendant sur plusieurs entreprises peuvent être techniquement mis en œuvre avec la blockchain, ils peuvent être similaires>ment implémentés avec des bases de données distribuées et des transactions signées numériquement,”
a ajouté Noor.
Cependant, selon lui, l’engouement et les investissements spéculatifs autour du bitcoin ont éclipsé les applications pratiques et techniques de la technologie blockchain, conduisant à une adoption parfois irrationnelle de cette technologie sans une évaluation suffisante de sa valeur réelle et de son implémentation.
Il a déclaré,
« Une fois que cet engouement se calmera, des solutions blockchain avec un ROI raisonnable émergeront pour résoudre certains problèmes. »
En discutant des applications spécifiques ou des innovations qui tiennent le plus de promesses pour tirer parti de ces technologies pour relever les défis actuels et futurs en matière de protection des données et de gestion de l’identité, Noor a souligné que les processus commerciaux nécessitant des workflows impliquant plusieurs parties sont le problème naturel à résoudre avec les systèmes distribués et la cryptographie à clé publique.
Il a conclu,
« Qu’elle utilise la blockchain ou des technologies traditionnelles – mais éprouvées – est un détail d’implémentation qui doit être analysé comme tout autre investissement financier d’entreprise. »
La Fed Devrait Automatiser les Taux d’Intérêt pour une Économie Plus Fluide
Arshad Noor envisage que les marchés financiers deviennent plus efficaces et bénéficient aux consommateurs à l’échelle mondiale avec l’introduction d’une CBDC de détail aux États-Unis. Il a reconnu,
“Il y aura quelques obstacles à surmonter lors de la mise en œuvre au début ; mais à mesure que ces obstacles seront surmontés (tout en protégeant les consommateurs), le système deviendra productif.”
Noor a également prévu que la Réserve fédérale se détourne de son processus actuel pour établir les taux d’intérêt. Il a suggéré de mettre en place un système pour calculer automatiquement et en toute transparence les taux d’inflation sur une base périodique.
Il a déclaré,
« J’imagine que la Réserve fédérale choisisse de se détourner de leur processus actuel pour établir les taux d’intérêt, et de simplement payer 2 % au-dessus du taux d’inflation actuel lors de tout jour donné. L’efficacité gagnée par cette stratégie sera similaire à la transition des automobiles de la transmission manuelle à la transmission automatique. Les épargnants seront toujours récompensés par un taux de rendement raisonnable, tandis que les dépensiers paieront ce qu’ils doivent pour leur prodigalité. Sachant que les décisions d’achat individuels n’ont plus besoin d’être dépendantes d’un petit groupe de banquiers centraux se réunissant quelques fois par an, cela permettra à l’économie de jouir d’un ‘trajet plus fluide’ à mesure que les taux changent automatiquement en fonction des taux d’inflation prévalant sur le marché. »
Noor a fourni des commentaires détaillés abordant les préoccupations en matière de cybersécurité associées aux CBDC à la Réserve fédérale, disponibles sur leur site web. Il a dit,
“Bien que les transactions CBDC de détail seront transparentes par nature, avec des techniques de chiffrement et de pseudonymisation appropriées soutenues par un nouveau cadre réglementaire transparent pour déchiffrer de telles transactions, les citoyens respectueux des lois peuvent être assurés que leurs transactions personnelles seront sécurisées et maintenues privées avec une technologie et des réglementations appropriées.”
Cependant, il a averti que les activités illicites risquent de ne pas disparaître d’Internet :
« Cela est inhérent à la nature humaine où des écarts dans les conditions économiques et les résultats sont possibles. La question que la société doit se poser est : combien d’argent est-elle prête à dépenser pour préserver la vie privée individuelle ? »
Il a conclu qu’à l’époque pré-informatique/pré-internet, protéger les informations sensibles était relativement peu coûteux, ne nécessitant que des montants nominaux pour les serrures/clés et des procédures simples. À l’ère numérique, le coût sera significatif. Noor a insisté,
« Bien que les technologies open-source puissent réduire considérablement les coûts, établir, opérer et faire respecter le cadre réglementaire pour préserver la vie privée – et les contrôles de sécurité qu’il implique – nécessitera un engagement important à long terme.”
Disclaimer : Cet article est fourni à titre informatif uniquement. Il n’est pas proposé ou destiné à être utilisé comme conseil juridique, fiscal, financier ou autre conseil.
