[Suite démonstrateur] - Vérification de l’âge : l’argument économique
Le LINC, Olivier Blazy, professeur à l’Ecole polytechnique et le Pôle d’expertise de la régulation numérique (PEReN) ont proposé en juin 2022 une preuve de faisabilité d’un système de vérification de l’âge qui serait à la fois fonctionnel et protecteur de la vie privée des personnes. Ce système, qui minimise les informations partagées entre les différents acteurs, est-il viable économiquement parlant, si personne ne sait qui fait quoi ?
Un modèle économique est-il possible ?
L’idée de notre démonstrateur était de montrer qu’il est possible d’accéder à un site dont les contenus sont réservés aux personnes au-dessus d’un certain âge, sans pour autant dévoiler d’autres informations. Il s’agissait avant tout de prouver que c’était possible : la version proposée par le LINC était donc forcément un peu simplifiée.
Dans son fonctionnement, sont seulement transmises la preuve d’âge demandé et la preuve que cette information émane d’un tiers de confiance. Pour autant – et c’est normal puisqu’il s’agit d’une preuve de concept – plusieurs points n’ont pas été traités (ou seulement partiellement), : par exemple, la partie « parcours utilisateur », les mesures de sécurité qu’il serait nécessaire de mettre en œuvre, ou encore le modèle économique d’un tel fonctionnement. C’est sur ce dernier point que nous voudrions revenir.
Pour rappel, ce schéma faisant intervenir quatre acteurs :
- La personne voulant accéder à un service dont l’utilisation dont l’accès est limité selon l’âge ;
- Le service demandant une preuve d’âge (application ou site web) ;
- Un tiers certifié qui connaît la personne et qui est capable d’émettre une preuve d’âge pour elle ;
- Et enfin, une autorité certificatrice, dont le rôle est d’organiser ce fonctionnement en fournissant les spécifications cryptographiques au service et qui certifie également les tiers (elle pourra révoquer des tiers et leurs jetons s’ils ne suivent finalement pas les règles).
Partons du postulat que ce sont aux sites proposant des contenus ou services dont l’accès est limité (interdit en dessous de certains âges) de payer les systèmes de vérification de l’âge. Dans le cas des sites à caractère pornographique, par exemple, il existe pour eux une obligation légale d’implémenter un tel système : c’est donc sur eux que reposent cette charge.
Le fait qu’il existe plusieurs méthodes de vérification de l’âge ainsi que plusieurs types de tiers certifiés pose la question de la rétribution de ces derniers, ainsi que du suivi des vérifications faites. Comment, en effet, serait-il possible d’avoir un compte juste si d’un côté on ne sait pas où va le challenge signé, et de l’autre d’où vient ce même challenge ? Et comment permettre ce bilan comptable sans dégrader la promesse d’un système en « double anonymat » ? (l’anonymat étant compris ici dans son sens cryptographique, car les signatures sont anonymes).
Comptons les jetons
Si le but est de faire un bilan comptable, une solution simple serait qu’un tiers récupère les challenges signés obtenus par les sites à la fin de chaque mois, et procède à une désanonymisation partielle des jetons des prestataires de vérification de l’âge, ce qui permettrait d’avoir une liste agrégée. Cette dernière offre la possibilité de faire une facturation fiable. Comme le jeton émis par le tiers certifié ne contient aucune donnée d’identité, cette désanonymisation partielle ne permettra pas de faire le lien avec un individu particulier. Cette solution reposerait sur une brique cryptographique classique : le partage de secret.
Pour autant, celle-là a deux limites :
- La première concerne le calcul de ce bilan et de la confiance des acteurs entre eux. En effet, on pourrait simplement comparer le nombre de challenges émis par l’ensemble des prestataires et celui reçu par les sites demandant une vérification de l’âge. Ainsi, une facturation et un règlement sont possibles, en répartissant selon l’activité de chacun. Cependant, comment savoir que d’un côté on ne minimise pas le nombre de challenges reçus pour faire baisser les coûts, et, à l’inverse, de l’autre qu’on ne gonfle pas les chiffres des challenges émis pour augmenter ses gains ?
- Certains systèmes de vérification de l’âge pourraient souhaiter faire varier les tarifs selon les types d’acteurs, la taille ou le volume de visites du site, etc.
Briser les frontières : repoussons les limites
Pour la première limite, une possibilité pourrait être que l’autorité émette également des jetons « de contrôle » qu’elle devra retrouver dans les listes fournies par les sites à la fin de chaque mois : s’il en manque, c’est bien qu’une coupe a été faite, et l’éditeur pourra alors être sanctionné sur cette base. Qui ferait cet audit ? On peut penser que l’autorité certificatrice, en tant qu’organisatrice de l’écosystème, pourrait avoir ce rôle. Pour autant, les deux rôles ne sont pas liés et pourraient être silotés : une autre « autorité » pourrait avoir le rôle comptable.
Pour prévenir la seconde limite, le jeton pourrait contenir aussi la technique utilisée, qui serait alors révélée lors de la désanonymisation partielle à la fin de chaque mois. Toutefois, si la technique est peu utilisée, elle peut devenir discriminante et mener à faire le lien entre l’usager et le site consulté pour les tiers certifiés – il y aura alors un seuil à fixer ou une manière de bruiter les informations sans que cela change la somme à facturer pour le tiers certifié.
Quel paramétrage pour le démonstrateur ? Par Olivier Blazy
Dans le cadre de notre proposition de preuve de concept (ou PoC - Proof of Concept) cela peut être mis en œuvre de la façon suivante : une première autorité est responsable de générer les jetons « de contrôle » comme proposé plus haut.
L’autorité certificatrice génère une clé d’ouverture à l’initialisation du système. Dans le PoC celle-ci était inutilisée jusque-là. Nous proposons ici de l’utiliser en la fractionnant puis partageant entre plusieurs autorités de confiance (par exemple : l’autorité responsable des jetons de contrôles, , une de confiance pour les prestataires et une pour les utilisateurs). À la fin de chaque période de temps (mois, trimestre, semestre), ces autorités peuvent ensemble joindre leurs efforts pour travailler sur les données remontées par les sites web.
En pratique, en joignant leurs clés, ils vont pouvoir lever l’anonymat des prestataires de vérification d’âge et déduire que sur la période, 200 vérifications d’âge ont été fournies par le service A, 100 par le B, et 50 par le C et vont donc pouvoir facturer selon les conventions de chacun des services.
Une fois cette ouverture faite, l’autorité certificatrice regénère des clés pour les divers tiers, et fourni un nouveau partage de clés d’ouverture aux diverses autorités de confiance (ce mécanisme est là pour s’assurer qu’une autorité ne cherchera pas à rejouer les échanges passés pour lever l’anonymat)
Cette technique est indépendante du choix de solution choisie (interactive ou non).
En particulier, dans le PoC, elle n’empêche pas l’utilisateur de recevoir un jeton non masqué, et de la masquer lui-même pour empêcher l’introduction d’un biais par le tiers.
Elle n’affaiblit pas non plus l’anonymat global du système, parce qu’il est dans l’intérêt même de plusieurs autorités de le faire respecter. En particulier, l’autorité en charge des jetons de contrôle veut s’assurer que ceux-ci ne soient pas identifiés et l’autorité de confiance des utilisateurs souhaite préserver leur anonymat.
Olivier Blazy est professeur en cybersécurité à l'École Polytechnique dans le département informatique. Il est chercheur en cryptographie depuis 10 ans sur diverses thématiques dont la cryptographie pour la protection de la vie privée, et la cryptographie post-quantique. Au niveau national, il co-anime le groupe de travail Codage et Cryptographie du CNRS au sein des GDR Sécurité Informatique et Informatique-Mathématiques.
Le LINC, Olivier Blazy, professeur à l’Ecole polytechnique et le Pôle d’expertise de la régulation numérique (PEReN) ont proposé en juin 2022 une preuve de faisabilité d’un système de vérification de l’âge qui serait à la fois fonctionnel et protecteur de la vie privée des personnes. Ce système, qui minimise les informations partagées entre les différents acteurs, est-il viable économiquement parlant, si personne ne sait qui fait quoi ?
Notre démonstrateur avait pour vocation de montrer qu’il est possible, avec le renfort de quelques concepts cryptographiques, de créer les conditions d’une vérification de l’âge respectueuse de la vie privée. C’est une proposition technique, mais qui reste toutefois malléable, ou adaptable si l’on veut faire fonctionner cette solution. Cette proposition peut ainsi servir de rampe de lancement au déploiement de solutions industrielles respectueuses de la vie privée dès lors qu’elles offrent la même garantie de double anonymat.
Toutefois, la question de la gouvernance reste à explorer : il y a bien des choix à faire, notamment concernant les « autorités » chargées de donner les règles du jeu (autorité certificatrice) comme celle qui pourrait avoir le rôle d’équilibrer économiquement l’écosystème avec un rôle plus comptable.
