Pseudonymes numériques : un moyen supplémentaire de sécuriser le télétravail

La récente décision de l’entreprise de traitement de paiements numériques Block (SQ) de fermer ses bureaux de San Francisco pour permettre à ses employés de travailler à distance met en évidence une tendance croissante depuis le début de la pandémie de COVID-19 : une grande migration du travail au bureau vers le travail à distance. Mais pour diverses raisons, cette migration se heurte à la résistance d’autres employeurs.

ONEune des principales raisons pour lesquelles les entreprises en contact avec les consommateurs – pas seulement les grandes entreprises technologiques, mais aussi les compagnies d’assurance, de soins de santé et toutes sortes d’autres – exigent que leurs employés se présentent au bureau est la gestion des bases de données sur les clients. Malgré l’essor d’une industrie entière consacrée à leur protection, les violations de ces bases de données se poursuivent sans relâche. Selon l’Identity Theft Research Center (ITRC), le nombre de violations de données enregistrées en 2021 a augmenté de17%sur 2020.

David Chaum, pionnier de la cryptographie et des technologies de vote sécurisées et préservant la confidentialité, est le créateur et le fondateur du réseau xx. En 1995, sa société, DigiCash, a créé et déployé eCash, la première monnaie numérique, qui utilisait le protocole révolutionnaire de signature aveugle de Chaum. Cet article fait partie de la série CoinDeskSemaine de l'avenir du travail série.

Compte tenu de ce ONE commentateur appelle « un manque de transparence enraciné » de la part des entreprises concernées, cette estimation est probablement basse. IBM (IBM), quant à elle, estime quecoût moyen d'une violation de données d'une valeur de plus de 4 millions de dollars. (Il convient de noter que certaines des violations les plus coûteuses de l'année dernière ont eu lieu dans le domaine des Cryptomonnaie/blockchain, bien qu'il s'agisse principalement de vols plutôt que de vols d'informations personnelles.)

En réponse à ces menaces, certaines entreprises mettent en place une sécurité « air gap » autour des serveurs hébergeant leurs bases de données clients. Elles exigent que les employés qui travaillent sur et avec ces serveurs – ou qui fournissent simplement des dossiers récents de clients – interagissent avec eux uniquement via des communications locales complètement déconnectées d’Internet. Il reste à voir dans quelle mesure cette solution fonctionnera.

Quoi qu’il en soit, ces solutions ne résolvent pas le problème sous-jacent. Dans les années 1980, aux débuts de l’informatisation et d’Internet, j’ai commencé à m’inquiéter de toutes les informations sur les individus stockées par les organisations – et partagées par elles. Presque tous ces dossiers étaient (et sont toujours) dirigés par un identifiant unique universel tel qu’un permis de conduire, un numéro de carte d’ ID ou un numéro d’assurance sociale.

Sur le même sujet : « J'ai sauté le pas avec les 4 » : le légendaire cryptographe David Chaum parle de l'avenir du Web3

Ces dossiers pourraient potentiellement être combinés pour créer ce que j’ai appelé un « dossier virtuel » sur chaque individu, dans lequel leurs antécédents médicaux, financiers, juridiques et professionnels ainsi que des éléments tels que les numéros de carte de crédit et les adresses de facturation pourraient être consultés ensemble, simplement en accédant aux dossiers séparés via ces identifiants.

Nombres aléatoires, enveloppes opaques

Pour faire face à cette menace, qui est aujourd’hui malheureusement une réalité, j’ai conçu un protocole appelé signatures numériques aveugles, une variante de la technique de signature numérique désormais bien connue et largement utilisée. Pour comprendre comment cela fonctionne en utilisant une analogie avec le papier, imaginez une carte numérotée au hasard à l’intérieur d’une enveloppe opaque qui est estampillée de l’extérieur avec un sceau semblable aux cachets autrefois utilisés pour sceller les lettres avec de la WAX.

L'impression du sceau appose la signature sur la carte, mais une fois l'enveloppe retirée, le signataire n'a aucun moyen de déterminer quel numéro précis était inscrit sur la carte signée. Le masquage dissimule un numéro en texte clair en le transformant en texte chiffré de telle manière qu'il puisse être « masqué » numériquement avec une signature. Retirer l'enveloppe dans l'analogie équivaut à déchiffrer ultérieurement le texte chiffré [démasqué] pour obtenir la forme désormais signée du numéro en texte clair.

Ce numéro signé et non masqué sert de pseudonyme numérique qui contient un justificatif d'identité, c'est-à-dire une signature numérique de l'organisme émetteur. Une autre amélioration de la technique permet à l'utilisateur de montrer le justificatif d'identité infalsifiable à plusieurs organismes sous différents pseudonymes. De cette manière, le titulaire individuel du justificatif d'identité peut, par exemple, prouver à plusieurs prêteurs que sa solvabilité se situe dans une certaine fourchette, sans que ces preuves puissent être reliées par un identifiant et sans rien révéler de plus.

De la même manière, les individus peuvent prouver, par exemple, qu'ils ont payé leurs impôts, qu'ils habitent dans un district de recensement donné, qu'ils ont reçu un vaccin particulier ou qu'ils ont été testés négatifs pour une infection donnée au cours d'une certaine période, qu'ils détiennent un permis valide dans un métier ou une profession particulière, qu'ils n'ont pas de casier judiciaire, FORTH En aucun cas, ces informations d'identification ne peuvent être liées entre elles ou à d'autres informations sur l'individu. Les organisations peuvent stocker les informations d'identification pseudonymes qu'elles reçoivent des individus afin que l'individu et l'organisation puissent entretenir une relation continue si elles le souhaitent.

Sur le même sujet : La Politique de confidentialité sur Internet est un droit inaliénable | Analyses

Si une organisation a besoin d'une combinaison d'identifiants, des techniques cryptographiques supplémentaires éprouvées peuvent transformer un pseudonyme unique en identifiant multiple (« multicred ») selon les besoins, là encore sans compromettre la Politique de confidentialité du propriétaire du pseudonyme. Plus précisément, plusieurs identifiants individuels peuvent être « estampillés » sur le même pseudonyme par plusieurs organisations différentes à l'aide d'un calcul multipartite.

Protection des informations personnelles

En termes généraux, le calcul multipartite permet à un ensemble de parties d'effectuer collectivement tout calcul convenu, de telle sorte que chaque partie puisse choisir des entrées Secret et vérifier que le résultat obtenu est correct et que toutes les entrées Secret sont protégées de manière optimale. Dans ce cas, aucun des signataires ne peut Guides l'identité ou la signature de l'un des autres, mais chacun peut facilement vérifier que sa propre signature sur le multicrédit est valide.

Le recours à ces pseudonymes numériques, qui ne peuvent être reliés à leur propriétaire ni à d’autres personnes, rendrait inutiles les efforts des pirates informatiques et des hameçonneurs pour accéder à de vastes quantités de renseignements personnels, car ces renseignements ne seraient plus identifiables. Les personnes auront bien sûr toujours besoin de leur numéro d’assurance sociale et de leur permis de conduire, mais la plupart des organisations n’auront plus besoin de les enregistrer, et encore moins de les utiliser comme identifiants pour les dossiers des personnes avec lesquelles elles ont fait des affaires.

Sur le même sujet : Le Web 3 est bien plus qu’un simple divertissement et un jeu : c’est aussi un outil de travail | Analyses

Ainsi, les employés qui maintiennent et sécurisent ces collections de données pseudonymes n’ont plus besoin de travailler dans des espaces d’air numériques ouCages de FaradayIls peuvent travailler à domicile car ni l’entreprise ni les acteurs malveillants utilisant des dossiers volés ne peuvent établir de « portraits de données » de clients individuels.

Le passage à un système d’identifiants numériques pseudonymes serait bénéfique pour les organisations en réduisant le coût toujours croissant de la maintenance et de la sécurisation des enregistrements de données essentiellement inutiles et le coût à long terme souvent encore plus élevé des violations.

Et ce serait un pas en avant vers ce qui, selon moi, doit être un principe fondamental du Web3 et de la véritable démocratie à l’avenir : les individus doivent contrôler toutes leurs informations personnelles.

Lectures complémentaires de la série Future of Work Week de CoinDesk :

Le boom des emplois dans le Crypto

Le marché est peut-être baissier, mais il existe encore de nombreux emplois à pourvoir dans les entreprises de Crypto .

Paie, Web3 et l'opportunité de 62 milliards de dollars

Les Crypto peuvent permettre de payer les travailleurs plus rapidement et à moindre coût. Cet article fait partie de la série Future of Work.

Vous recrutez mal : faites comme Web3

En adoptant un modèle plus ouvert et plus fluide, les entreprises traditionnelles auraient plus de facilité à attirer les talents et à se doter d’une main-d’œuvre plus passionnée et plus engagée.