Garantir qu’une personne est bien qui elle prétend être est un enjeu majeur dans l’économie numérique.
Accorder un crédit à la consommation en ligne, valider un paiement important, authentifier un signataire électronique... Avec la digitalisation grandissante d’activités sensibles, avoir la garantie en temps réel qu’une personne derrière son écran est bien celle qu’elle prétend être est devenu à la fois une nécessité absolue et une gageure.D’un côté, pour les entreprises, qui doivent sécuriser leur parcours clients sans les décourager par des mesures de sécurité trop complexes à réaliser. De l’autre, des particuliers, soucieux de ne pas se faire usurper leur identité en ligne mais souvent contraints de répéter des manipulations fastidieuses, tout en partageant leurs données critiques avec un nombre grandissant d’acteurs...
Sous le double aiguillon de la réglementation européenne et de l’explosion des fraudes informatiques, le secteur financier a été le premier à doper le marché des solutions d’authentification forte de l’identité numérique. Le règlement eIDAS puis la deuxième directive européenne sur les services de paiement (PSD2) ont imposé dans le monde numérique la nécessité d’une authentification «forte», autrement dit à plusieurs facteurs, pour un certain nombre d’opérations sensibles.
D’autres secteurs sont depuis confrontés à ce besoin d’authentification en temps réel des identités: e-commerçants, plateformes collaboratives devant s’assurer que leurs livreurs-chauffeurs sont bien ceux déclarés, loueurs de véhicules, sociétés de jeux en ligne... Dans le même temps, les pirates informatiques ont sophistiqué leurs attaques, et l’authentification multi facteurs a montré qu’elle n’était ni infaillible ni capable de garantir l’identité d’un utilisateur. France Connect en a fait l’amère expérience l’été dernier, en étant contraint de suspendre l’accès par l’identité numérique Ameli ou impots.gouv en raison de fraude permettant à des pirates d’accéder à des financements comme ceux de Mon Compte Formation.
Partenariat avec la gendarmerie nationale
D’où un besoin d’innovation constante sur ce marché des outils d’authentification. Aux côtés de grands groupes (Thalès, Idemia, INgroupe) et d’acteurs plus installés sur le marché français comme Docaposte, Archipels, IDnow (ex-Ariadnext), de jeunes start-up développent elles aussi de nouvelles solutions. Parmi elles, ShareID, cofondée en 2020 par deux Françaises, Sara Sebti, spécialiste dans l’analyse des risques financiers, et Sawsen Rezig, docteur en «computer vision» (vision artificielle). Elles ont présenté leur technologie au Consumer Electronics Show de Las Vegas au début du mois et viennent de lever 2 millions d’euros pour se développer sur le marché américain.
"Nous garantissons que la personne derrière son écran est bien qui elle prétend être, en reproduisant le niveau d’exigence d’un contrôle d’identité par un gendarme dans le monde physique." Sara Sebti, directrice générale de ShareID
Les deux entrepreneuses ont développé une solution d’identité digitale liée à une identité officielle. «Nous garantissons que la personne derrière son écran est bien qui elle prétend être, en reproduisant le niveau d’exigence d’un contrôle d’identité par un gendarme dans le monde physique», résume Sara Sebti, directrice générale de ShareID. C’est justement un partenariat avec la gendarmerie nationale qui leur a permis d’accéder à la quantité de données nécessaires sur de vrais et de faux documents d’identité utilisés par des faussaires dans 120 pays, pour pouvoir entraîner leurs algorithmes et développer un modèle pertinent.
Plusieurs grands groupes intéressés
À partir du smartphone d’un utilisateur, la technologie de l’entreprise peut vérifier l’authenticité d’un document d’identité officiel (s’il a été imité ou altéré), capturer un visage et un mouvement de ce visage (sourire, tourner la tête), et, à partir de là, émettre une identité digitale réutilisable au besoin. L’utilisateur n’aura qu’à reproduire ce mouvement de tête, sans avoir à représenter sa pièce d’identité, pour valider un paiement ou une opération via son smartphone. «C’est beaucoup plus robuste qu’un code ou un mot de passe, et, surtout, on ne stocke aucune donnée personnelle chez nous», insiste Sara Sebti, qui en fait un facteur différenciant important par rapport à d’autres solutions du marché, dans un contexte où la protection des données est devenue un enjeu majeur pour les entreprises et leurs prestataires.
Parmi les premiers clients de la start-up, deux grands groupes bancaires, des acteurs du monde de la signature électronique et des acteurs de l’industrie des crypto actifs et du web 3, très matures sur le besoin technologique. «L’avenir, c’est une identité numérique validée une fois, qui permet aux utilisateurs de se connecter avec leurs identifiants officiels pour toute transaction sur leur smartphone», estime Augustin Sayer, associé du fonds Newfund, qui a mené la levée de fonds.
La jeune start-up compte sur le marché américain, à la fois plus mature sur le sujet, plus facile à pénétrer et un peu moins réglementé, pour l’aider à grandir et faire ses preuves.