[Suite démonstrateur] - Vérification de l’âge : l’argument économique
Rédigé par Martin Biéri
-
19 juillet 2023Le LINC, Olivier Blazy, professeur à l’Ecole polytechnique et le Pôle d’expertise de la régulation numérique (PEReN) ont proposé en juin 2022 une preuve de faisabilité d’un système de vérification de l’âge qui serait à la fois fonctionnel et protecteur de la vie privée des personnes. Ce système, qui minimise les informations partagées entre les différents acteurs, est-il viable économiquement parlant, si personne ne sait qui fait quoi ?
Un modèle économique est-il possible ?
L’idée de notre démonstrateur était de montrer qu’il est possible d’accéder à un site dont les contenus sont réservés aux personnes au-dessus d’un certain âge, sans pour autant dévoiler d’autres informations. Il s’agissait avant tout de prouver que c’était possible : la version proposée par le LINC était donc forcément un peu simplifiée.
Dans son fonctionnement, sont seulement transmises la preuve d’âge demandé et la preuve que cette information émane d’un tiers de confiance. Pour autant – et c’est normal puisqu’il s’agit d’une preuve de concept – plusieurs points n’ont pas été traités (ou seulement partiellement), : par exemple, la partie « parcours utilisateur », les mesures de sécurité qu’il serait nécessaire de mettre en œuvre, ou encore le modèle économique d’un tel fonctionnement. C’est sur ce dernier point que nous voudrions revenir.
Pour rappel, ce schéma faisait intervenir quatre acteurs :
- La personne voulant accéder à un service dont l’utilisation dont l’accès est limité selon l’âge ;
- Le service demandant une preuve d’âge (application ou site web) ;
- Un tiers certifié qui connaît la personne et qui est capable d’émettre une preuve d’âge pour elle ;
- Et enfin, une autorité certificatrice, dont le rôle est d’organiser ce fonctionnement en fournissant les spécifications cryptographiques au service et qui certifie également les tiers (elle pourra révoquer des tiers et leurs jetons s’ils ne suivent finalement pas les règles).
Partons du postulat que ce sont aux sites proposant des contenus ou services dont l’accès est limité (interdit en dessous de certains âges) de payer les systèmes de vérification de l’âge qu’ils proposent dans le cadre de leur service. Dans le cas des sites à caractère pornographique, par exemple, il existe pour eux une obligation légale d’implémenter un tel système : c’est donc sur eux que reposent cette charge.
Le fait qu’il existe plusieurs méthodes de vérification de l’âge ainsi que plusieurs types de tiers certifiés pose la question de la rétribution de ces derniers, ainsi que du suivi des vérifications faites. Comment, en effet, serait-il possible d’avoir un décompte correct si d’un côté on ne sait pas où va le challenge signé, et de l’autre d’où vient ce même challenge ? Et comment permettre ce « bilan comptable » sans dégrader la promesse d’un système en double anonymat ? (l’anonymat étant compris ici dans son sens cryptographique, car les signatures sont anonymes).
Comptons les jetons
Pour ce faire, une solution simple serait qu’un tiers récupère les challenges signés obtenus par les sites à la fin de chaque mois, et procède à une désanonymisation partielle des jetons des prestataires de vérification de l’âge, ce qui permettrait d’avoir une liste agrégée. Cette dernière offre la possibilité de faire une facturation fiable. Comme le jeton émis par le tiers certifié ne contient aucune donnée d’identité, cette désanonymisation partielle ne permettra pas de faire le lien avec un individu particulier. Cette solution reposerait sur une brique cryptographique classique : le partage de secret.
Pour autant, cette approche présente deux limites :
- La première concerne le calcul de ce bilan et de la confiance des acteurs entre eux. En effet, on pourrait simplement comparer le nombre de challenges émis par l’ensemble des prestataires et celui reçu par les sites demandant une vérification de l’âge. Ainsi, une facturation et un règlement sont possibles, en répartissant selon l’activité de chacun. Cependant, comment savoir que d’un côté on ne minimise pas le nombre de challenges reçus pour faire baisser les coûts, et, à l’inverse, de l’autre qu’on ne gonfle pas les chiffres des challenges émis pour augmenter ses gains ?
- Certains systèmes de vérification de l’âge pourraient souhaiter faire varier les tarifs selon les types d’acteurs, la taille ou le volume de visites du site, etc.
Briser les frontières : repoussons les limites
Pour la première limite, une possibilité pourrait être que l’autorité émette également des jetons « de contrôle » qu’elle devra retrouver dans les listes fournies par les sites à la fin de chaque mois : s’il en manque, c’est bien qu’une coupe a été faite, et l’éditeur pourra alors être sanctionné sur cette base. Qui ferait cet audit ? On peut penser que l’autorité certificatrice, en tant qu’organisatrice de l’écosystème, pourrait avoir ce rôle. Pour autant, les deux rôles ne sont pas liés et pourraient être silotés : une autre « autorité » pourrait avoir le rôle comptable.
Pour prévenir la seconde limite, le jeton pourrait contenir aussi la technique utilisée, qui serait alors révélée lors de la désanonymisation partielle à la fin de chaque mois.
Le paramétrage du PoC, par Olivier Blazy
Dans le cadre de notre proposition de PoC, cela peut être mis en œuvre de la façon suivante : une première « autorité » est responsable de générer les jetons de contrôle comme proposé plus haut.
L’autorité certificatrice génère une clé d’ouverture à l’initialisation du système. Dans le PoC celle-ci était inutilisée jusque-là. Nous proposons ici de l’utiliser en la fractionnant puis partageant entre plusieurs autorités de confiance (par exemple : l’autorité responsable des jetons de contrôles, , une de confiance pour les prestataires et une pour les utilisateurs). À la fin de chaque période de temps (mois, trimestre, semestre), ces autorités peuvent ensemble joindre leurs efforts pour travailler sur les données remontées par les sites web.
En pratique, en joignant leurs clés, ils vont pouvoir lever l’anonymat des prestataires de vérification d’âge et déduire que sur la période, 200 vérifications d’âge ont été fournies par le service A, 100 par le B, et 50 par le C et vont donc pouvoir facturer selon les conventions de chacun des services.
Une fois cette ouverture faite, l’autorité certificatrice regénère des clés pour les divers tiers, et fourni un nouveau partage de clés d’ouverture aux diverses autorités de confiance (ce mécanisme est là pour s’assurer qu’une autorité ne cherchera pas à rejouer les échanges passés pour lever l’anonymat)
Cette technique est indépendante du choix de solution choisie (interactive ou non).
En particulier, dans le PoC, elle n’empêche pas l’utilisateur de recevoir un jeton non masqué, et de la masquer lui-même pour empêcher l’introduction d’un biais par le tiers.
Elle n’affaiblit pas non plus l’anonymat global du système, parce qu’il est dans l’intérêt même de plusieurs autorités de le faire respecter. En particulier, l’autorité en charge des jetons de contrôle veut s’assurer que ceux-ci ne soient pas identifiés et l’autorité de confiance des utilisateurs souhaite préserver leur anonymat.
Olivier Blazy est professeur en cybersécurité à l'École Polytechnique dans le département informatique.
En dehors de la boîte : d’autres modèles sont possibles
Si les déclinaisons ci-dessus visent à montrer la possibilité de modèles de commercialisation liés à la réalité de l’utilisation des jetons anonymes, d’autres modèles économiques sont possibles pour s’abstraire de cet impératif de comptage des transactions. Ainsi, une tarification par abonnement auprès du fournisseur du système, acquitté par le service proposant le contenu, dont le prix pourrait être forfaitaire (dans l’hypothèse où de nombreux services y souscriraient) ou progressive en fonction de l’audience et du trafic (mesurées par exemple via des tiers de confiance spécialisés en la matière) peut permettre également un recouvrement des coûts, sans nécessiter de remettre en question les propriétés d’anonymat du système.
A cet égard, il convient de relever que le coût principal du dispositif double anonyme est un coût fixe de mise en place de l’infrastructure, de chaque acteur, des rôles qui leur sont affectés et des procédures associées. Le coût variable associé à chaque vérification est résiduel pour la partie technique (transmission des jetons) et relativement faible pour les opérations de support et de gestion (gestion des révocations, support aux utilisateurs et aux sites). Le modèle d’une tarification à la transaction pourrait donc ne pas être nécessairement le plus adapté pour recouvrir les coûts. En revanche, la connaissance du marché des utilisateurs potentiels (quels secteurs, quels types d’acteurs dans ce secteur, etc.) est essentielle pour qu’un fournisseur puisse sécuriser ses investissements.
Conclusion
Notre démonstrateur avait pour vocation de montrer qu’il est possible, avec le renfort de quelques concepts cryptographiques, de créer les conditions d’une vérification de l’âge respectueuse de la vie privée. C’est une proposition technique, mais qui reste toutefois malléable, ou adaptable si l’on veut faire fonctionner cette solution. Cette proposition peut ainsi servir de base à une innovation respectueuse de la vie privée dès lors qu’elle offre la même garantie de double anonymat.
Ces solutions apparaissent à première vue monétisables, finançables par des entités solvables et sur la base de plusieurs modèles d’affaires possibles.
Toutefois, la question de la gouvernance reste à explorer : il y a bien des choix à faire, notamment concernant les « autorités » chargées de donner les règles du jeu (autorité certificatrice) comme celle qui pourrait avoir le rôle d’équilibrer économiquement l’écosystème avec un rôle plus comptable.