En 2022, Google a suspendu le compte d’un militant en Iran. Tous ses emails, ses contacts, ses documents Drive, son accès à YouTube : disparus en une décision. Aucun appel. Aucune raison communiquée.
500 millions de personnes utilisent “Se connecter avec Google” pour accéder à des services tiers. Si Google suspend votre compte, vous perdez l’accès à tous ces services simultanément.
Votre identité numérique appartient à Google, pas à vous.
Le modèle actuel : identité gérée par des tiers
Aujourd’hui, prouver qui vous êtes en ligne dépend de tiers :
- “Se connecter avec Google/Facebook” : votre identité est hébergée chez une entreprise qui peut la suspendre
- Un compte email : si le fournisseur ferme ou vous banni, votre identité disparaît
- Un numéro de téléphone : votre opérateur contrôle votre accès à ce numéro
- Un passeport ou permis de conduire numérique : gouvernement comme tiers de confiance central
Ces systèmes ont des avantages — ils sont pratiques, gérés par des entités responsables. Mais ils créent une dépendance totale. Votre identité peut être révoquée, suspendue, ou exposée sans votre contrôle.
DID : Decentralized Identifiers
Le W3C (World Wide Web Consortium) a publié le standard des DID (Decentralized Identifiers) en 2022.
Un DID ressemble à ça :
did:web:sequr.ca:utilisateur123C’est un identifiant unique que vous contrôlez via une clé cryptographique — comme une clé PGP, mais standardisée et interopérable. La clé privée est à vous. Personne ne peut révoquer votre DID sans votre clé privée.
La différence avec un compte ordinaire :
| Compte standard | DID |
|---|---|
| Hébergé sur un serveur tiers | Vous contrôlez la clé |
| Révocable par l’opérateur | Révocable seulement par vous |
| Lié à un fournisseur | Portable entre systèmes |
| Opérateur peut voir les usages | Utilisations minimalement divulguées |
Le DID peut être ancré sur une blockchain (comme Bitcoin, Ethereum, ou ION de Microsoft) pour l’immuabilité, ou géré via un serveur web que vous contrôlez.
Verifiable Credentials : prouver sans révéler tout
Le SSI va plus loin que l’identifiant. Il permet aussi de partager des attributs sans révéler l’identité complète.
Exemple concret : vous devez prouver que vous avez plus de 18 ans pour accéder à un service. Aujourd’hui, vous fournissez votre date de naissance exacte — ou une photo de carte d’identité avec votre adresse.
Avec les Verifiable Credentials :
- Une autorité de confiance (gouvernement, professionnel de santé) signe une attestation : “Cette personne a plus de 18 ans”
- Vous présentez cette attestation signée
- Le vérificateur confirme la signature cryptographique — sans voir qui vous êtes, ni votre date de naissance exacte
C’est ce qu’on appelle la divulgation sélective (selective disclosure). Vous révélez l’attribut nécessaire — pas l’identité complète.
Applications pratiques :
- Vérification d’âge en ligne sans divulguer sa date de naissance
- Preuve de diplôme sans révéler son dossier complet
- Conformité réglementaire (preuve qu’on a fait une formation) sans base de données centrale
- Accès aux services gouvernementaux avec minimum d’information partagée
Projets réels
Microsoft ION : DID ancré sur la blockchain Bitcoin. Produit en production, utilisable aujourd’hui. Microsoft l’intègre dans ses outils d’identité Entra.
ESSIF (European Self-Sovereign Identity Framework) : initiative de l’Union Européenne pour des identités numériques souveraines interopérables dans l’UE. Implémentations pilotes en cours dans plusieurs pays membres.
Identité numérique du Québec : le gouvernement du Québec développe son système d’identité numérique depuis 2021. Les documents publics mentionnent l’intégration de principes SSI — notamment les Verifiable Credentials pour que les citoyens puissent partager des attributs sans tout divulguer. Déploiement progressif en cours.
Veramo : framework open-source pour créer des applications SSI en JavaScript. Le point d’entrée pour les développeurs qui veulent implémenter DID/VC.
Ce que ça signifie pratiquement aujourd’hui et dans 5 ans
Aujourd’hui (2026) :
- Les DID existent et sont standardisés, mais l’adoption grand public est quasi nulle
- Les Verifiable Credentials commencent à apparaître dans des pilotes gouvernementaux et académiques
- Pour les particuliers : peu d’impact immédiat sur les usages quotidiens
- Pour les développeurs et entreprises : point d’entrée pour des architectures d’identité modernes
Dans 5 ans (2031) :
- Les portefeuilles d’identité numérique gouvernementaux (Québec, UE, etc.) seront probablement en place
- La vérification d’âge en ligne via Verifiable Credentials pourrait remplacer les formulaires de date de naissance
- Les diplômes et certifications professionnels pourraient être des VC vérifiables instantanément
- “Se connecter avec” pourrait pointer vers votre propre DID plutôt que vers Google
Ce que vous pouvez faire maintenant
- Comprenez votre dépendance actuelle : listez les services auxquels vous accédez via “Se connecter avec Google/Apple/Facebook” — c’est votre surface d’exposition si ce compte est suspendu
- Suivez le projet d’identité numérique du Québec : gouvernement.qc.ca/identite-numerique — les changements à venir affecteront comment vous accédez aux services gouvernementaux provinciaux
- Diversifiez vos identités en ligne : ne centralisez pas tous vos accès sur un seul compte Google ou Apple — la dépendance à un seul fournisseur est le problème que SSI résout architecturalement
Le SSI n’est pas une révolution imminente pour le grand public. C’est une direction que l’infrastructure prend. Les particuliers et les entreprises qui comprennent ces changements maintenant seront mieux positionnés quand les systèmes d’identité numérique gouvernementaux arriveront.
Pour comprendre comment les Zero-Knowledge Proofs s’intègrent dans ce modèle — permettre la vérification sans divulgation — lisez notre article sur les ZKP.
Sequr — Agent certifié québécois
À lire aussi :
