La protection des mineurs pose la question de comment vérifier leur âge sur internet tout en respectant les principes de la protection de la vie privée.
En effet, aujourd’hui ils sont mal protégés, il suffit de cliquer oui/non sans vrai contrôle. Mais un énième contrôle pourrait amener des adultes à s’autocensurer du fait de cette surveillance d’activités pourtant parfaitement légales.
De nombreuses solutions existent, mais elles s’avèrent trop intrusives, trop laxistes, voire les deux. Demander un paiement pour vérifier l’âge en ligne fait fuiter des informations sur l’utilisateur au site (nom, banque) et à sa banque (site fréquenté). Il est possible de payer en ligne avant 18 ans. D’autres approches existent avec leurs défauts,De même ; il est compliqué d’avoir de la privacy avec de la blockchain, et les techniques à base d’intelligence artificelle sont imprécises, intrusives.
Face à ce constat, nous avons conçu un prototype qui permet un contrôle robuste, mais qui préserve la vie privée des utilisateurs.
Notre solution implique trois types d’acteurs
• Les fournisseurs de services dont le but est d’avoir une garantie sur l’âge (+13, +15 ou +18 selon le site) ;
• Les utilisateurs qui veulent accéder au service ;
• Les certificateurs d’âge.
Afin de protéger les utilisateurs, il faut qu’un certificateur ne sache ni le site, ni l’âge pour lesquel il répond, et que le site apprenne uniquement si l’utilisateur peut avoir accès, mais ni l’âge exact, ni qui a généré le certificat.
Dans notre solution, le site web émet un jeton de challenge, le donne à l’utilisateur qui le transmet à un certificateur pour recevoir une réponse. (Du type Oui +13, +15, Non +18). L’utilisateur va ensuite transmettre la réponse au site.
Concrètement, la sécurité repose sur une *preuve à divulgation nulle de connaissance* et une *signature de groupe*. Cela permet, à la fois, de verrouiller la réponse du certificateur, de masquer son identité, et de garantir au site web que tout est licite.
Le quotidien de l’utilisateur est également protégé, puisque le jeton ne comporte aucune information identifiant le site/l’âge requis.
Notre solution est disponible sur https://gitlab.adullact.net/linc/siggroup.
Les certificateurs peuvent être multiples. Cela pourrait être un mécanisme similaire à France Connect, on pourrait imaginer que des banques, des prestataires d’identités numériques fournissent ce service, ou à terme même, une interface avec la nouvelle carte d’identité.
Internet étant ce qu’il est, il n’est possible de ne parler que de pseudonymat. En effet, indépendamment de la solution, une personne qui se connecte à un site web va lui révéler son adresse IP et peut potentiellement être tracée.
De même la solution n’est pas imparable : il est possible de passer par un VPN pour être *hors de France* pour que les sites web ne sachent pas quelle réglementation appliquer. Malgré tout, elle présente une vraie avancée contre un accès non contrôlé et ce sans mettre à mal la vie privée des citoyens. ■
Lire également :