Que se cache-t-il derrière l'expression Verifiable Credentials ?

le 01/08/2025 par Sara Lafleur
Tags: Software Engineering, Numérique Responsable, Sécurité, Web, Mobile

Contexte

Depuis les années 2000, les échanges en ligne connaissent une croissance rapide. Cette évolution soulève un besoin crucial : sécuriser les transactions numériques, en particulier lorsqu’elles impliquent le partage de données personnelles. La confiance des utilisateurs repose en grande partie sur cette sécurité.

Or, une difficulté persiste : les documents officiels, dans leur version papier, restent essentiels pour la vérification d'identité ou d'attributs spécifiques. Les simples copies numériques (par exemple en PDF) ne bénéficient pas du même niveau de confiance, pour plusieurs raisons :

  • Ils sont facilement falsifiables
  • Leur processus de vérification est long et laborieux
  • Ils impliquent souvent un partage excessif de données personnelles

Ce constat soulève un défi technique : comment garantir l’intégrité des documents numériques tout en respectant la confidentialité des données partagées ?

L’émergence d’un standard : le Verifiable Credentials Data Model

En 2017, le W3C publie la première ébauche de spécification intitulée Verifiable Claims Data Model and Representations, désormais connue sous le nom de Verifiable Credentials Data Model (dernière version : 2.0).

Cette recommandation pose les bases d’un cadre standardisé pour représenter des informations d’identification de manière :

  • Cryptographiquement sécurisée
  • Vérifiable automatiquement (par des machines)
  • Respectueuse de la vie privée

Les Rôles clés de l’écosystème

Le Verifiable Credentials Data Model repose sur une structure claire et normalisée, où chaque acteur joue un rôle précis dans le cycle de vie des attestations. Avant de les présenter, voici quelques concepts fondamentaux :

  • Entité (entity) : une personne, une organisation ou un appareil. C’est toute chose identifiable dans l’écosystème.

Exemples : une société, un service public, un corps étatique, une université, etc.

  • Sujet (subject) : une entité à propos de laquelle des affirmations sont faites.

Exemples : un étudiant, un diplômé, un employé, etc.

  • Affirmation (claim) : une déclaration sur un sujet.

Exemples : un nom, une date de naissance, un niveau d’étude, un rôle, un intitulé de certification, etc.

Les Trois rôles principaux

Le système repose sur l'interaction de trois rôles essentiels :

  • Émetteur (issuer) : c’est l’entité qui crée l’attestation, la signe numériquement, et l’associe à un sujet.

Exemple : une université qui délivre un diplôme à un étudiant.

  • Détenteur (holder) : c’est l’entité qui reçoit et contrôle l’attestation, généralement depuis une application mobile. Le détenteur est souvent lui-même le sujet de l’attestation. Toutefois, le détenteur peut aussi gérer des attestations au nom d’un tiers, comme un enfant ou un animal de compagnie.

Exemple : un étudiant qui souhaite récupérer son diplôme.

  • Vérificateur (verifier) : c’est l’entité qui demande et évalue l’attestation d’un détenteur, afin de vérifier une information, un attribut.

Exemple : une entreprise qui souhaite vérifier le niveau d’étude d’un candidat.

Une Première définition

Dans le modèle défini par le W3C, un verifiable credential (ou attestation vérifiable) est une attestation numérique émise par un émetteur à propos d’un ou plusieurs sujets. Elle regroupe un ensemble d’affirmations, c’est-à-dire des déclarations portant sur des attributs (par exemple : nom, date de naissance, niveau d’étude, statut professionnel, etc.)

Comparable à un justificatif physique (par exemple : une carte d’identité, un permis de conduire, etc.), cette attestation contient trois éléments clés :

  • L’identité du sujet concerné par l’attestation
  • L'identité de l’émetteur de l’attestation
  • Les affirmations faites à propos du sujet dans l’attestation

Ces informations sont sécurisées par une signature cryptographique, garantissant à la fois leur intégrité (elles n’ont pas été modifiées) et leur authenticité (elles proviennent bien de l’émetteur déclaré). Une fois en possession du credential, le détenteur peut le présenter à un vérificateur pour prouver certaines caractéristiques, sans nécessairement tout divulguer.

Ces attestations sont stockées dans des applications mobiles dédiées (portefeuilles d’identité numériques), qui permettent au détenteur de gérer facilement ce qu’il souhaite partager et avec qui.

Confidentialité

Dès sa première version, la spécification du Verifiable Credentials Data Model, accorde une place centrale à la confidentialité des données concernant l’utilisateur. Deux mécanismes techniques permettent de limiter la quantité d’informations partagées lors d’une vérification : la divulgation sélective et les preuves à divulgation nulle de connaissance (Zero-Knowledge Proofs).

Divulgation sélective

La divulgation sélective permet au détenteur d’un credential de ne révéler que certaines informations spécifiques contenues dans une attestation. Elle est particulièrement utile pour éviter de sur-partager des données personnelles.

Exemple : Imaginons que vous présentiez votre carte d’identité pour prouver votre date de naissance. Cette carte contient aussi votre nom, prénom, adresse, taille, ville de naissance, etc. Avec une attestation vérifiable, vous pouvez ne révéler que votre date de naissance, sans montrer les autres champs.

Ce mécanisme est rendu possible grâce à l’usage de signatures numériques dites “dissociables”, comme les signatures BBS+, qui permettent de valider une partie seulement du contenu d’un credential, tout en conservant son intégrité et sa validité.

Preuves à divulgation nulle de connaissance

Les preuves à divulgation nulle de connaissance permettent de prouver une information sans révéler l’information sous-jacente.

Exemple : Imaginons maintenant que vous devez prouver que vous avez plus de 18 ans. Votre attestation vérifiable regroupant les informations présentes sur votre carte d’identité, contient également une affirmation “je suis majeur”. En partageant uniquement cette affirmation, vous pouvez prouver que vous avez plus de 18 ans, sans révéler votre date de naissance, ni même votre âge exact.

Ces techniques permettent un niveau de confidentialité bien supérieur aux approches traditionnelles, en limitant considérablement l’exposition de données personnelles.

Bonnes pratiques recommandées par le W3C

La spécification ne prescrit pas un mode unique de stockage des credentials, recommande des bonnes pratiques favorisant la confidentialité, comme :

  • Le stockage local des données sur l’appareil de l’utilisateur (téléphone portable)
  • L’absence de dépendance à des serveurs tiers pour chaque vérification
  • Des protocoles d’échange sécurisés et pair-à-pair.

Par ailleurs, le W3C encourage les vérificateurs à ne demander que les données strictement nécessaires à une transaction. Cette approche :

  • Réduit les risques liés à la gestion de données sensibles
  • Renforce la confidentialité pour le détenteur
  • Favorise la confiance entre les parties

Les Avantages et Inconvénients du modèle

Les Avantages

Le Verifiable Credentials Data Model présente plusieurs atouts majeurs :

  • Sécurité renforcée : les attestations sont protégées par des signatures cryptographiques, ce qui garantit leur intégrité (elles ne peuvent pas être modifiées) et leur authenticité (on peut vérifier qui les a émises).
  • Vérification automatisée : les échanges entre le détenteur et le vérificateur peuvent être entièrement automatisés, ce qui rend le processus rapide, fluide et sans contact.
  • Simplicité pour les utilisateurs : les détenteurs peuvent présenter leurs attestations vérifiables directement depuis leur smartphone, sans avoir à se déplacer ni à fournir des copies papier.
  • Respect de la vie privée : grâce à la divulgation sélective et aux preuves à divulgation nulle de connaissance, les détenteurs peuvent partager uniquement ce qui est nécessaire, sans révéler d’informations superflues. De plus, la vérification se fait sans contact avec l’émetteur, ce qui évite tout traçage des interactions par celui-ci.

Les Inconvénients

Malgré ses avantages, le modèle comporte aussi plusieurs limites importantes :

  • Complexité de mise en œuvre : pour fonctionner, le système nécessite la présence et l’interopérabilité des trois rôles : émetteur, détenteur et vérificateur. Aucun de ces acteurs ne peut fonctionner seul, ce qui complique le déploiement initial.
  • Manque de maturité de l’écosystème : aujourd’hui, il existe encore peu d’implémentations complètes et réellement interopérables, que ce soit en production ou en open source. Le projet European Digital Identity, encadré par le règlement eIDAS 2, constitue l’une des premières initiatives visant un déploiement à grande échelle. En attendant sa généralisation, cette faible maturité freine l’adoption du modèle.

Une expression aux usages multiples

Dans la pratique, l’expression verifiable credentials (attestations vérifiables) est utilisée pour désigner plusieurs réalités différentes :

  • L’écosystème ou la recommandation technique du W3C, Verifiable credentials Data Model. Un cadre normatif pour structurer et échanger des attestations numériques de manière sécurisée.
  • Une attestation vérifiable elle-même, c’est-à-dire un ensemble de données émises par une entité à propos d’un sujet, contenant des affirmations.
  • Le format de sérialisation des données, comme JSON, JSON-LD ou XML, utilisé pour encoder l’attestation.

Vers une convergence avec eIDAS 2

La Commission européenne, à travers le règlement eIDAS 2, s’efforce de clarifier et normaliser ces notions dans un cadre juridique contraignant, applicable à l’ensemble des États membres.

Les attestations électroniques d’attributs définies dans la version révisée du règlement eIDAS partagent de nombreux points communs avec le Verifiable Credentials Data Model du W3C, notamment :

  • Un modèle fondé sur des attestations numériques, sécurisées par cryptographie.
  • Une présentation contrôlée par le détenteur, via un portefeuille d’identité numérique.
  • Des mécanismes de protection de la vie privée, comme la divulgation sélective et les preuves à divulgation nulle de connaissances.

Le principal défi au sein de l’Union européenne consiste à faire converger deux approches complémentaires :

  • Le cadre réglementaire et institutionnel d’eIDAS, basé sur des acteurs qualifiés, des niveaux de confiance et des obligations juridiques strictes.
  • Le cadre technologique ouvert et interopérable du W3C, centré sur la décentralisation, l’innovation et la portabilité des identités.

L’objectif commun est de construire une identité numérique européenne qui soit à la fois :

  • Souveraine (gouvernée par des autorités publiques ou reconnues)
  • Standardisée (compatible entre États et prestataires)
  • Respectueuse de la vie privée, en s’appuyant sur des outils modernes et fiables.

Merci à Sandrine Belin, Bastien Mourrat et Alexandre Vogt pour leur relecture.