SoK: Self-Sovereign Digital Identities

Ce papier de type SoK propose une systématisation complète des identités numériques souveraines (SSDI) en identifiant six défis majeurs freinant leur adoption, en constatant une surreprésentation des solutions basées sur la blockchain dans la littérature, et en démontrant que la souveraineté est en pratique un spectre plutôt qu'une propriété binaire.

L'essentiel

🪪 Le Grand Voyage vers l'Identité Souveraine : Un Guide Simplifié

Imaginez que votre identité numérique est comme votre portefeuille physique. Aujourd'hui, ce portefeuille est gardé par d'autres personnes (Google, Facebook, votre banque, votre gouvernement). Si leur coffre-fort est volé, tout votre argent et vos papiers disparaissent.

Ce papier de recherche, écrit par des étudiants de l'Université Rowan, s'intéresse à une nouvelle idée : l'Identité Numérique Souveraine (SSDI). C'est l'idée que vous devriez être le seul gardien de votre propre coffre-fort numérique. Vous décidez qui voit quoi, et personne d'autre ne peut le voler.

Mais le papier pose une question cruciale : "Si c'est une si bonne idée, pourquoi tout le monde ne l'utilise-t-il pas encore ?"

Voici les 6 gros obstacles (les "monstres") qui bloquent la route, expliqués avec des analogies :

🚧 Les 6 Monstres sur la Route

1. Le Problème du "Qui es-tu ?" (L'Attache)

   • L'analogie : Sur Internet, n'importe qui peut créer 1000 comptes avec 1000 noms différents. C'est facile. Mais comment prouver que "Jean" est bien le vrai Jean et pas un robot qui fait semblant ?
   • Le défi : Dans un système où personne ne contrôle tout, comment empêcher les gens de se créer des centaines de fausses identités pour tromper le système ?

2. Le Trésor Perdu (La Gestion des Clés)

   • L'analogie : Aujourd'hui, si vous oubliez votre mot de passe, vous cliquez sur "Mot de passe oublié" et un email vous le réinitialise. Dans l'identité souveraine, vous êtes votre propre banque. Si vous perdez votre clé secrète (votre "phrase de récupération"), c'est fini. Votre identité est perdue à jamais. Il n'y a pas de service client.
   • Le défi : Comment faire en sorte que les gens ne perdent pas leurs clés, sans créer de "service client" qui redevient un gardien central ?

3. Le Langage des Aliens (L'Utilisabilité)

   • L'analogie : Utiliser ces nouveaux systèmes, c'est comme essayer de conduire une Formule 1 alors que vous avez l'habitude d'une voiture automatique. C'est trop compliqué, trop technique, et ça fait peur.
   • Le défi : Les applications sont trop difficiles à utiliser pour une personne normale.

4. La Loi et le Juge (La Régulation)

   • L'analogie : La loi dit : "Si quelqu'un fait une bêtise, on doit pouvoir l'arrêter et effacer ses traces." Mais l'identité souveraine dit : "Personne ne peut effacer mes données."
   • Le défi : Comment respecter les lois (comme le RGPD en Europe) quand la technologie est conçue pour être immuable et privée ?

5. Le Problème du "Premier Pas" (L'Adoption de Masse)

   • L'analogie : Imaginez que vous avez un nouveau téléphone qui ne fonctionne que si tout le monde l'a. Personne ne l'achètera parce qu'il n'y a pas d'applications, et personne ne crée d'applications parce qu'il n'y a pas d'utilisateurs. C'est le "problème de l'œuf et de la poule".
   • Le défi : Les entreprises ne veulent pas l'adopter tant que les gens ne l'ont pas, et les gens ne l'ont pas tant que les entreprises ne l'acceptent pas.

6. La Dépendance à un Seul Pont (L'Infrastructure)

   • L'analogie : Beaucoup de ces systèmes reposent sur une seule "chaîne" (la Blockchain). C'est comme si tout le trafic de la ville passait sur un seul pont. Si ce pont s'effondre ou est bloqué, tout s'arrête.
   • Le défi : Si tout le monde dépend d'une seule technologie, ce n'est plus vraiment "décentralisé" ni sûr.

---

🔍 Ce que les chercheurs ont découvert

Les auteurs ont lu 80 documents (articles, rapports, projets) et analysé 47 recherches scientifiques et 12 applications réelles. Voici ce qu'ils ont trouvé :

• L'obsession de la Blockchain : La plupart des chercheurs pensent que l'identité souveraine doit utiliser la Blockchain (comme Bitcoin). C'est comme si tout le monde pensait que pour voyager, il faut obligatoirement un avion, alors qu'un bateau ou un train pourrait aussi marcher ! Ils ont ignoré d'autres façons de faire.
• Le "Lavage de Souveraineté" : Certains projets disent "Nous sommes souverains !" mais en réalité, ils sont contrôlés par une entreprise ou un gouvernement. C'est comme vendre du "café bio" qui est en fait du café normal avec un peu de colorant vert. Ils utilisent le mot à la mode sans en avoir les vraies qualités.
• La réalité est un dégradé : L'identité souveraine n'est pas un interrupteur "ON/OFF". C'est une échelle de gris. Certains systèmes sont très libres, d'autres sont très contrôlés. Aucun système actuel n'est parfait sur tous les points.

---

🚀 Le Futur : Où allons-nous ?

Pour que cette révolution fonctionne, les chercheurs proposent 5 pistes pour l'avenir :

1. La Magie Mathématique (Cryptographie) : Utiliser des techniques avancées (comme les "preuves à divulgation nulle de connaissance") qui permettent de prouver que vous avez plus de 18 ans sans montrer votre date de naissance exacte. C'est comme montrer un tampon "Majeur" sur un papier sans révéler votre date de naissance.
2. Le Web 3.0 : Intégrer cette identité dans le futur d'Internet (les mondes virtuels, les crypto-monnaies) pour qu'elle soit utile partout.
3. Les Objets Connectés : Donner une identité aux objets (voitures, capteurs) pour qu'ils puissent communiquer en toute sécurité.
4. Harmoniser les Lois : Faire en sorte que les lois de la France, des USA et de l'Inde parlent le même langage pour que votre identité fonctionne partout.
5. Penser "Humain" d'abord : Arrêter de construire la technologie et essayer de la rendre simple. Il faut concevoir des applications aussi faciles à utiliser qu'une application de livraison de pizza.

💡 En Résumé

Ce papier nous dit : "L'identité souveraine est une excellente idée pour reprendre le contrôle de nos vies numériques, mais nous sommes encore au stade de l'enfance."

Il y a de gros obstacles techniques, légaux et humains à surmonter. Les chercheurs doivent arrêter de se focaliser uniquement sur la Blockchain et commencer à penser à comment rendre ces systèmes simples, sûrs et acceptés par tout le monde.

C'est un appel à l'action pour les scientifiques, les législateurs et les entreprises : il faut travailler ensemble pour que, un jour, votre identité numérique vous appartienne vraiment, comme votre propre maison.

Résumé technique

1. Problématique

L'identité numérique est le fondement de la plupart des interactions en ligne. Historiquement, elle a évolué des systèmes centralisés (CDI) vers des systèmes fédérés (FDI) où des intermédiaires (Google, Facebook, Apple) gèrent l'authentification. Bien que les systèmes fédérés simplifient la gestion des comptes, ils concentrent des volumes massifs de données personnelles, créant des cibles attrayantes pour les cyberattaques et les abus internes (ex. : scandale Cambridge Analytica).

L'Identité Numérique Auto-Souveraine (SSDI - Self-Sovereign Digital Identity) émerge comme une alternative prometteuse, permettant aux individus de contrôler leurs propres assertions d'identité et leurs données sans dépendre d'un intermédiaire central. Cependant, malgré son potentiel théorique, l'adoption réelle de la SSDI reste limitée. Le domaine souffre d'un manque de systématisation : les recherches existantes se concentrent souvent sur des couches techniques spécifiques (comme les DIDs ou les VCs) ou des domaines d'application isolés, sans offrir une vue d'ensemble des obstacles à l'adoption, ni évaluer l'état des déploiements réels.

2. Méthodologie

Les auteurs ont adopté une approche de Systématisation des Connaissances (SoK) structurée en cinq étapes (illustrée dans la Figure 2 du papier) :

1. Analyse des sondages existants : Revue critique de 8 sondages antérieurs (2018-2023) pour établir l'état de l'art et confirmer l'absence de taxonomie centrée sur les défis.
2. Identification des défis majeurs : Analyse de 80 sources variées (articles de recherche, projets industriels, rapports d'organismes de normalisation comme le W3C, et initiatives "cypherpunk") pour distiller les obstacles à l'adoption.
3. Analyse de la littérature scientifique : Revue structurée de 47 publications scientifiques proposant ou évaluant des systèmes SSDI. Les critères d'inclusion exigeaient une contribution technique concrète et une cible explicite d'identité auto-souveraine.
4. Évaluation des applications réelles : Catalogage et évaluation de 12 systèmes SSDI déployés en production ou en phase pilote avancée. L'évaluation s'est faite selon cinq dimensions de la souveraineté (contrôle des clés, émission sans permission, portabilité, divulgation sélective, résistance à la révocation unilatérale).
5. Définition des frontières de recherche : Synthèse des résultats pour identifier les tendances émergentes et les problèmes ouverts.

3. Contributions Clés

L'article apporte quatre contributions majeures :

1. Une taxonomie des défis : Identification et analyse approfondie de six défis fondamentaux entravant l'adoption de la SSDI.
2. Une systématisation de la littérature : Révélation d'un biais massif vers les solutions basées sur la blockchain et identification des directions de recherche sous-exploitées.
3. Une évaluation du monde réel : Démonstration que la "souveraineté" est un spectre et non une propriété binaire, avec une analyse de l'état de santé des projets en production.
4. Une feuille de route de recherche : Proposition de cinq frontières prioritaires pour l'avenir du domaine.

4. Résultats et Analyse

A. Les Six Défis Majeurs (Section 4)

Les auteurs identifient six obstacles interconnectés :

1. Liaison de l'identité (Identity Binding) : Difficulté à lier une identité numérique à une entité réelle unique sans autorité centrale, risquant les attaques de Sybil (création de multiples identités).
2. Gestion des clés et protocoles : La responsabilité de la génération, du stockage et de la récupération des clés cryptographiques incombe à l'utilisateur. L'absence de mécanisme de récupération ("mot de passe oublié") et la fragmentation des protocoles (plus de 100 méthodes DID) sont des freins majeurs.
3. Utilisabilité : Les utilisateurs sont peu familiarisés avec les concepts cryptographiques (clés privées, portefeuilles). Les études montrent que l'onboarding est confus et anxiogène.
4. Surveillance et Régulation : Tension entre l'immutabilité de la blockchain et le "droit à l'oubli" (RGPD), ainsi que les difficultés pour les forces de l'ordre d'accéder aux données dans un système décentralisé.
5. Adoption de masse (Effet de réseau) : Problème du "froid départ" : les utilisateurs ne s'engagent pas sans que les services n'acceptent les identités, et inversement.
6. Dépendance à une infrastructure unique : La plupart des solutions dépendent d'une seule blockchain. Si cette infrastructure échoue (attaque 51%, bug de contrat intelligent), toutes les identités y sont compromises.

B. Analyse de la Littérature Scientifique (Section 5)

• Biais Blockchain : Sur 47 articles analysés, 83% reposent sur une infrastructure blockchain spécifique (Ethereum, Hyperledger). Seuls 9% explorent des architectures purement pair-à-pair (P2P).
• Techniques Cryptographiques : La cryptographie à clé publique standard domine. Les techniques avancées comme les Preuves à Connaissance Nulle (ZKP) (17%) et le Chiffrement Homomorphe (6%) sont sous-utilisées malgré leur potentiel pour la confidentialité.
• Couverture des défis : La littérature se concentre massivement sur la gestion des clés et les protocoles (81% des papiers). En revanche, l'utilisabilité (15%) et la dépendance à une infrastructure unique (15%) sont négligées.
• Méthodologie d'évaluation : Seuls 15% des papiers incluent des preuves de sécurité formelles et seulement 4% comportent des études utilisateurs.

C. Évaluation des Applications Réelles (Section 6)

• Spectre de souveraineté : Aucun système déployé n'atteint une souveraineté totale sur les cinq dimensions.
  • Les initiatives gouvernementales (ex. : EU Digital Identity Wallet) privilégient le contrôle institutionnel et la révocation, sacrifiant la permissionless.
  • Les projets commerciaux souffrent souvent de "sovereignty washing" (utilisation du terme SSDI sans en respecter les principes fondamentaux, comme la portabilité).
• État de santé : En février 2026, sur 12 projets analysés, seulement 25% étaient pleinement opérationnels. Environ 42% étaient soit morts, soit inactifs, révélant une fragilité importante de l'écosystème actuel.

5. Frontières et Perspectives (Section 7)

Les auteurs proposent cinq axes de recherche prioritaires pour l'avenir :

1. Cryptographie axée sur la vie privée : Intégration massive des ZKP (pour la divulgation sélective) et du chiffrement homomorphe (pour le calcul sur données chiffrées).
2. Intégration Web3 : Utilisation des DIDs et des VCs pour les DAOs, la DeFi et les NFTs, tout en évitant la volatilité du marché crypto.
3. Identité IoT et Machine : Adaptation de la SSDI pour les milliards de dispositifs autonomes (capteurs, véhicules), nécessitant des protocoles légers et une gestion de clés automatisée.
4. Harmonisation Réglementaire : Création de cadres juridiques interopérables entre les juridictions (ex. : eIDAS 2.0 en UE vs approches américaines) pour permettre la reconnaissance transfrontalière.
5. Conception centrée sur l'utilisabilité (Usability-First) : Changer de paradigme pour concevoir d'abord l'expérience utilisateur (modèles cognitifs, authentification implicite) avant de choisir les technologies sous-jacentes.

6. Signification et Conclusion

Ce papier est significatif car il brise le mythe que la SSDI est une solution prête à l'emploi. Il démontre que l'écart entre la vision théorique et la réalité pratique est comblé par des défis techniques, sociaux et réglementaires complexes.

L'article met en garde contre la réduction de la SSDI à la seule technologie blockchain, soulignant que cette focalisation limite l'innovation architecturale. Il appelle la communauté de recherche à diversifier ses approches (P2P, hybrides), à intégrer l'humain dans la conception (HCI) et à collaborer avec les législateurs. La transition vers une identité auto-souveraine n'est pas inévitable ; elle doit être conquise par une recherche rigoureuse, un design réfléchi et une engagement sociétal soutenu.