L’Europe numérique avance, et avec elle l’ambition de proposer à tous les citoyens un portefeuille d’identité numérique commun : l’European Digital Identity Wallet (EUDI Wallet). Pensé pour faciliter l’accès aux services publics et privés, ce dispositif promet une authentification forte, interopérable et respectueuse de la vie privée. Mais cette promesse repose sur un socle technique trop souvent négligé : la vérification d’identité à distance. Sans processus fiable à ce niveau, aucune confiance ne peut être accordée aux identités embarquées dans le portefeuille.
C’est tout l’enjeu du document conjoint publié par l’ANSSI (France) et le BSI (Allemagne) en juin 2025, qui fixe des lignes directrices rigoureuses pour évaluer les solutions de vérification à distance. Dans un contexte d’explosion des fraudes documentaires et des manipulations vidéo, ce cadre devient une pièce centrale de l’édifice européen de confiance.
“Entre attaque par injection vidéo et faux documents numériques, la menace n’est plus théorique.”
La vérification d’identité à distance consiste à établir de manière fiable qu’une personne est bien celle qu’elle prétend être, sans interaction physique. Cela suppose d’analyser un document d’identité présenté via caméra ou photo, mais aussi de vérifier la « présence réelle » du demandeur (souvent par reconnaissance faciale ou gestes spécifiques), tout en s’assurant que les éléments ne sont ni falsifiés ni manipulés.
Or, les risques sont nombreux : documents contrefaits, deepfakes, rejouabilité vidéo, fausses interfaces. Certaines attaques permettent même de duper des systèmes d’authentification avancés, en contournant la capture en direct ou en exploitant des failles logicielles. Le document ANSSI-BSI rappelle que ces attaques ne relèvent plus de la science-fiction. Elles sont observées sur le terrain, industrialisées, et parfois indétectables sans mesures rigoureuses.
C’est pourquoi le cadre proposé insiste sur l’analyse détaillée des mécanismes de preuve. Les solutions doivent être testées dans des conditions réalistes, selon des protocoles reproductibles, et subir une évaluation formelle, indépendante et documentée. Le simple fait d’avoir recours à de l’intelligence artificielle ne suffit pas : l’IA doit être entraînée, éprouvée, et intégrée dans une chaîne de confiance complète.
“Ce que l’on gagne en accessibilité, on le perd souvent en maîtrise du canal.”
La grande difficulté de la vérification à distance tient à la perte de contrôle de l’environnement. Contrairement à une vérification physique, les conditions d’éclairage, de réseau, de matériel ou d’interaction sont imprévisibles. Cette variabilité accroît les risques de contournement. De plus, certaines personnes malveillantes opèrent depuis des environnements entièrement simulés (VM, spoofing caméra, falsification d’interface).
Le document aborde également la fiabilité des composants logiciels et matériels utilisés par l’utilisateur. Il insiste sur le fait que la solution de vérification doit détecter, ou du moins limiter, les tentatives d’exécution dans des environnements non sécurisés. La simple capture d’un document ou d’un visage ne suffit pas : il faut garantir l’origine, la fraîcheur et l’intégrité de l’information.
Pour cela, l’ANSSI et le BSI plaident pour une approche fondée sur la preuve : chaque solution doit démontrer ses capacités face à des scénarios d’attaque réalistes. Les performances doivent être mesurées selon des indicateurs normalisés : taux d’erreurs, taux de rejets, faux positifs, résistance à la fraude. Et ces mesures doivent être publiques, traçables, mises à jour, et auditées par des tiers de confiance.
“La confiance numérique se construit aussi sur des référentiels partagés, des tests reproductibles, et des seuils d’acceptabilité clairs.”
Au-delà des seuls critères techniques, le document souligne l’importance d’une gouvernance européenne alignée. Chaque État membre peut adopter ses propres approches, mais les portefeuilles numériques doivent être interopérables et équivalents en termes de fiabilité. Cela suppose une harmonisation des critères d’évaluation, des exigences techniques, et des procédures de contrôle.
Ce travail de convergence est indispensable pour éviter la fragmentation. Il garantit que l’identité numérique d’un citoyen allemand soit aussi crédible que celle d’un citoyen français lorsqu’il accède à un service estonien. C’est la seule manière de bâtir une confiance mutuelle, socle de l’identité numérique européenne.
Le document propose ainsi un modèle d’évaluation structuré, basé sur une analyse multicouche : sécurité documentaire, biométrie, résistance aux attaques, protection de la vie privée, robustesse des algorithmes. Ce modèle pourrait être décliné sous forme de référentiels techniques partagés, à l’image des CSPN (certifications de sécurité de premier niveau) ou des profils de protection utilisés dans l’évaluation des produits critiques.
Enfin, l’ANSSI et le BSI rappellent que la protection des données personnelles doit rester un principe cardinal. Même dans un cadre de sécurité renforcée, les mécanismes de vérification doivent être proportionnés, transparents, et conformes au RGPD. Cela inclut l’information des utilisateurs, la minimisation des données collectées, la possibilité de contrôle par l’utilisateur, et une durée de conservation limitée.
“La robustesse technique ne suffit pas si elle se fait au détriment de la confiance humaine.”
À travers cette publication, les deux agences appellent à un équilibre subtil : rigueur technique, transparence des méthodes, respect des droits fondamentaux. Ce triptyque constitue le fondement d’une identité numérique fiable, accessible et respectée. L’enjeu dépasse la seule question de la sécurité. Il touche à la capacité d’un continent à bâtir un socle de confiance dans le monde numérique.
Le déploiement du portefeuille européen d’identité numérique est un défi technique, mais aussi politique. Il incarne une vision : celle d’un espace numérique européen sûr, respectueux des citoyens, et capable de rivaliser avec les grands modèles extra-européens. Pour y parvenir, la vérification d’identité à distance n’est pas une simple fonctionnalité. C’est la clé de voûte d’un projet qui engage la souveraineté numérique de l’Europe.
