Côté technique n° 3 : Pourquoi faire confiance à la chaîne ?

Dans le premier volet d’une série en deux parties, Esteban Garcia, consultant technique collaborant avec la GLEIF, explore les chaînes de confiance invisibles qui cimentent notre monde – et explique pourquoi la nécessité de vérifier chaque maillon de chaque chaîne exige bien plus que de la simple paperasse.

---

---

Pourquoi faites-vous confiance à un médecin qui vous soigne à l’hôpital ?

L’histoire derrière cette confiance se résume ainsi : le gouvernement accorde l’accréditation à une université. Cette université accréditée délivre à la personne un diplôme de médecine. Un ordre des médecins, agréé par le gouvernement, examine ce diplôme et délivre une licence d’exercice. Un hôpital vérifie cette licence et accorde au médecin l’autorisation d’effectuer des interventions spécifiques dans cet établissement. Ensuite, vous, le patient, faites confiance à la personne en blouse blanche pour vous opérer.

Les chaînes de confiance invisibles qui font tenir le monde

Ce que vous venez de lire est une chaîne de confiance. Ces chaînes de confiance sont omniprésentes et passent souvent inaperçues.

Chaque chaîne de confiance commence par une entité au sommet à laquelle tout le monde accepte de faire confiance. Ce point de départ s’appelle une racine de confiance. Chaque maillon dépend alors du précédent. Si l’université perd son Accréditation, les diplômes qu’elle délivre deviennent discutables. Si l’autorisation d’exercer expire, les privilèges hospitaliers s’effondrent. La chaîne se brise de haut en bas.

En pratique, vous faites confiance à la blouse blanche. Mais implicitement, vous faites confiance au fait que l’hôpital a vérifié la licence, que le conseil a vérifié le diplôme, que le gouvernement a vérifié l’université, et ainsi de suite. Vous vérifiez le dernier maillon et supposez que la chaîne tient.

Le problème du papier

Si ces chaînes de confiance cimentent la civilisation, elles sont étonnamment fragiles. Elles reposent en grande partie sur des formalités administratives, des audits périodiques et l’hypothèse que chaque maillon a été correctement vérifié avant la délivrance d’un titre. Une partie de ces formalités est désormais numérique, mais un PDF signé protège le document, pas la chaîne qui le sous-tend. Vous ne pouvez toujours pas vérifier qui a autorisé le signataire, ni si cette autorisation est toujours valable. Les audits et la diligence humaine lors de la délivrance resteront toujours nécessaires.

Mais que se passerait-il si chaque maillon était aussi facile à vérifier que de vérifier un feu vert ? Et si, une fois un certificat délivré, n’importe qui pouvait vérifier l’ensemble de la chaîne en quelques millisecondes, sans appeler personne, sans courir après des documents papier, sans se demander si la chaîne tient toujours ?

C'est le problème que le GLEIF a cherché à résoudre en créant l'identifiant d'entité légale vérifiable (vLEI).

Ce que fait le vLEI

Le vLEI est un système permettant de vérifier cryptographiquement l’identité d’une organisation. Il permet aux organisations et aux personnes qui les représentent de prouver leur identité d’une manière que tout vérificateur peut confirmer de manière indépendante, sans dépendre d’une autorité centrale au moment de la vérification. Le vLEI relie l’identité organisationnelle du monde réel à travers une chaîne de références soigneusement conçue. Chaque référence de la chaîne vLEI est émise par une entité qui a elle-même été contrôlée et accréditée par le niveau supérieur, formant ainsi une hiérarchie ancrée dans une racine de confiance mondiale unique : la GLEIF.

« Cryptographiquement vérifiable » signifie que l'identité organisationnelle associée à un vLEI ne peut être falsifiée, altérée ou contestée par la partie qui l'a émis. Elle peut toutefois être révoquée intentionnellement par l'émetteur de vLEI si les circonstances changent. Cela apporte des garanties inégalées par aucune autre méthode d'authentification organisationnelle.

Un exemple concret

Considérons le scénario suivant. Une entreprise souhaite signer un contrat avec le gouvernement pour un projet d’infrastructure publique. Le responsable des marchés publics doit répondre à une question simple : la personne qui signe ce contrat est-elle habilitée à le faire ?

Suivons la chaîne : un registre du commerce enregistre l'entreprise. Le conseil d'administration de l'entreprise adopte une résolution autorisant certains dirigeants à agir en son nom. Le PDG signe le contrat. Mais le PDG ne peut pas être impliqué dans chaque interaction du projet, il délègue donc son autorité au vice-président des opérations pour le travail quotidien sur ce projet spécifique. Le responsable des marchés publics doit désormais tout vérifier : l’entreprise existe-t-elle ? Le PDG est-il bien le PDG ? Le vice-président a-t-il le pouvoir de conclure cet accord spécifique ? La délégation est-elle toujours valide ?

Aujourd’hui, cette vérification implique des documents notariés, des apostilles, des traductions certifiées, des appels aux registres et des avocats chargés d’examiner les procès-verbaux du conseil d’administration. Cela peut prendre des semaines. Avec le vLEI, le responsable des achats vérifie l’ensemble de la chaîne en quelques secondes, de manière cryptographique, sans avoir à appeler qui que ce soit.

L'existence de l'entreprise, le rôle du PDG et l'autorité déléguée au vice-président pour ce projet spécifique : chacun de ces éléments devient un identifiant vérifiable, relié de manière cryptographique et traçable jusqu'à la GLEIF, en tant que racine mondiale de confiance. Pas d'appels téléphoniques. Pas de paperasse. Pas d'hypothèses. Juste une confiance vérifiable.

Dans le prochain article de cette série, nous ouvrirons la chaîne vLEI et passerons en revue chaque maillon en détail : qui émet quelle attestation, à qui, et pourquoi la structure tient la route.

---