Vous n’êtes pas familier avec les acronymes EBSI ou fr.EBSI ? Vous n’êtes pas certain de savoir ce qu’est une Attestation Vérifiable (Verifiable Credential) ?

Allons-y pas à pas pour découvrir le projet gouvernemental français fr.EBSI et ses livrables.

Les acteurs du projet fr.EBSI

Le projet fr.EBSI est lauréat de l’appel à projet européen CEF Telecom 2020-FR-IA-0099. Il s’agit du projet gouvernemental français au sein du Partenariat Européen de la Blockchain pour EBSI.

Le projet est mené par l’Université de Lille : Perrine de Coëtlogon, Université de Lille, représentante de la France au Partenariat Européen de la Blockchain (EBP) et Pierre Boulet, Vice-président infrastructures numériques de l’Université de Lille.

Le projet est réalisé en consortium avec le GIP Renater et la société Blockchain Certified Data – BCdiploma. 

Le GIP Renater et BCdiploma ont participé au déploiement des noeuds français de la blockchain EBSI, et les équipes de BCdiploma ont déployé les outils d’émission d’attestations vérifiables de diplômes, notamment au sein de l’Université de Lille.

Ceci a donné lieu à un projet d’émission d’attestations blockchain de réussite au diplôme sans précédent sur la scène universitaire internationale : le projet Dem-Attest-ULille. Plus de 25 collaborateurs de l’Université de Lille ont participé à la mise en place d’un flux automatisé d’attestations blockchain de réussite au diplôme. Attestations bilingues, vérifiables, et 100% numériques. Le livre blanc de l’Université de Lille “Attestations numériques blockchain de l’Université de Lille” est accessible ici

Logo Ebsi

Attestations Vérifiables, EBSI, fr.EBSI : définitions

  • EBSI signifie Infrastructure Européenne de Service Blockchain. Cette infrastructure, déployée par la Commission Européenne et le Partenariat Européen de la Blockchain (EBP), fournit une blockchain et un environnement numérique de confiance pour permettre le déploiement de services publics nationaux et transnationaux innovants.
  • fr.EBSI est le nom du projet gouvernemental français visant à émettre des diplômes numériques dits “vérifiables” sur la blockchain EBSI, selon les nouvelles normes édictées par le W3C : les “Verifiable Credentials”. Ce projet est porté pour la France par l’Université de Lille, et BCdiploma en est l’opérateur technique.
  • Attestation Vérifiable – Verifiable Credential : une attestation numérique est dite “vérifiable” lorsque son authenticité peut être vérifiée en ligne directement par celui qui la consulte. Pour parvenir à cet objectif, un ensemble de technologies blockchain et de registres européens de confiance sont mis à disposition par EBSI. Ils permettent de mettre en œuvre un nouveau standard international nommé “Verifiable Credential”, qui préfigure l’objet “diplôme numérique”.

Objectifs du projet fr.EBSI

Le projet fr.EBSI, lancé en janvier 2021 pour une durée de deux ans, a pour but de :

  • Déployer et maintenir des nœuds de la blockchain Européenne EBSI,
  • Déployer et tester une solution d’émission d’attestations numériques de réussite au diplôme respectant les standards internationaux “Verifiable Credentials” sur la blockchain EBSI,
  • Déployer et tester les outils d’identité numérique nécessaires, à savoir des wallets ou portefeuilles numériques d’identité de personnes morales (une université émettant des diplômes) et de personnes physiques (un étudiant recevant un diplôme).

L’Université de Lille a lancé, en parallèle du projet fr.EBSI le projet Dem-Attest-ULille, permettant à l’Université d’émettre à grande échelle de façon automatisée des attestations numériques blockchain pour l’ensemble de ses diplômés… les attestations produites respectant bien sûr les standards EBSI ! Ainsi, à l’automne 2022, les premiers étudiants de l’Université pourront tester un wallet blockchain étudiant embarquant les toutes dernières technologies d’identité numérique déployées par la Commission Européenne.

L’équipe BCdiploma, opérateur technique du projet fr.EBSI, est heureuse de présenter les livrables du projet fr.EBSI. Pour ce faire, voici une attestation vérifiable émise pour un.e étudiant.e “Jane DOE” : on vous explique tout dans cet article !

Attestations Vérifiables sur la blockchain EBSI

Cliquez ici pour accéder à la Verifiable Presentation

A quoi servent les Attestations Vérifiables sur la blockchain EBSI ?

Voici une vidéo d’EBSI expliquant ce qu’est une Attestation Vérifiable :

Voici comment EBSI présente le cas d’usage diplôme :

Voici comment EBSI présente le cas d’usage diplôme
Voici comment EBSI présente le cas d’usage diplôme

Quel est l’objectif d’une Attestation Vérifiable ?

  • Créer un objet “diplôme numérique” dont toutes les parties prenantes soient certaines de l’authenticité ;
  • Faciliter tous les flux et processus nécessitant la demande, la production et la vérification de ces documents.

Ainsi, EBSI propose un environnement de travail qui permettra par exemple à tout étudiant :

  • de demander en ligne une attestation à une université ;
  • de la stocker dans un espace personnel sécurisé (wallet) ;
  • de les présenter à tout service d’une autre université, d’une administration ou d’une plateforme de recrutement, en ayant l’assurance qu’ils sont instantanément reconnus comme valides et authentiques, sans démarche auprès de l’université émettrice.

Quels sont les gains attendus des Attestations Vérifiables ?

On imagine sans peine, à l’échelle des échanges européens entre universités, les gains pour tous les acteurs et services administratifs, ainsi que la valeur ajoutée pour les diplômés, qui se retrouvent enfin en capacité de délivrer en toute situation un document authentique, sans démarche à réaliser.

Bien sûr, les cas d’usages des “Verifiable Credentials” sont nombreux et dépassent largement le cas du diplôme. On peut par exemple signaler les multiples applications directes pour l’identité numérique en imaginant que le “document vérifiable” peut contenir un ensemble d’attributs d’identité, régaliens ou non. Vous l’avez compris : cette révolution technologique va servir de base à nos futurs documents numériques : carte d’identité, passeport, permis de conduire, accès à des services financiers etc.  

Mais… Comment consulte-t-on ces données et vérifie t-on qu’elles sont valides ? A l’aide de n’importe quel service en ligne open source de vérification / validation de “Verifiable Credentials”. Au sein du projet fr.EBSI, en partenariat avec la librairie open source Walt.id et co-financé par NGI eSSIF-Lab, les équipes de BCdiploma ont mis en ligne un service de ce type, basé sur les bibliothèques open source du SSI Kit de Walt.id, auxquelles BCdiploma contribue activement.

Qu’est ce qu’une “attestation vérifiable” et que peut-on vérifier ?

L’attestation vérifiable que nous présentons ici utilise un format standard appelé “Verifiable Presentation” : il s’agit d’un format de données permettant à un diplômé, depuis son wallet personnel, de transmettre à une tierce partie (recruteur, université ou service automatisé de vérification de titres ou diplômes) des informations concernant à la fois son diplôme et son identité.

Cet objet numérique “Verifiable Presentation” est donc une enveloppe signée par le diplômé et contenant deux objets, dits “credentials” :

  • un diplôme numérique vérifiable,
  • une identité numérique vérifiable.

Comment consulte-t-on ces données et vérifie t-on qu’elles sont valides ?

Ainsi, si vous cliquez sur le lien “Attestation vérifiable” en haut à droite de l’attestation, vous êtes dirigé vers un service de validation de Verifiable Credentials qui vous permet de vérifier la bonne validité de l’attestation. Pourquoi peut-on avoir confiance dans ce service ? Parce qu’il utilise une bibliothèque open source reconnue par EBSI, à savoir Walt.id : on peut ainsi consulter l’ensemble du code utilisé.  

Ce service analyse le contenu et la validité des données, au regard des normes établies par EBSI :

Ce service analyse le contenu et la validité des données, au regard des normes établies par EBSI

Que nous apprend cette vérification et que signifie “Votre credential est valide” ?

  • Signature : une signature valide signifie que la chaîne de caractère fournie au service de validation a bien été signée par son émetteur, en l’espèce l’étudiant.e Jane DOE. Ici la chaîne de caractère est eyJraWQiOiJkaWQ6ZWJzaTp6eVJ2TFZqQ2h… à savoir “le credential dans son format JWT”. Ces données sont présentées “en clair” dans la partie “Contenu de votre credential”… mais pour corser l’affaire, le contenu en clair d’une Verifiable Presentation contient elle même deux “credentials” au format JWT qu’il va falloir vérifier selon la même méthode que celle présentée ici (il s’agit de l’identité du diplômé et du contenu du diplôme).

Pourquoi cette signature est-elle infalsifiable ? Parce qu’il s’agit d’une signature cryptographique vérifiable par algorithme, signature réalisée par l’étudiant.e Jane DOE à partir de son identifiant décentralisé (appelé Decentralized IDentifier ou DID), identifiant que l’Université de Lille a validé comme étant bien celui de Jane DOE, et que seul.e Jane DOE peut manipuler via son “Wallet étudiant”. Vous suivez ? On vous reparle plus bas du Wallet.

  • DID de l’émetteur : pour être valide, l’attestation doit être émise par un individu ou une entité possédant un Identifiant Décentralisé dûment enregistré dans un registre blockchain EBSI. Les règles pour enregistrer un tel identifiant dans le registre sont définies par l’écosystème EBSI. Par exemple, l’enregistrement du DID d’un étudiant est réalisé par l’Université, et l’enregistrement du DID de l’Université est réalisé par son Ministère.

  • DID du sujet : lorsqu’il y a lieu, par exemple pour une attestation de diplôme, le DID de l’émetteur diffère de celui du sujet (l’émetteur est l’université, et le “sujet” est le porteur de l’attestation, l’étudiant).

  • Date d’émission, Date de validité, Date d’expiration : il s’agit d’informations obligatoires dans une attestation.

Quelles informations fournit un “diplôme numérique vérifiable” ?

Cliquons maintenant sur “Vérifier la validité du diplôme sur la blockchain EBSI”, et détaillons ensemble les informations obtenues.

Quelles informations fournit un “diplôme numérique vérifiable” ?

Précisons tout d’abord que nous sommes en train de consulter un Verifiable Credential émis par une Université pour un.e étudiant “Jane DOE”, credential de type VerifiableAttestation Europass. Une attestation de ce type doit respecter un schéma élaboré par EBSI pour décrire un diplôme, ce terme étant pris dans son sens le plus générique possible : un acquis d’apprentissage. 

Soulignons que le schéma, ou modèle de données, proposé ici par EBSI, respecte deux référentiels : celui d’Europass, et celui du W3C. Nous avons ainsi l’assurance d’une bonne reconnaissance de ces informations par d’autres écosystèmes qu’EBSI. Ce modèle est très complet : vous pouvez prendre connaissance de sa couverture fonctionnelle ici. Le schéma est publiquement accessible sur la blockchain EBSI, et un émetteur de données, par exemple une université, doit être habilité pour avoir le droit d’utiliser ce schéma.

Dans l’exemple qui nous intéresse, le groupe projet fr.EBSI s’est concentré sur les attributs essentiels des diplômes de l’Université de Lille, et l’on retrouve, outre les identifiants décentralisés de l’émetteur (l’université) et du diplômé, les données suivantes :

les attributs essentiels des diplômes de l’Université de Lille

Dans une prochaine version, EBSI prendra en charge le multilinguisme. Par ailleurs, on peut, grâce au modèle de données Europass, apporter de nombreuses précisions sur la formation suivie, le type de validation, etc.

Quels attributs d’identité sont présentés dans la “Verifiable Présentation” ?

Abordons maintenant les questions d’identité numérique. Vous avez déjà compris que chaque étudiant est identifié par un Identifiant Décentralisé (DID) inscrit dans un registre de confiance EBSI par l’étudiant lui-même depuis son wallet, et ce grâce à l’autorisation délivrée par l’Université qui l’a authentifié. L’Université émet ensuite un “credential” d’un type particulier, appelé “Verifiable Id“, qui lui permet de mentionner les attributs d’identité dont elle se porte garant et dont l’étudiant pourra se servir depuis son wallet pour les partager.

Cliquons sur “Vérifier l’identité du diplômé sur la blockchain EBSI” :

L’Université émet ensuite un “credential” d’un type particulier, appelé

Le schéma de données proposé par EBSI respecte scrupuleusement les normes internationales, et permet de préciser le ou les types d’identifiants que l’émetteur souhaite utiliser. 

Dans le projet fr.EBSI, afin de promouvoir l’interopérabilité au niveau Européen, l’Université de Lille, qui est ici l’émetteur, a fait le choix de l’”European Student Identifier – ESI” pour identifier l’étudiant. Ainsi, cet identifiant décentralisé permettra à l’étudiant de prouver son identité auprès de tout service acceptant  le numéro européen d’étudiant ESI, et cela en un clic depuis son wallet.

Voici les données émises par l’Université comme attributs d’identité pour un étudiant :

Voici les données émises par l’Université comme attributs d’identité pour un étudiant

Ce qui est présenté ici se généralise sans peine à n’importe quel attribut régalien, qui pourra ainsi être mis à disposition des citoyens par l’institution qui en a le pouvoir. On imagine bien les potentiels de simplification que cela permettra pour généraliser les services de e-administration.

Quel est le cycle de vie d’un Verifiable Credential ?

Reprenons brièvement le cycle de vie complet d’une attestation vérifiable :

Quel est le cycle de vie d’un Verifiable Credential ?

The roles and information flows forming the basis for this specification

Les trois acteurs clés sont :

  • Un Issuer : par exemple une université,
  • Un Holder : par exemple un étudiant,
  • Un Verifier : par exemple une autre université ou un site de recherche d’emploi.

L’infrastructure qui crée la confiance est appelée ici “Verifiable Data Registry” : elle est réputée infalsifiable et toujours disponible, d’où l’usage des technologies blockchain.

Pour fonctionner, ce schéma a besoin d’un système permettant d’identifier les acteurs et de leur permettre de réaliser les actions nécessaires. Pour cela, la technologie choisie est celle de la “Self Sovereign Identity”, permettant aux individus d’agir depuis un Wallet avec des attributs d’identité vérifiables.

Pour un point de vue plus théorique, voici les schémas fournis par EBSI : https://ec.europa.eu/digital-building-blocks/wikis/display/EBSIDOC/Verifiable+Credentials+Lifecycle

D/ Link to the Verifiable Credential standard

Logo Ebsi

Annexe: détails des livrables du projet fr.EBSI

Contributions open source pour le déploiement d’applications basées sur EBSI

Contributions à la bibliothèque SSI Kit de Walt.id, dont la France est le premier contributeur externe : https://github.com/walt-id/waltid-ssikit/graphs/contributors (contributeur atuffreau-bcd).

  • Intégration des API EBSI et des schémas d’identité, de diplôme et de présentation vérifiables, onboarding client avec SIOPv2/OIDCv2, implémentation de la validation de schéma JSON, contributions aux trusted schema did et aux politiques de vérification des émetteurs, 
  • Client de signature EVM pour soumettre des transactions jsonrpc à EBSI, 
  • Mise en œuvre d’un magasin de clés HSM avec Cloud Key Vault, 
  • Contribution à l’architecture de l’API du portefeuille Walt.id (à mettre en œuvre).

Déploiement d’un service de validation des informations d’identification EBSI

Développement et diffusion open source d’un service de validation des VC et VP pour les early adopters, afin de leur permettre de vérifier leur VC pendant leur phase de développement.

Contributions directes à l’écosystème EBSI

  • Validation et débogage approfondis des modèles de données Verifiable ID et Europass utilisés par les pilotes multi-universitaires,
  • Soutien des pilotes de MU dans la validation et le débogage des VC/VP émis et avec le modèle de données Europass.

Préparation de la production automatisée des titres EBSI à l’Université de Lille

Développement et déploiement d’un outil open source pour l’ensemble de l’administration scolaire de l’université de Lille, permettant de délivrer des habilitations de manière automatisée à partir de l’outil informatique des universités françaises.

Ainsi, dès la mise en production d’EBSI, la France est en mesure de produire de manière automatisée les diplômes au format EBSI pour ses diplômés, et les universités françaises qui le souhaitent disposent d’un outil.

Déploiement d’un wallet conforme aux normes ESSIF/EBSI : financé par le NGI ESSIF Lab

Basé sur le SSI kit de walt.id et entièrement adapté au contexte universitaire.

Les travaux sont en cours : bientôt, les étudiants de l’Université de Lille recevront dans leur portefeuille les titres de compétences délivrés en flux continu par l’Université. Ce portefeuille sera utilisé par l’Université européenne CIVIS pour les badges de compétences délivrés par les Universités de leur réseau.

NGI ESSIF lab logo and co-financed by the connecting Europe flag

Ce wallet fait partie d’un projet qui a reçu un financement du programme de recherche et d’innovation Horizon 2020 de l’Union européenne, dans le cadre de la convention de subvention n° 871932.

Le contenu de cette publication relève de la seule responsabilité de BCdiploma et ne reflète pas nécessairement l’opinion de l’Union européenne.

Diffusion et formation

  • Conférences dans l’écosystème français et européen,
  • Participation à EBSILUX – Designathon, mai 2022, pour présenter le travail de fr.EBSI.

Documentation

A/ Ne manquez pas ce livre blanc : 

Le livre blanc de l’Université de Lille et de BCdiploma “Attestations numériques blockchain de l’Université de Lille” est accessible ici

B/ Vous souhaitez mieux comprendre les notions d’identité numérique (SSI)? Voici les ressources de notre partenaire Walt.id :

Introduction to Self-Sovereign Identity

Introduction to Digital Identity

C/ Lien vers le site officiel EBSI

D/ Lien vers le standard Verifiable Credential