Que sont les Verifiable Credentials ?
Verifiable Credentials (VCs) are digitally signed credentials that let someone prove something about a set of claims in a way that’s easy to verify and tamper-proof.
Si vous avez déjà présenté un diplôme papier, un certificat professionnel, ou n’importe quelle pièce justificative, vous comprenez déjà le concept. Un Verifiable Credential est l’équivalent numérique, avec une amélioration importante : il inclut une preuve cryptographique, ce qui permet à un vérificateur de contrôler l’authenticité (contenu, émetteur, date d’émission) et de détecter toute modification.
Le modèle VC en bref
W3C VC 2.0 est le standard mondial pour représenter des justificatifs vérifiables cryptographiquement, dans un format lisible par machine.
Un VC est pensé pour un monde où partager une preuve ne devrait pas nécessiter une suite interminable d’emails, de PDFs, de captures d’écran, ou de vérifications manuelles.
En pratique, le flux est généralement le suivant :
- Un émetteur (issuer) crée un justificatif (par exemple, une compagnie d’assurance émet une attestation, ou une université émet un diplôme).
- Un détenteur (holder) le stocke (souvent dans un portefeuille numérique ou un système sécurisé).
- Un vérificateur (verifier) le contrôle quand c’est nécessaire (par exemple, un employeur vérifiant un diplôme ou une fiche de paie).
Cette approche s’inscrit dans le modèle W3C des Verifiable Credentials, qui décrit une manière standard de structurer, sécuriser et échanger des justificatifs.
Qu’est-ce que le W3C ?
Fondé en octobre 1994 par Tim Berners-Lee au MIT, en collaboration avec le CERN, avec le soutien de la DARPA et de la Commission européenne, le World Wide Web Consortium (W3C) est le principal organisme international qui développe des standards et des recommandations Web ouverts, afin que le Web reste interopérable entre navigateurs et appareils, et qu’il fonctionne « pour tout le monde » (avec une forte attention portée à l’accessibilité, l’internationalisation, la vie privée et la sécurité).
En janvier 2023, le W3C a été relancé en tant qu’organisation à but non lucratif d’intérêt public, tout en conservant son modèle piloté par ses membres et sa portée internationale.
Qu’est-ce qui rend un credential « vérifiable » ?
Un Verifiable Credential est conçu pour être :
Détectable en cas d’altération (tamper-evident) : si quelqu’un modifie le justificatif après son émission, la vérification échoue.
Authentique : un vérificateur peut confirmer qui l’a émis en contrôlant la preuve cryptographique de l’émetteur.
Portable : les détenteurs peuvent réutiliser le même justificatif auprès de différents vérificateurs, au lieu de recommencer le même processus de vérification à chaque fois.
Que contient un Verifiable Credential ?
Un Verifiable Credential contient :
- une liste de types, incluant au minimum « VerifiableCredential » ;
- un payload structuré (les « claims ») ;
- une identité d’émetteur (généralement un DID, voir plus bas) ;
- une section proof (JWS / LD-proof) ;
- une section optionnelle credential status ;
- un contexte JSON(-LD) qui établit la signification sémantique.
Extrait de la documentation du W3C, « ce Verifiable Credential indique que l’entité associée à did:example:abcdef1234567 a un nom dont la valeur est Jane Doe » :
{
"@context": [
"https://www.w3.org/ns/credentials/v2",
"https://www.w3.org/ns/credentials/examples/v2"
],
"id": "http://vc.example/credentials/4643",
"type": ["VerifiableCredential"],
"issuer": "https://issuer.example/issuers/14",
"validFrom": "2018-02-24T05:28:04Z",
"credentialSubject": {
"id": "did:example:abcdef1234567",
"name": "Jane Doe"
}
}Comment la vérification fonctionne-t-elle généralement ?
Lorsqu’un vérificateur reçoit un justificatif (ou une présentation dérivée de justificatifs), il contrôle généralement :
- La preuve cryptographique pour confirmer que le justificatif est authentique et n’a pas été modifié.
- Des règles et exigences comme l’émetteur attendu, le type de justificatif et la période de validité.
- Le statut (le cas échéant) pour savoir si le justificatif a été révoqué ou suspendu.
Les Verifiable Credentials nécessitent-ils une blockchain ?
Non. Les Verifiable Credentials sont un modèle de données et une approche de vérification, pas une obligation de stocker quoi que ce soit sur une blockchain. Certains écosystèmes utilisent des registres distribués pour publier des clés, des registres, ou des informations de statut, mais les VCs peuvent très bien fonctionner sans blockchain.
Où se placent les DIDs ?
Dans la plupart des déploiements de Verifiable Credentials, les identités sont représentées par des Decentralized Identifiers (DIDs).
Un DID est un type d’identifiant écrit sous forme d’URI (par exemple, il commence par did:). Un DID renvoie à un DID document, un document lisible par machine qui peut publier des éléments comme des méthodes de vérification (par exemple des clés publiques) et des points de service (service endpoints). En pratique, c’est ce qui rend un DID utile dans les systèmes de justificatifs : il offre aux vérificateurs un moyen standard de trouver l’information nécessaire pour vérifier les preuves et signatures.
Les DIDs sont conçus pour que le contrôleur du DID puisse prouver qu’il le contrôle grâce à la cryptographie. Cette même idée de « prouver le contrôle » permet aux émetteurs et aux détenteurs d’utiliser les DIDs comme identifiants stables dans l’écosystème des Verifiable Credentials.
Révocation et suspension : comment est-ce géré ?
Dans la vie réelle, des justificatifs doivent parfois être annulés (révoqués) ou désactivés temporairement (suspendus).
Un schéma moderne et largement discuté consiste à publier le statut des justificatifs via des status lists basées sur des chaînes de bits (bitstring-based status lists), pensées pour être efficaces à grande échelle et plus respectueuses de la vie privée que d’autres registres de révocation. Le vérificateur contrôle le statut quand c’est requis, sans que l’émetteur ait besoin d’être impliqué dans chaque vérification.
Cas d’usage courants des Verifiable Credentials
Les Verifiable Credentials peuvent être utilisés partout où la confiance est essentielle et où la vérification manuelle coûte cher :
- Éducation : diplômes, certificats, relevés de notes
- Pièces justificatives : factures d’électricité, fiches de paie, attestations d’assurance
- Justificatifs professionnels : licences, adhésions, accréditations
- Entreprise et conformité : attributs organisationnels vérifiés, preuves d’éligibilité
- Identité digitale: vérification d'âge, résidence, permission, rôles
Avantages
- Moins de fraude et des contrôles d’authenticité plus simples
- Moins d’intégrations nécessaires entre chaque émetteur et chaque vérificateur
- Meilleur contrôle côté utilisateur, surtout lorsque les présentations ne partagent que le strict nécessaire
- Scaling efficace pour l’émission et la vérification de justificatifs en grand volume
Sources et standards
- W3C History
- W3C Verifiable Credentials Data Model v2.0
- W3C Verifiable Credentials Overview (roadmap-level explanation of the VC specs)
- W3C Decentralized Identifiers (DIDs) v1.0
- W3C Bitstring Status List v1.0 (credential revocation/suspension status via bitstrings)
- W3C Verifiable Credential Data Integrity 1.0 (cryptographic proofs for authenticity and integrity)
- W3C Securing Verifiable Credentials using JOSE and COSE (JWT, SD-JWT, COSE approaches)
- OpenID for Verifiable Presentations 1.0 (common protocol layer used in deployments)
- W3C press release announcing Verifiable Credentials 2.0 as a W3C Standard