Qualité de l'authentification (QoA)

Le concept QoA traite des différentes classes QoA, de leur définition et de leur classification. Dans ce contexte, chaque méthode d'authentification (credentials avec ou sans second facteur) correspond exactement à une classe QoA définie.

En spécifiant la classe QoA correspondante dans le protocole de fédération SAML/OIDC, les avantages sont les suivants :

  • Une application métier ne doit pas se soucier de la configuration fastidieuse des différentes méthodes d'authentification.
  • Il suffit de décider quelle classe QoA est souhaitée ou exigée pour l'application métier à intégrer. En spécifiant la classe QoA correspondante dans le protocole de fédération, on s'assure automatiquement que l'utilisateur se voit proposer toutes les méthodes d'authentification autorisées qui correspondent au moins à cette classe QoA.
  • Les nouvelles méthodes d'authentification intégrées au concept QoA sont ainsi automatiquement disponibles, sans qu'il soit nécessaire d'adapter l'application.
  • L'introduction de nouvelles méthodes d'authentification devient ainsi transparente pour l'application métier.
FIs FED-LOGIN/BYOI et QoA (Credentials/Types de clarification)
FIs FED-LOGIN/BYOI et QoA (Credentials/Types de clarification)

FI+Credential(s)+Type de vérification = Qualité de l'identité numérique

Tant les procédures d'authentification utilisées lors d'une inscription (Credentials) que le degré de vérification (type de vérification) d'une identité sont déterminants pour la qualité d'une identité numérique. eIAM décrit cela comme Quality of Authentication (QoA).

Pour les QoA40, 50 & 60, la identité électronique sous-jacente ne doit pas être simplement auto-enregistrée, mais vérifiée (nom, prénom, date de naissance, type et numéro de carte d'identité). Les identités électroniques vérifiées permettent de savoir qui a été équipé et donc, si nécessaire, d'exercer un recours contre ces personnes.

Vidéo-identification
×

Une identité électronique est considérée comme vérifiée lorsqu'une pièce d'identité officielle avec photo du titulaire de l'identité électronique est vérifiée, enregistrée et correctement attribuée au titulaire.

Le CH-LOGIN propose à cet effet l'identification vidéo VIPS. L'utilisateur, l'utilisatrice se connecte au moyen de CH-LOGIN sur MyAccount et procède à l'identification vidéo. L'identification vidéo est un appel vidéo au cours duquel un prestataire de services externe contrôle la pièce d'identité officielle avec photo et la personne. Les données collectées sont renvoyées à l'OFIT. A partir de maintenant, le CH-LOGIN est considéré comme vérifié, valable 5 ans pour toutes les applications de l'administration fédérale. La vidéo-identification coûte 45 CHF et est payée en ligne par l'utilisateur final au moment de l'entrée dans le processus (Moyens de paiement : MasterCard, Visa, ApplePay, GooglePay, SamsungPay, Twint, PostFinance Card, PostFinance E-Finance, American Express, PayPal ou par code-voucher de l'administration fédérale).

Dans certains cas, un second facteur de connexion spécialement sécurisé (jeton cryptographique dur) doit être utilisé. eIAM mise sur FIDO et Mobile ID, pour lesquels l'utilisateur final doit en apporter un lui-même. Les jetons FIDO sont disponibles dans les magasins d'électronique, la Mobile ID est préinstallée sur la plupart des SIM et eSIM suisses. FIDO et Mobile-ID sont reliés en libre-service au CH-LOGIN via MyAccount.

Actuellement, eIAM supporte également encore les jetons Vasco pour les identités électroniques vérifiées.


Mobile ID
×

La Mobile ID est un certificat enregistré sur les cartes SIM (Subscriber Identity Module, y compris eSIM) des fournisseurs de téléphonie mobile (actuellement uniquement suisses) (fournisseurs: voir https://www.mobileid.ch). Il peut être utilisé comme credential et est préalablement enregistré par les utilisateurs en libre-service sur MyAccount. Le système cible, qui demande un moyens d'authentification et de vérification d'identité et accepte pour cela l'ID mobile, envoie un message push dédié à l'appareil mobile qui utilise la carte SIM correspondante. L'utilisateur final doit alors saisir un mot de passe sur cet appareil mobile pour transmettre l'ID mobile au système cible qui l'a demandé.
L'utilisation du Mobile ID en tant que Credential ne conduit pas automatiquement à une identité électronique vérifiée, une identification vidéo doit être effectuée en plus à cet effet.

A partir de 2021, eIAM utilisera le Mobile ID comme deuxième facteur de connexion pour le FED-LOGIN, en combinaison avec le processus de clarification de la SG-PKI, ce qui permettra d'utiliser le Mobile ID comme identité électronique vérifiée. Cela ne s'applique toutefois qu'aux collaborateurs de l'administration fédérale.

eIAM accepte le Mobile ID comme deuxième facteur de connexion à partir du 8 août 2022, également pour le CH-LOGIN, en combinaison avec le service d'identification vidéo. La Mobile ID dans le contexte de l'administration fédérale ne s'adresse pas au grand public. Elle ne peut être utilisée au sein de l'administration fédérale que sur invitation. Vous recevrez l'invitation de votre contact auprès de l'administration fédérale, accompagnée d'un code dit MIO (Mobile ID-Onboarding Code).


FIDO
×

Les FIDO dongles seront utilisés comme second facteur dans l'eIAM.

Les FIDO dongles sont des supports de données, par exemple sous la forme d'une clé USB, contenant du matériel cryptographique. Les FIDO dongles sont achetés par les utilisateurs finaux eux-mêmes dans les magasins d'électronique. Les FIDO dongeles peuvent être utilisés comme credential et enregistrés au préalable par les utilisateurs en libre-service sur MyAccount. Le système cible qui demande un credential et accepte pour cela des FIDO dongles, vérifie le matériel cryptographique du jeton.

L'utilisation d'un jeton FIDO en tant que credential ne conduit pas automatiquement à une identité électronique vérifiée, une identification vidéo doit être effectuée en plus.

eIAM supporte les types de dongles FIDO suivants pour le CH-LOGIN.

  • YubiKey 5 FIPS Series with NFC
  • YubiKey 5 Series
  • YubiKey 5 Series with NFC
  • Security Key par Yubico avec NFC
  • Feitian BioPass FIDO2 Authenticator
D'une manière générale, on peut dire que Yubico est l'un des plus grands fabricants de dongle FIDO et que tous les dongles de la YubiKey Series 5 supportent FIDO2.

Windows Hello (empreinte digitale, reconnaissance faciale ou code PIN) peut également être utilisé comme passkey (FIDO). Veuillez noter que vous ne pouvez vous connecter avec un passkey Windows Hello que sur l'appareil que vous avez utilisé lors de l'enregistrement.

Dans quels cas les identités avec QoA40, 50 et 60 doivent-elles être utilisées?

  1. Accès aux ressources TIC de l'administration fédérale dans un contexte d'entreprise (collaborateurs et partenaires internes et externes). Exigence minimale QoA40.
  2. Accès aux données avec des exigences de protection accrues dans la SZ+ et le réseau de l'administration fédérale ; l'exigence minimale selon la politique de zone actuelle est QoA50, ce qui n'est possible qu'avec des jetons cryptographiques durs tels que la Smartcard, Mobile ID/FIDO avec VIPS.
  3. Nécessité pour le processus d'affaires de pouvoir identifier de manière fiable la personne qui agit (capacité de recours, exigence minimale QoA40). Ce cas peut par exemple aussi être réglé par l'application cible, en téléchargeant une copie de la pièce d'identité dans l'application cible.
Quelles méthodes de connexion via eIAM supportent les identités QoA40, 50 & 60 ?
  • La méthode de connexion FED-LOGIN supporte QoA40 à 60 pour les groupes cibles suivants. Lien d'information/instruction
    • Collaborateurs internes/externes qui sont ongeboardés par les RH de l'administration fédérale ou par des agents SG-PKI comme par exemple les cantons et qui sont équipés d'une Smartcard (QoA60).
    • Les détenteurs de cartes à puce qui souhaitent utiliser leur FED-LOGIN sans utiliser leur carte à puce avec un jeton cryptographique dur comme le Mobile ID (QoA50).
    • Les détenteurs de cartes à puce qui souhaitent utiliser leur FED-LOGIN sans utiliser leur carte à puce avec un second facteur comme mTAN, AuthApp ou le service Kerberos (QoA40).

  • La méthode de connexion "totally smartcardless" FED-LOGIN supporte QoA50 pour le groupe cible suivant. Lien d'information/instruction
    • Collaborateurs externes de l'administration fédérale qui ne possèdent pas de carte à puce fédérale et qui n'en seront pas équipés dans un avenir proche (p. ex. utilisateurs de VDI mobiles), mais qui doivent accéder à des ressources de l'administration fédérale exigeant une authentification forte. En effectuant la mise à niveau FED-LOGIN "Totally Smartcardless", ces collaborateurs peuvent améliorer la qualité de leur identité en passant par un processus d'identification vidéo et en enregistrant simultanément un moyen d'authentification fort avec le Mobile ID (QoA50).

  • La méthode de login CH-LOGIN supporte la QoA20 à 50. Lien d'information/instructions
    • Le CH-LOGIN doit être utilisé par toutes les personnes qui ne peuvent pas avoir de FED-LOGIN. Cela concerne entre autres aussi les collaborateurs fédéraux des établissements d'exploitation proches de la Confédération (3e cercle dans le modèle des quatre cercles).
    • Le CH-LOGIN est également utilisé par les titulaires d'un FED-LOGIN lorsqu'ils souhaitent agir en dehors du contexte professionnel (personne privée, représentant de l'économie). Important: les jetons FIDO ne peuvent être utilisés ici qu'avec des moyens TIC privés. L'utilisation de moyens TIC de l'administration fédérale est interdite!
Qu'est-ce qu'un Guest-Login QoA10?
Le guest-login est un pseudo-login mis à disposition par eIAM, basé exclusivement sur la saisie d'un numéro de téléphone qui peut recevoir un code à usage unique (mTAN) sous forme de message textuel ou vocal. Il n'est pas nécessaire de créer un "compte" comme par exemple un CH-LOGIN, car le guest-login est une solution "fire-and-forget" et a donc plutôt le caractère d'un captcha étendu que d'un login. C'est pourquoi les applications cibles ne doivent pas implémenter la reconnaissance des logins invités, bien que l'identifiant technique soit constant par numéro de téléphone utilisé. Il y aurait par exemple reconnaissance si un utilisateur pouvait voir, lors d'une connexion d'invité ultérieure, des données qu'il a saisies lors d'une connexion d'invité précédente (avec le même numéro de téléphone).

Informations détaillées sur les linkktext
Informations détaillées sur les linkktext
Informations détaillées sur la QoA: