Concept pour des systèmes d'eid suisses reconnus par l'état

Transcription

1 Département fédéral de justice et police DFJP Office fédéral de la police fedpol Domaine Développement des documents d'identité Concept pour des systèmes d'eid suisses reconnus par l'état Donneur d'ordre Chef de projet Auteurs Classification Statut fedpol Markus Waldner Lorenz Müller, Markus Waldner public consultation informelle Contrôle des modifications Date Version Modification Auteur ,1 Structure et contenu à partir de la base de discussion du concept fédéral d'eid L. Müller ,2 Ébauche L. Müller, M. Waldner ,6 Précision et resserrement de la terminologie; chapitre sur la législation ,9 Version pour la consultation des offices L. Müller, M. Waldner, Urs Paul Holenstein, Daniel Stettler L. Müller, M. Waldner, R. Vanek ,95 Version pour la consultation informelle L. Müller, M. Waldner, K. Good Toutes les formulations utilisées désignent indifféremment les personnes de sexe masculin ou féminin. 1 Konzept eid v095 - Informelle Konsultation Mai 15_f

2 Comparable à une carte d'identité ou un passeport dans le monde physique, une eid est destinée à la justification de sa propre identité dans le monde Résumé virtuel. Le Conseil fédéral a mandaté le DFJP pour l'élaboration d'un concept et d'une ébauche pour la mise en forme juridique du futur moyen d'identification électronique officiel (eid), qui sera proposé conjointement avec la nouvelle carte d'identité (CID) et qui devra être compatible avec les systèmes d'identification de l'ue. L'UE prévoit que ses États membres délivrent uniquement des eid reconnus publiquement pour leurs propres citoyens dans le sens de la responsabilité régalienne, les États pouvant néanmoins reconnaitre mutuellement ces eid (notification). Le présent concept s'oriente aussi à ce modèle avec comme objectif de définir les procédures pour l'acquisition et l'utilisation de l'eid officielle suisse ainsi que l'approche de la solution technique. L'étape suivante prévue pour le deuxième semestre 2015 consistera à élaborer le projet de loi correspondant qui devra être présenté dans le cadre de la procédure de consultation au printemps La convivialité d'utilisation de l'eid et son attractivité pour les offres qu'elle permet d'utiliser ont été identifiées dans le cadre de l'analyse de systèmes eid (publics) existants comme les facteurs clés de succès les plus importants. Le premier facteur de succès soulève directement la question clé pour savoir si l'état est en mesure de concevoir et de délivrer avec des dépenses acceptables une propre eid attractive à long terme (réalisée comme token physique, par ex. sous forme d'une puce sur la carte d'identité) ou s'il serait plus raisonnable de résoudre ce problème en utilisant les offres présentes sur le marché en raison de la rapidité actuelle de l'évolution technologique et socio-économique. Dans ce contexte, il est important de noter qu'une eid sera majoritairement utilisée pour l'authentification en ligne, qui est précisément un processus soumis à une évolution très rapide. Une eid émise par l'état serait incontestablement vite dépassée. Représentant sans doute un processus qui s'étend sur plusieurs années, la satisfaction des exigences du second facteur de succès relève des responsabilités des autres protagonistes de l'écosystème relatif à l'eid. Il convient de mentionner ici explicitement le service national et international de fédération planifié dans le cadre du projet «Fédération suisse d identités» (projet B2.06), ce service étant vraisemblablement destiné à jouer un rôle central pour le succès de l'écosystème eid suisse ainsi que pour la mise à disposition de l'interface de compatibilité avec les systèmes eid de l'ue. Suite aux connaissances acquises par l'analyse précitée, le présent concept a été élaboré en présupposant le renoncement de l'émission d'une propre eid publique. À cet égard, les systèmes eid existants et futurs peuvent demander une certification publique (par ex. SuisseID, Mobile ID, etc.), s'ils remplissent les conditions légales qui restent à définir. Les systèmes eid des autorités prévus par exemple dans le cadre du projet IAM sont compris dans ces systèmes. L'objectif est de permettre à chaque personne d'utiliser son eid habituelle pour les transactions quotidiennes sans nécessité de recourir à des infrastructures eid publiques. Il reste à analyser et à déterminer séparément s'il est nécessaire de prévoir l'utilisation d'un propre terminal supplémentaire particulièrement sûr pour des transactions particulièrement sensibles comme dans le domaine du vote électronique. La solution prévoit que les personnes peuvent demander une certification publique pour les attributs d'identité de leur eid à l'aide d'un compte d'identité devant être créé nouvellement par la Confédération. L'ouverture facultative d'un compte d'identité impliquera impérativement un entretien personnel afin de déterminer de manière incontestable l'identité de la personne concernée. Un tel entretien se déroulera dans un cadre organisationnel identique à celui afférent à une demande de passeport ou de CID. L'utilisation du compte d'identité sera toujours liée à une procédure d'authentification forte (2 facteurs). Lors de l'ouverture d'un compte d'identité, le bureau d'enregistrement fédéral fournit au requérant les moyens pour une telle authentification sous la forme d'une combinaison de nom d'utilisateur/code PIN ainsi qu'un mot de passe unique envoyé sur un mobile. Le titulaire du compte enregistrera ultérieurement une eid reconnue publiquement, acquise sur le marché, pour accéder à son compte. Cette procédure permettra d'enregistrer et de certifier une eid de manière très flexible en termes de délais à court terme mais aussi ultérieurement. 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 2/ 84

3 Après mûr examen de la probabilité de l'acceptation des utilisateurs, des risques, des coûts ainsi que des résultats de la consultation des offices, la conclusion du projet est que la solution proposée décrite est celle qui remplit le mieux les différents niveaux d'exigences d'une eid reconnue publiquement. Cette solution doit à présent être évaluée et validée dans le cadre de la consultation informelle. 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 3/ 84

4 Table des matières 1 Introduction Objet du présent document Structure du présent document Résumé Définitions et acronymes Situation initiale Motif et mandat Cadre international (UE) Écosystème national d'identité électronique Conclusions précédentes Décision de principe Objectifs Stratégie Utilité Population Économie privée Autorités Système eid Écosystème eid Exigences Système eid Contribution de l'état Système eid Contribution du prestataire de service Écosystème eid Sécurité et protection des données Concept de solution Résumé synoptique Architecture Service d'enregistrement public du SIP Service de cachet des attributs d'identité du SIP Service d'octroi de licence du SIP Support technique Interface UE (ne fait pas partie de ce projet) Processus (E.1) Ouverture d'un compte d'identité (E.2) Acquisition et initialisation d'une eid reconnue publiquement (E.3) Enregistrement d'une eid et certification d'attributs d'identité (E.4) Émission d'une confirmation d'attributs pour une PU (E.5) Révocation par l'idp d'une confirmation d'attributs émise (E.6) Utilisation du compte d'identité et enregistrement d'eid supplémentaires (E.7) Révocation par l'idp émetteur d'une eid (S.1) Reconnaissance publique d'un IdP et licence pour un système eid (S.2) Validation de la licence d'un IdP sur demande d'une partie utilisatrice (S.3) Révocation d'une licence pour l'émission d'eid reconnues publiquement Éléments de solution généraux Législation Normalisation Communication Notification Konzept eid v095 - Informelle Konsultation Mai 15_f 4/ 84

5 6.4.5 Écosystème eid Sécurité et protection des données Menaces Risques Mesures de sécurité Exigences législatives d'une notification Réglementation eid de l'ue conformément au règlement eidas Aperçu du règlement eidas Principe de la reconnaissance mutuelle Procédure de notification Participation de la Suisse au système eidas de l'ue Justifications d'une participation au dispositif de reconnaissance mutuelle Accord avec l'union européenne Analyse de la législation Hypothèses Aperçu des exigences relatives à la notification d'après l'article Remarques d'ordre général pour l'application du règlement eidas en Suisse : le système eid et les eid répondent aux exigences techniques : l'état veille à l'identification des personnes : la partie délivrant l'eid veille à l'attribution de l'eid à la personne visée : l'état garantit une authentification en ligne disponible à tout moment Mise en œuvre Planification et organisation Coûts et investissement Risques liés au projet Répercussions Personnes de nationalité suisse Personnes de nationalité étrangère Économie privée Autorités Généralités Confédération Cantons Coûts Annexes Extrait du règlement eidas Authentification et identification Authentification Identification Fonction d'authentification dans une eid Méthodes et technologies d'authentification Authentificateurs d'après les spécifications FIDO Niveau d'authentification Utilisation d'une eid avec attributs d'identité certifiés par l'état Exemple d'utilisation Bibliographie Konzept eid v095 - Informelle Konsultation Mai 15_f 5/ 84

6 Index des figures Figure 1 Termes/concepts de l'écosystème eid... 8 Figure 2 Contributions de l'état à l'écosystème eid Figure 3 Acteurs de l'écosystème eid Figure 4 Authentification et identification Figure 5 Contributions de l'état: octroi de licence, enregistrement et cachet électronique. 25 Figure 6 Contributions de l'état à l'écosystème eid Figure 7 Vue d'ensemble d'un système eid reconnu publiquement Figure 8 Cycle de vie d'une eid Figure 9 Structure organisationnelle d'un système eid reconnu publiquement Figure 10 Infrastructure technique et interfaces du SIP Figure 11 Schémas séquentiels des quatre processus d'exploitation principaux Figure 12 Domaines des responsabilités d'un système eid reconnu publiquement Figure 13 Configuration d'une certification SCSE Figure 14 Fonction d'authentification d'une eid Figure 15 Authentification d'après la norme FIDO Figure 16 Authentificateurs FIDO Figure 17 Niveaux de sécurité de l'authentification Figure 18 - Les trois étapes jusqu'à la disponibilité opérationnelle de l'eid Figure 19 - Utilisation de l'eid pour les parties utilisatrices (par ex. banques) Index des tableaux Tableau 1 Définitions et abréviations Tableau 2 Objectifs des systèmes eid reconnus publiquement Tableau 3 Objectifs de l'écosystème eid Tableau 4 Exigences du système eid pour l'état Tableau 5 Exigences pour les systèmes eid des IdP Tableau 6 Exigences pour l'écosystème eid Tableau 7 Exigences en matière de sécurité et de protection des données Tableau 8 Menaces et risques Tableau 9 Aperçu des coûts Tableau 10 Estimation des émoluments Tableau 11 Degrés de confiance selon la norme ISO Bibliographie La bibliographie se trouve à la fin de l'ouvrage, au chapitre 11. Les références dans le texte sont indiquées entre crochets [ ] (recommandation IEEE). 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 6/ 84

7 1 Introduction 1.1 Objet du présent document Le présent document décrit le concept pour les systèmes d'identification électronique (systèmes eid) suisses reconnus par l'état, qui sont compatibles avec les systèmes eid de l'ue et ont donc la capacité d'être notifiés [1]. Il décrit les aspects organisationnels, techniques, financiers ainsi que les aspects juridiques de la réalisation prévue et fournit une base pour l'élaboration ultérieure du projet de loi et du concept détaillé. Le concept doit être soumis à la direction du DFJP pour approbation mi dans une version rédigée en concertation avec les services concernés de l'administration et du public. Le projet de loi sera ensuite rédigé avant d'être présenté mi-2016 au Conseil fédéral pour consultation. 1.2 Structure du présent document Le résumé du concept peut être consulté au chapitre 1.3 et la terminologie uniforme, utilisée et basée sur des termes courants dans le contexte des systèmes eid européens [1], est référencée au chapitre 1.4. Le chapitre 2 est consacré à la présentation de la situation initiale avec la description du mandat du conseil fédéral, du contexte international et des connaissances actuelles sur les systèmes eid. La situation initiale a engendré la décision de principe, décrite au chapitre 3, de renoncer à la mise en œuvre d'une eid propre à l'état, mais au contraire de limiter au strict minimum la participation de l'état à l'écosystème eid. Sur la base de cette décision de principe, le chapitre 4 définit les objectifs du système eid reconnu par l'état ainsi que l'écosystème eid global, un sous-chapitre propre étant consacré au thème «Utilité» (bénéfices), crucial pour l'acceptation du concept. Le chapitre 5 précise ensuite les exigences. Enfin, le chapitre 6 décrit les composants de la solution en distinguant ceux dont la réalisation est du ressort de l'état et les autres. Une section est consacrée au thème de la protection et de la sécurité des données. Le chapitre 7 traite des exigences juridiques pour une notification des systèmes eid nationaux à l'ue et effectue une première analyse de la législation. Le chapitre 8 présente la mise en œuvre en fournissant une estimation des coûts et des risques pour la partie du ressort de l'état. Le chapitre 9 s'intéresse à l'impact sur la société, l'économie et l'état. Il comporte également un calcul, extrêmement provisoire, des émoluments. En annexe (chapitre 10), le lecteur trouvera des explications sur les éléments et hypothèses utilisés dans l'élaboration du concept. Pour finir, le chapitre 11 indique les sources bibliographiques. 1.3 Résumé La «stratégie suisse de cyberadministration» [2] [3] se fixe comme objectif que la population et l'économie puissent régler leurs affaires importantes avec les autorités par voie électronique. Le projet prioritaire «B2.15 Identité électronique reconnue sans barrières sur le plan national et dans l espace de l Union européenne» [4] constitue un des vecteurs de mise en œuvre de la stratégie du Conseil fédéral. Tandis que dans le monde physique les moyens de justifier sa propre identité sont des documents tels que les passeports et les cartes d'identité, ceux du monde électronique sont par contre des moyens d'identification électronique (en bref eid), aussi appelés «identité électronique». Les eid sont en règle générale délivrées par des fournisseurs de services d'identité (IdP / Identity Provider). Une eid permet à une personne physique de s'authentifier vis-à-vis d'une partie utilisatrice (par ex. un portail Internet) ainsi que d'apporter la preuve électronique de certaines données d'identification personnelle, appelées attributs d'identité (par ex. nom, âge, etc.). 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 7/ 84

8 Pour cela, la personne justifie sa présence physique à l'aide de son eid et permet ainsi son authentification par la partie utilisatrice. Sur demande explicite de la personne, les attributs d'identité de la personne peuvent être transmis de manière confidentielle à une partie utilisatrice à l'aide de l'eid. L'eID est connue de la partie utilisatrice grâce à un identifiant unique, qui a servi à l'enregistrement de la personne chez la partie utilisatrice. Une eid constitue ainsi le lien sûr entre la personne physique et sa représentation électronique auprès d'une partie utilisatrice. Une personne peut posséder plusieurs eid et, de ce fait, plusieurs identités électroniques. Les personnes physiques, les parties utilisatrices, les fournisseurs de services d'identité ainsi que l'état, en tant que garant des principaux attributs d'identité, constituent un «écosystème eid». Les termes/concepts essentiels de l'écosystème sont représentés sur la Figure 1. Fournisseur de services d'identité (Identity Provider, IdP) Partie utilisatrice (Relying Party) Moyen d'identification électronique (eid, eidentity, Credential) Personne physique (utilisateur, sujet) Figure 1 Termes/concepts de l'écosystème eid Dans le contexte du prochain renouvellement des passeports et cartes d'identité (CID) suisses, le Conseil fédéral a mandaté le DFJP, le , d'élaborer un concept pour de futurs moyens d'identification électronique suisses reconnus par l'état. Ces moyens devront être compatibles avec les systèmes eid de l'ue et devront donc pouvoir être notifiés (règlement eidas [1]). Le présent document décrit ce concept et tente de concilier les exigences élevées mais parfois disparates de l'écosystème eid avec les expériences concrètes de systèmes d'identification déjà en place. Bien entendu, l'utilité et donc la réussite du projet suppose au préalable qu'il existe dans la population, l'économie et l'administration, un besoin réel de déplacer des prestations de services vers le monde électronique, et donc d'apporter une preuve électronique d'attributs d'identité. Même si le progrès technologique permanent, la généralisation d'internet et la familiarisation croissante des jeunes générations 1 avec la technologie favorisent une telle transition socio-économique, la participation active de tous les acteurs de l'écosystème eid est indispensable. L'ébauche de concept originelle supposait que le moyen d'identification électronique serait directement intégré à la carte d'identité (CID avec puce électronique). Ce modèle est celui qui a été retenu par de nombreux autres pays, parmi lesquels l'allemagne (npa), l'estonie ou la Belgique. À l'automne 2014, le DFJP a étudié le degré d'acceptation de ces solutions. À partir des résultats obtenus, ainsi que de ceux d'une consultation des offices réalisée à l'été 2014, le DFJP a décidé de revoir le concept. D'une part, la durée de validité d'une CID (10 ans) bloquait toute évolution technologique ultérieure, d'autre part, une solution de carte classique exigeait en outre une interface électronique dédiée ainsi qu'un lecteur de carte. Ce type de solution exige souvent d'installer des pilotes et des applications supplémentaires, ce qui entraînerait une charge de développement et de support importante et permanente pour la Confédération. En outre, tous les appareils récents ne disposent pas forcément des interfaces requises (p. ex. USB ou NFC), d'où une facilité d'utilisation réduite. L'acceptation d'une telle solution est donc très douteuse, et difficile à évaluer, comme le montrent les systèmes déjà en place. En conséquence, l'intégration de l'eid dans la CID n'a pas été jugée pertinente. L'eID reconnue publiquement doit donc prendre une autre forme, qui soit moderne, flexible et évolutive à la fois. La nouvelle version du concept prévoit que l'état se contente de fournir les éléments qu'il est le seul, pour des raisons juridiques et économiques, à pouvoir mettre à disposition, sous la forme d'un service d'identité public subsidiaire. Le concept présuppose qu'à la date de lancement d'une eid pu- 1 Générations Y et Z, «Génération Internet» ou «Digital natives», personnes nées depuis la fin des années 80, très connectées et en permanence en ligne 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 8/ 84

9 blique en 2020, de nombreuses personnes souhaiteront utiliser un tel moyen d'identification électronique personnel disponible sur le marché. Ce moyen moderne devra être utilisable quotidiennement de manière conviviale et mobile, devra être accessible sans ou avec peu de frais supplémentaires et devra répondre aux exigences de sécurité personnelles. Pour ces raisons, les eid reconnues par l'etat ne devront pas être délivrées sous forme de monopole de l'état, mais par plusieurs fournisseurs de services d'identité reconnus publiquement (IdP). Ce n'est que dans le cas très improbable où aucun des acteurs de l'écosystème eid suisse n'offrirait d'eid reconnue publiquement que l'état devrait proposer lui-même un moyen d'identification utilisable quotidiennement (solution de secours). Les fournisseurs de services d'identité reconnus publiquement sont ceux dont le système d'identification a été certifié conforme aux exigences de l'état et qui ont donc reçu une licence les autorisant à émettre des eid avec attributs d'identité certifiés par l'état. Cette procédure reprend le principe de la procédure de notification dans la zone euro mais au niveau national. Si la Suisse décide par la suite de notifier le système eid reconnu publiquement, l'eid fournie par ce système permettra à chaque personne de justifier son identité dans toute l'ue, sans rupture de média. Afin de permettre aux titulaires d'une eid d'y intégrer des attributs d'identité certifiés par l'état, la Confédération met en place un nouveau compte d'identité personnel avec service de cachet électronique, qui permet à toute personne de certifier ses attributs d'identité publics vis-à-vis d'idp reconnus publiquement. Le compte eid doit comporter les attributs initiaux suivants, dont l'ensemble sera désigné par données d'identification personnelle: a) nom officiel, b) prénoms, c) date de naissance, d) sexe, e) lieu de naissance 2, f) lieu d'origine, g) nationalité, h) (vide) 3, i) image du visage, j) image de la signature, k) n o de passeport et l) n o de CID ainsi que m) date de la dernière identification publique. Il sera possible d'ajouter en supplément d'autres attributs d'identité publics, si un besoin avéré et une base juridique existent au sein de l'écosystème eid. Pour la compréhension du système, il est important de souligner que ces attributs ne doivent pas être accessibles sans examen à un IdP ou à une partie utilisatrice. Ce sera toujours la personne qui transmettra explicitement et sciemment un ou plusieurs blocs de données d'attributs à l'idp et qui les certifie de cette manière. Si une personne souhaite par exemple ne pas communiquer sa date de naissance à l'idp, elle ne sera pas obligée de le faire, mais elle pourra tout de même certifier les autres attributs. La vérification pour savoir si la valeur d'un attribut enregistrée chez un IdP est conforme aux données certifiées par l'état relève de la seule responsabilité de l'idp. Les images du visage et de la signature peuvent en plus être téléchargées par la personne depuis son compte d'identité, après authentification préalable, afin de les utiliser dans d'autres circonstances. Conformément au règlement sur l identification électronique et les services de confiance (eidas), pour les systèmes d'identification notifiés à l'ue, il est de la responsabilité de l'état de vérifier que l'enregistrement, à savoir la liaison entre la personne physique, le moyen d'identification et les attributs d'identité, est correct à la date d'émission du moyen d'identification. C'est pour cette raison que l'état se charge de l'enregistrement et n'accepte qu'un moyen d'authentification forte pour l'accès au compte d'identité ce moyen ayant été délivré à la personne par l'état ou des eid de fournisseurs 2 Sur les documents d'identité suisses figure actuellement le lieu d'origine, et non le lieu de naissance comme il est d'usage dans le reste du monde. Le lieu d'origine et celui de naissance sont des attributs différents dans le système eid et doivent donc être clairement distingués. Pour faciliter la compatibilité internationale, il est recommandé d'indiquer également le lieu de naissance dans le système eid suisse. 3 Le numéro AVS (NAVS13) était prévu ici pour l'assurance qualité dans les domaines du dossier électronique de patient, du vote électronique ainsi que pour le traitement électronique d'opérations commerciales AVS/AI. Des attributs ont néanmoins été supprimés de la liste des attributs dans le cadre de la consultation des offices en raison de la prise de position de l'office fédéral des assurances sociales et du PFPDT. Les deux offices ont mentionné le lien spécifique du NAVS13 et le risque potentiel de la protection des données lors d'une utilisation abusive par des parties utilisatrices. 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 9/ 84

10 de services d'identité reconnus publiquement et titulaires d'une licence. Les systèmes eid reconnus par l'état doivent au moins offrir le niveau de sécurité «substantiel» au sens du règlement eidas. En pratique, la procédure pour l'ouverture et l'utilisation d'un compte d'identité se déroulerait de la manière suivante: Dans une première étape, une personne dépose une demande d'ouverture de compte d'identité et enregistre conjointement son numéro de mobile. Elle peut faire une demande en ligne via le service de demande en ligne sur ou, selon le canton, par téléphone ou encore dans le cadre d'un entretien personnel. La possibilité de commander en même temps une eid chez un IdP reconnu publiquement lors de l'opération de demande en ligne est encore à l'étude. La demande d'ouverture de compte d'identité peut être combinée avantageusement avec celle d'un passeport et/ou d'une carte d'identité. À la deuxième étape, la personne doit se présenter personnellement à un bureau d'enregistrement public. Le représentant de l'état identifie la personne, vérifie son numéro de mobile enregistré, établit ses données d'identification personnelle et les enregistre dans son compte d'identité personnel en ligne. Le compte d'identité est activé après versement des frais administratifs correspondants et la personne reçoit directement ou par voie postale l'identifiant avec le code PIN pour l'accès initial au compte d'identité. Lors de la troisième étape, la personne se connecte à son compte d'identité avec son identifiant et le code PIN, ainsi qu'avec le mot de passe unique qui a été envoyé à son numéro de mobile enregistré. Elle pourra ensuite enregistrer une ou plusieurs eid reconnues publiquement sur son compte d'identité. Ces eid deviendront ainsi de nouveaux moyens d'identification agréés pour l'accès au compte d'identité et, pour chacune de ces eid, la personne pourra certifier des attributs d'identité individuels chez l'idp émetteur. L'IdP conserve la certification et peut émettre pour le titulaire de l'eid les confirmations correspondantes destinées à des parties utilisatrices. L'enregistrement d'une eid comme les certifications d'attributs requièrent des confirmations de transactions, qui seront réceptionnées à l'aide d'un message d'accusé de réception et d'un nouveau mot de passe unique envoyés sur le numéro de mobile du titulaire du compte d'identité. De plus, il sera probablement possible de commander directement une eid chez un IdP à partir du compte d'identité. Tout comme les documents d'identité conventionnels, les attributs d'identité du compte d'identité ont une validité limitée dans le temps et doivent être renouvelés à intervalles réguliers. Tant que les attributs du compte d'identité sont valides et que la personne dispose d'une eid autorisée, elle peut enregistrer pour elle-même d'autres eid reconnues ainsi que certifier des attributs d'identité, sans démarche supplémentaire. Bref résumé de la procédure: L'État n'émet aucun moyen d'identification électronique mais met à disposition un cadre légal et normalisé permettant l'existence de plusieurs eid reconnues publiquement et émises par des fournisseurs de services d'identité titulaires d'une licence. Les citoyens suisses peuvent compléter leur eid, sur une base volontaire, par des attributs certifiés de leur identité publique. À quelques exceptions près, l'utilisation quotidienne de cette eid aura lieu en Suisse sans autre recours à des services officiels d'identification 4, car les protagonistes principaux sont les personnes possédant une eid, les parties utilisatrices et les fournisseurs de services d'identité agréés par l'état. 4 Les IdP reconnus publiquement peuvent vérifier l'authenticité du cachet d'identité. Les parties utilisatrices peuvent demander une liste publique contenant les licences IdP bloquées (par exemple si l'idp perd sa licence). Si l'eid acquiert un statut international après notification, les données seront alors transmises aux pays concernés via le serveur proxy paneuropéen (Pan European Proxy Server, PEPS) de chaque pays. 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 10/ 84

11 Les contributions de l'état à l'écosystème eid suivantes (en bleu dans la Figure 2) doivent être réalisées pour les eid reconnues publiquement et comportant des attributs d'identité certifiés par l'état: eid avec attributs d'identité certifiés par l'état Enregistrement Cachet Législation Normalisation Support technique Octroi de licence Interface UE Figure 2 Contributions de l'état à l'écosystème eid Législation: Les eid reconnues publiquement avec attributs d'identité certifiés par l'état doivent bénéficier d'un cadre juridique formel, accompagné des dispositions d'exécution nécessaires. Il convient notamment de tenir compte de la possibilité de notification vis-à-vis de l'ue et des dispositions sur la responsabilité afférentes. Dans ce contexte et dans le cadre de la procédure de mise en conformité législative, il serait en plus utile de créer une obligation d'utilisation des eid reconnues publiquement par les instances officielles pour leurs services en ligne. Il est par ailleurs aussi nécessaire d'éliminer les éventuels obstacles juridiques pour la transition de processus conventionnels sur des processus électroniques au sein de toutes les instances, chez lesquelles cela peut être réalisé dans des délais raisonnables. Normalisation: Pour que l'écosystème eid puisse fonctionner librement et constamment, les soussystèmes le composant doivent respecter des normes techniques et organisationnelles uniformes. Les systèmes eid reconnus publiquement de la Suisse doivent être pleinement interopérables au niveau des protocoles. On privilégiera autant que possible le recours aux normes existantes (telles que celles de l'iso ou de l'ite). Par exemple, il est possible de créer des «Profils de protection CC» 5 adéquats pour certifier les eid reconnues publiquement et les IdP. L'objectif visé sur le plan économique étant d'assurer une interopérabilité européenne de l'eid, il nous semble particulièrement judicieux d'utiliser en priorité les concepts énoncés dans le règlement eidas. Support technique: Ce service d'assistance regroupe le support technique pour les bureaux d'enregistrement, l'assistance au bénéfice des titulaires de compte d'identité pour l'utilisation de ces comptes, l'aide pour les IdP reconnus publiquement en termes d'octroi de licence et de cachet électronique, ainsi que la communication interne et externe dans le domaine des services eid publics. En raison de la complexité des concepts souvent difficiles à comprendre et l'important nombre de parties impliquées, une communication claire et précise est indispensable à la réussite. À cet égard, il est prévu de mandater et de mettre en œuvre, en concertation avec les parties impliquées de l'écosystème eid, une stratégie de communication professionnelle en collaboration avec le programme «cyberadministration suisse». Cette stratégie englobe aussi la formation et la fourniture de la documentation nécessaire pour les bureaux d'enregistrement. Le support tech- 5 Les Critères Communs, ou CC («Common Criteria for Information Technology Security Evaluation»), constituent une norme mondialement reconnue (ISO/CEI 15408) relative à l'évaluation de la sécurité des technologies de l'information. À chaque catégorie de produit ou de technologie correspond un profil de protection qui définit précisément les exigences de sécurité et les bases de la procédure d'évaluation. 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 11/ 84

12 nique comprend en outre l'assistance de 2 e et de 3 e niveau en relation avec les systèmes techniques de la Confédération. Cette assistance, fournie aux IdP reconnus publiquement, est déléguée au prestataire de services compétent de la Confédération. Par contre, l'assistance utilisateur d'une eid est toujours assurée par l'émetteur de cette eid. Enregistrement: L'enregistrement comprend l'identification de la personne physique, l'établissement de ses données d'identification personnelle publiques ainsi que l'enregistrement et la validation du numéro de mobile nécessaire pour l'accès au compte d'identité personnel. Cette mission est du ressort des bureaux d'enregistrement. En raison des fortes synergies avec la procédure de demande de passeport, ce sont les bureaux cantonaux des passeports ainsi que les représentations suisses à l'étranger qui assureront le rôle de bureau d'enregistrement. L'offre combinée devrait permettre de réduire les frais. Pour cela, la Confédération doit leur mettre à disposition une solution technique pour l'ouverture d'un compte d'identité et pour l'enregistrement du numéro de mobile. Les attributs d'identité requis pour le passeport suisse étant traités dans le système d'information relatif aux documents d'identité (ISA), toutes les données du compte d'identité doivent, si possible, provenir du système ISA. La durée de validité d'un enregistrement est limitée dans le temps, comme celle d'un passeport ou d'une CID. L'utilisateur doit donc le renouveler périodiquement (tous les 10 ans pour les adultes et 5 ans pour les enfants et adolescents). Cachet: Le cachet électronique est la condition nécessaire au développement et au fonctionnement d'un système de traitement des données sécurisé pour les comptes d'identité en ligne, ainsi que d'un portail Internet permettant un accès sécurisé pour les personnes habilitées (système IAM). La connexion au portail doit être basée sur la prise en charge de tous les systèmes eid reconnus publiquement, ce qui sera fortement simplifié par le processus de normalisation en cours dans le domaine de l'identification en ligne. De plus, la Confédération doit fournir une solution technique pour générer et valider les cachets vis-à-vis des IdP titulaires d'une licence. Étant donné que l'accès au compte d'identité s'effectue au moyen d'une eid reconnue publiquement et fournie par un IdP reconnu publiquement, l'assistance de 1 er niveau doit être fournie par ce même IdP (exception: accès avec identifiant/code PIN et OTP pour le premier enregistrement d'une eid). La Confédération assure l'assistance de 2 e et de 3 e niveau, vis-à-vis de l'idp, pour le cachet de certification et le service de validation. Si une personne souhaite contester les attributs certifiés, elle doit, comme pour tout autre document d'identité suisse, s'adresser au bureau d'enregistrement compétent. Il reste à définir, en concertation avec le projet prioritaire Fédération des identités en Suisse (IAM Suisse) et avec la Chancellerie fédérale, qui gère le site dans quelle mesure il serait pertinent d'établir le compte d'identité sur un portail permettant d'accéder à d'autres applications de cyberadministration exigeant une authentification forte et sécurisée (par ex., pour les impôts, autorisations, casier judiciaire, assurances sociales, etc.). Octroi de licence (certification): Pour obtenir une licence de fournisseur de services d'identité reconnu publiquement, l'idp doit démontrer, à intervalles réguliers, qu'il respecte toutes les prescriptions légales, organisationnelles et techniques. Pour cela, l'idp doit se faire certifier par un organisme de certification reconnu par le Service d'accréditation suisse (SAS), selon les normes et directives qui seront déterminées lors de l'élaboration du cadre légal. La Confédération doit développer une application pour la gestion des licences IdP. Celle-ci doit également permettre à la partie utilisatrice de valider en ligne ce type de licence. Comme le nombre d'idp titulaires d'une licence sera vraisemblablement très limité et que les requêtes sur Internet peuvent se dérouler de manière automatique avec des techniques standard, la charge de travail qui en résulte pour la Confédération est très limitée. La solution IdP et de fédération, devant être créée dans le cadre du projet IAM, peut selon notre avis être intégrée comme système eid reconnu publiquement dans le modèle proposé dans le présent concept. Elle devra néanmoins être certifiée comme tous les autres IdP reconnus publiquement. 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 12/ 84

13 Interface UE (en option): La notification implique de respecter les prescriptions du règlement européen eidas. Étant donné que celles-ci ne sont a priori pas contraignantes pour la Suisse, il est nécessaire d'établir une convention internationale (cf. à ce sujet les exposés du point 7.2.2). Si la Suisse notifie un système eid reconnu publiquement, elle doit alors autoriser toutes les autres eid notifiées pour l'accès à ses propres services de cyberadministration accessibles avec l'eid suisse, à condition que celles-ci disposent du même niveau de garantie («substantiel» au sens du règlement eidas 6 ). Elle doit en outre mettre en place une interface technique avec les autres systèmes eid des pays européens. Si la Suisse notifie un ou plusieurs de ses systèmes eid à l'ue, elle doit créer son serveur proxy paneuropéen (PEPS) [5], qui constitue une interface entre les systèmes eid notifiés et permet d'effectuer des transactions impliquant des eid de pays différents. Le développement et le fonctionnement du PEPS, ainsi que l'acte de notification lui-même, ne rentrent pas dans le cadre du projet prévu par le DFJP. Les services de fédération nationaux et internationaux sont une partie du projet «Fédération suisse d identités» (projet B2.06), dirigé sous la responsabilité du SECO. La mise en œuvre de ces éléments oblige la Confédération à assumer de nouvelles responsabilités. Les estimations de coût réalisées indiquent un montant annuel de 6,3 millions CHF pour la mise en œuvre et de 2,1 millions CHF pour le fonctionnement. Les nouvelles missions impliquent en outre l'octroi de ressources supplémentaires en personnel au DFJP (fedpol), à hauteur de 3 équivalents temps-plein. Le crédit d'engagement prévu par l'arrêté du Conseil fédéral en date du ne couvre qu'en partie le financement. Un concept de financement révisé devra être présenté au Conseil fédéral dans le cadre de la consultation prévue pour mi Les bureaux d'enregistrement des cantons et des représentations suisses à l'étranger doivent assurer un nouveau service, à savoir l'ouverture du compte d'identité associée à l'enregistrement et à la validation d'un numéro de mobile, comme décrit ci-dessus. Ceci pourrait conduire à un besoin supplémentaire en personnel, ce qui est encore à déterminer. Ces dépenses devront être compensées à moyen terme par des recettes provenant des émoluments permettant de couvrir les frais. Il faudra également vérifier s'il est possible et souhaitable politiquement que la Confédération fournisse des fonds pour financer la phase initiale du projet. Il est bien évidemment encore impossible de fournir une estimation définitive du montant réel des émoluments. Un calcul approximatif sans amortissement des coûts de projet a évalué à environ 30 CHF. le coût d'un enregistrement, à condition qu'il s'inscrive dans le cadre d'une demande de passeport (80 CHF. sinon). Ce chiffre n'inclut pas le coût de l'acquisition de l'eid par la personne, ce prix étant déterminé par le marché et pouvant également être nul en fonction du modèle de tarif de l'idp. Le présent concept ne prévoit pas l'extension de la certification de données d'identification personnelle aux personnes de nationalité étrangère vivant en Suisse. Il s'oriente par contre au modèle de l'ue, qui présuppose l'élaboration et la notification d'un système eid national par chacun des pays membres de l'union européenne. Cette restriction n'exclut cependant pas de manière générale la possibilité d'utilisation de l'eid reconnue publiquement pour les personnes étrangères, qui peuvent aussi acquérir une telle eid chez un IdP et l'utiliser comme moyen d'identification. Elles ne sont seulement pas en mesure de fournir à des parties utilisatrices des confirmations d'attributs avec attributs d'identité certifiés. Ceci s'applique aussi aux personnes morales, dont les attributs sont enregistrés dans le registre du commerce et non dans le compte d'identité. 6 Le règlement eidas définit, à l'article 8, les niveaux de garantie «faible», «substantiel» et «élevé» des moyens d'identification électronique en se référant aux niveaux de garantie 2 à 4 («medium», «high», «very high») de la norme ISO 29115:2013 [33]. Le niveau de garantie «substantiel» exige une authentification forte à deux facteurs. 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 13/ 84

14 Les principaux risques du projet sont, d'une part la question du besoin réel dans la population et d'autre part celle de l'acceptation d'une solution eid concrète réglementée par l'état. C'est pourquoi, dans la solution prévue, l'état se contente de certifier les attributs d'identité électronique, mais fait en même temps appel aux forces du marché pour proposer des eid innovantes. Un facteur important est que le projet précité «Fédération suisse d identités» (projet B2.06) soit mis en œuvre parallèlement et que les instances officielles soient obligées d'accepter les eid reconnus publiquement, là où c'est utile. La mise en œuvre du projet d'introduction de moyens d'identification électronique reconnus publiquement devrait pouvoir avoir lieu à l'horizon 2020, compte tenu du temps nécessaire pour mettre en place les bases légales et formelles. Elle relève de la compétence du DFJP, avec participation de la ChF, du DFAE, du DFI, du DFF, du DEFR et du DETEC. 1.4 Définitions et acronymes Les acteurs de la gestion de l'identité et de l'accès utilisent un certain nombre de termes qui semblent souvent similaires mais ne recouvrent pas toujours exactement le même concept. Le présent document utilise également des termes qui désignent des états de choses ou des réalités bien spécifiques et qui sont définis et spécifiés ci-dessous dans le Tableau 1. Les définitions indiquées ici se basent sur celles de l'art. 3 du règlement eidas, complétées si nécessaire par d'autres sources (p. ex. SCSE [6], ech-0107 [7], définitions Modinis [8] et autres documents [9]). Certains termes ont un sens particulier ou limité dans le cadre du concept présenté. Tableau 1 Définitions et abréviations Terme / acronyme Certification d'attributs Confirmation d'attributs Authentification Application d'authentification Définition / explication Confirmation par l'état d'attributs, prenant la forme d'un cachet électronique pour la somme de contrôle d'un attribut d'identité provenant d'un compte d'identité public. Le cachet est émis par le Service d'identité public (SIP) à l'intention d'un IdP reconnu publiquement. Enregistrement de données signé qui confirme que la valeur d'un attribut d'identité est contrôlée à un certain niveau de qualité; par exemple, les confirmations d'attribut peuvent être émises pour des attributs d'identité liés à une eid donnée générée par un fournisseur de services d'identité reconnu publiquement. Processus électronique entre un service d'authentification et une application d'authentification, qui permet de confirmer l'identification électronique d'une personne; comprend la vérification d'un ou de plusieurs facteurs puis leur confirmation au moyen d'un identifiant connu de l'application et du service d'authentification. En fonction du niveau de sécurité, l'authentification peut avoir un niveau «faible» (confiance minimale), «substantiel» (confiance significative) ou «élevé» (confiance encore plus importante). Cf. aussi chapitre de l'annexe. Application installée sur un appareil électronique personnel qui permet à la personne de s'authentifier au moyen de son eid vis-à-vis d'un service d'authentification en utilisant une procédure standardisée. 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 14/ 84

15 Terme / acronyme Service d'authentification Facteur d'authentification Système d'identification électronique (système eid) Écosystème d'identité électronique (écosystème eid) Moyen d'identification électronique (eid) Cachet électronique Service de fédération Identifiant Définition / explication Service électronique authentifiant une personne via une procédure standardisée avec une application d'authentification. Si un service d'authentification vérifie l'authentification à l'aide d'une eid sans recourir à un service de fédération, cette méthode sera appelée «Mode direct» dans le présent document. Caractéristique (facteur) prenant la forme d'un objet physique ou virtuel, d'un secret ou d'un élément biométrique associé à une personne donnée. L'ensemble des facteurs d'authentification vérifiés pour une authentification porte la désignation «Moyens d'authentification». Système électronique délivrant des moyens d'identification électronique à des personnes; les systèmes eid reconnus publiquement sont ceux dont l'idp émetteur et l'eid émise satisfont aux exigences légales suisses. Ensemble de toutes les personnes physiques et morales, parties utilisatrices et fournisseurs de services d'identité, qui utilisent des systèmes d'identification électronique ou contribuent à leur fonctionnement, y compris en ce qui concerne les aspects organisationnels, procéduraux, légaux et techniques. Entité physique ou virtuelle utilisée pour authentifier une personne auprès d'un service d'authentification (la fonction d'authentification en elle-même est souvent appelée authentificateur); peut éventuellement contenir, outre l'identifiant lié à la connexion, d'autres attributs d'identité ou être lié à ceux-ci de manière unique. Les moyens d'identification électronique peuvent prendre en charge plusieurs niveaux de garantie pour l'authentification et l'identification. Données sous forme électronique, jointes ou associées logiquement à d'autres données électroniques, de manière invariable, pour garantir leur origine et leur intégrité; le cachet est associé de façon univoque au créateur du cachet, qu'il identifie ainsi. Service fourni par un IdP qui authentifie une personne pour le compte d'une partie utilisatrice et confirme l'authentification à la partie utilisatrice. Une eid, utilisée par un service de fédération pour une authentification, est désignée ici par «eid en mode de fédération». Nom (chaîne de caractères) d'une entité matérielle ou virtuelle, désignée de façon univoque par ce nom au sein d'un espace de noms. L'identifiant d'une eid est attribué à une personne donnée par un service dans le cadre de la procédure d'initialisation, et devient un des attributs d'identité de la personne pour ce service. 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 15/ 84

16 Terme / acronyme Identification (électronique) Identité Attribut d'identité Fournisseur de services d'identité (IdP) Gestion de l'identité et de l'accès (IAM) Notification Personne Définition / explication Processus (électronique) consistant à utiliser des attributs d'identité sous une forme électronique pour représenter de manière univoque une personne. Dans le contexte d'une eid reconnue publiquement, il s'agit de l'utilisation des données personnelles d identification 7. Cf. aussi chapitre de l'annexe. Ensemble des attributs (notamment caractéristiques) d'une personne Caractéristique d'une personne désignée avec un nom et la décrivant plus en détail; un attribut se compose du nom de l'attribut (p. ex. «prénom») et de sa valeur (p. ex. «Heidi»); il est aussi possible d'affecter des caractéristiques supplémentaires à l'attribut, telles que type de données, degré de confiance en l'exactitude de l'attribut, etc. Fournisseur et exploitant de services de confiance (notamment authentification, identification et éventuellement fédération) pour un système eid; peut fournir ces services pour son compte propre ou pour celui d'un tiers; un IdP exploitant un système eid reconnu publiquement et auquel l'état a décerné une licence correspondante, est appelé «Fournisseur de services d'identité reconnu publiquement», ou «Émetteur d'eid». Par système de gestion de l'identité et de l'accès (Identity and Access Management, ou IAM), on désigne un système d'une partie utilisatrice permettant de gérer les données d'identité et d'accès des utilisateurs et d'exécuter les protocoles d'authentification. Inscription, description et preuve de la conformité aux critères de reconnaissance applicables à un système eid reconnu par l'ue conformément au règlement eidas. Une notification implique la reconnaissance réciproque de tous les systèmes eid déjà notifiés. Pour la Suisse, la notification doit être réglementée par une convention internationale. Personne physique; dans le contexte de ce concept, désigne toujours une personne de nationalité suisse. 7 En informatique, n'importe quel attribut d'identité peut servir à identifier une personne. La précision apportée rapproche la définition de celle d'un bureau d'enregistrement public, pour lequel l'identification est synonyme d'établissement des données d'identification personnelle publiques. 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 16/ 84

17 Terme / acronyme Données d'identification personnelle Enregistrement Bureau d'enregistrement Définition / explication Ensemble de données permettant d'établir l'identité d'une personne; dans le contexte d'une eid suisse reconnue publiquement, l'ensemble de données permettant une identification complète comprend les attributs suivants: a. nom officiel; b. prénoms; c. date de naissance; d. sexe; e. lieu de naissance; f. lieu d'origine; g. nationalité; Ces données sont également nommées Données d'identité dans le présent concept. Les données d'identification personnelle suisses comprennent également: h. (vide) 8. i. image du visage, prise lors de l'enregistrement initial; j. image de la signature, prise lors de l'enregistrement initial; k. numéro de passeport; l. numéro de CID; m. date d'enregistrement initial.. Procédure menée par un bureau d'enregistrement, consistant à constater officiellement l'identité d'une personne, à saisir ses données d'identification personnelle et à lier une eid à ces données; pour les systèmes d'eid suisses, l'état enregistre une eid reconnue publiquement, qui servira de document d'identité numérique pour accéder au compte d'identité. Organe officiel procédant à l'identification et à l'enregistrement initial d'une personne et habilité à certifier ses données d'identification personnelle; les bureaux cantonaux des passeports et les représentations suisses à l'étranger sont des bureaux d'enregistrement. 8 Cf. note de bas de page 3 sur la page 8. 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 17/ 84

18 Terme / acronyme Service d'identité public (SIP) Compte d'identité public (compte d'identité) Trusted Execution Environment (TEE) Validation Vérification Partie utilisatrice (PU) Service de confiance Définition / explication Ensemble des prestations de services publiques suivantes, en vue de la délivrance d'un moyen d'identification électronique reconnu publiquement: a) Vérification physique initiale de l'identité d'une personne; création d'un compte d'identité et enregistrement d'une eid reconnue publiquement, en tant que moyen d'authentification pour l'accès au compte d'identité, auprès d'un bureau d'enregistrement (service d'enregistrement public - SEP); b) Création, vérification et validation des cachets électroniques pour les attributs d'identité certifiés par l'état (service de cachet des attributs d'identité, SCAI); c) Enregistrement, contrôle et octroi de licence aux fournisseurs de services d'identité reconnus publiquement, qui exploitent un système eid reconnu publiquement (service d'octroi de licence pour fournisseur de services d'identité SL-IdP, correspond à l'organe de contrôle au sens du règlement eidas). En plus: législation, normalisation, support technique avec communication et (en option) interface UE. Compte en ligne contenant les données d'identification personnelle publiques d'une personne de citoyenneté suisse. Dès qu'une personne a fait enregistrer un moyen d'identification, elle peut accéder à son compte et certifier ses attributs d'identité vis-à-vis d'un IdP reconnu publiquement (cachet). Environnement d'exécution isolé et digne de confiance pour les applications tournant sur des appareils mobiles. Seules les applications validées à cet effet peuvent s'exécuter dans le TEE. Processus de vérification et de confirmation de la validité d'un cachet électronique, d'un certificat, d'une confirmation ou d'une licence. Processus de reconnaissance électronique d'une personne par le contrôle des moyens d'authentification de la personne (d'un ou de plusieurs facteurs d'authentification) à l'aide d'un protocole adéquat; affectation d'un identifiant (lien entre la personne physique réelle et sa représentation numérique). Personne physique ou morale qui utilise un service de confiance ou des documents émis par un service de confiance et se fie à ceuxci; une PU peut p. ex. accorder sa confiance à une eid émise par un IdP. Service électronique normalement fourni contre rémunération et qui consiste en la création, la vérification, la validation et la conservation d'identités, de signatures, de cachets ou d'horodatages électroniques, seuls ou en combinaison; p. ex., un IdP fournit des services de confiance, qui peuvent aussi être fournis par le SIP. 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 18/ 84

19 2 Situation initiale Avec la pénétration croissante d'internet et la haute disponibilité d'appareils mobiles toujours plus performants, la dématérialisation des opérations courantes est de plus en plus aisée. Les jeunes générations, bien formées, familiarisées avec la technologie et connectées en permanence, plébiscitent ce changement de modèle socio-économique. Dans le monde réel comme virtuel, les partenaires commerciaux ont besoin de garanties quant à l'identité et à l'authenticité de leur interlocuteur. Ce besoin est couvert par divers aspects de la gestion de l'identité, de l'authentification anonyme à l'acceptation d'un pseudonyme en passant par la vérification de l'identité via un moyen d'identification certifié par l'état. Dans le monde physique, la personne montre un document d'identité à cet effet. Celui-ci permet une authentification biométrique, la plupart du temps inconsciente, grâce à la photographie. Si l'authentification biométrique est un succès et que le document est valide, alors l'interlocuteur se fie aux attributs d'identité figurant sur le document, tels que nom, prénom ou date de naissance. C'est cette procédure simple et bien établie qu'il s'agit de reproduire dans le monde virtuel. 2.1 Motif et mandat L'équivalent de la carte d'identité dans le monde électronique est le moyen d'identification électronique (eid). Une eid doit elle aussi garantir l'authenticité et l'identité de la personne dans un cadre juridique donné. À cet effet, il est prévu de valoriser un moyen d'identification électronique reconnu publiquement et comportant des attributs d'identité certifiés par l'état. Plusieurs stratégies de la Confédération ont été dédiées au thème d'un tel moyen d'identification, soit qu'il en constitue un objectif explicite soit qu'il s'agisse d'un prérequis pour la réalisation d'autres objectifs («Stratégie pour une société de l'information en Suisse», mars 2012 [10] et «Stratégie suisse de cyberadministration», janvier 2007 [2]). Enfin, le Conseil fédéral a mandaté le DFJP en 2012 [11] pour élaborer un concept d'eid reconnue publiquement. Ce concept devait pouvoir s'intégrer aussi bien à l'écosystème eid suisse qu'au cadre européen. Le DFJP a mis en place un groupe de travail à cet effet, qui doit rédiger le concept sousjacent pour la législation nationale et sa mise en œuvre d'ici mi Cadre international (UE) En 2014, le Parlement européen a voté le règlement sur l identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (règlement eidas [1]). Le règlement encadre les services de confiance (signature électronique, cachet électronique, horodatage, service de mise à disposition de recommandés et certificats pour site Web) et contient des dispositions relatives aux systèmes d'identification électronique pouvant être notifiés et donc reconnus par les autres États membres. Les États membres, de leur côté, s'engagent à accepter, pour les services officiels qui exigent une eid nationale, les autres systèmes d'identification européens, à condition que ceux-ci possèdent le niveau de garantie requis. Étant donné que la Suisse n'est pas membre de l'union européenne, le règlement eidas n'est pas contraignant pour elle et les accords bilatéraux existants avec l'ue ne comportent non plus d'obligation d'adoption du règlement de l'ue. Toutefois, la solution suisse doit satisfaire les conditions de notification à l'ue (cf. chapitre 7 et l'annexe 10.1) afin qu'à l'avenir sur la base d'un accord qui reste à conclure avec l'ue (cf. à ce sujet les exposés du point 7.2.2) les eid suisses reconnues publiquement puissent être utilisées sans rupture de média en dehors des frontières nationales. 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 19/ 84

20 De plus en plus d'états européens, mais aussi un grand nombre de pays émergents, disposent déjà à l'heure actuelle d'eid publiques, généralement intégrées dans des cartes à puce à contact («Smartcard»). L'acceptation dans la population et l'économie est encore assez restreinte, en particulier dans les pays européens où l'utilisation de l'eid n'est pas obligatoire. 2.3 Écosystème national d'identité électronique Le terme d'écosystème d'identité électronique («écosystème eid») désigne l'ensemble des parties prenantes ainsi que l'environnement organisationnel, procédural, légal et technique d'utilisation d'une eid. Un écosystème eid avancé permet de demander les informations suivantes en ligne et d'obtenir une réponse en temps réel [12] [13]: La personne X est-elle bien celle qu'elle prétend être? À quel point puis-je en être sûr? La personne X est-elle bien celle enregistrée comme client A? À quel point puis-je en être sûr? La personne X a-t-elle le droit d'utiliser le moyen de paiement présenté? De quelle nationalité la personne X est-elle? Quel âge a-t-elle? Où la personne X réside-t-elle? Fait-elle l'objet de poursuites ou de plaintes? La personne X dispose-t-elle d'un pouvoir de représentation pour l'entreprise E et, si oui, lequel? La personne X est-elle réellement notaire, géomètre, fonctionnaire d'un bureau du registre foncier, etc.? À quel point puis-je en être sûr? La Figure 3 illustre l'écosystème eid formé par tous les titulaires d'une eid, les fournisseurs de moyens d'identification électronique (fournisseurs de services d'identité IdP), les fournisseurs de services de confiance, dont les prestations reposent sur l'utilisation d'une eid, l'administration publique, garante éventuelle des eid, et les parties utilisatrices (PU), qui comportent notamment les fournisseurs de services en ligne via les portails de cyberadministration et de cyberentreprise. 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 20/ 84

21 eid eid Partie utilisatrice Partie utilisatrice Authentification Personne eid Personne Authentification IdP Y Cachet d'attributs Cachet d'attributs Authentification Service de confiance avec système eid interne Personne Authentification Cachet d'attributs Service d'identité public (SIP) Authentification eid Personne eid IdP X Authentification Partie utilisatrice Partie utilisatrice eid Personne Figure 3 Acteurs de l'écosystème eid On appelle système eid l'ensemble des éléments de l'écosystème eid permettant l'utilisation d'un moyen d'identification électronique (l'idp, qui émet l'eid, ainsi que les administrations publiques concernées). Les systèmes eid reconnus sont ceux qui remplissent les exigences légales suisses. Un service d'identité public (SIP) fournit les services nécessaires à cet effet et fait office de bureau de vérification. Aux stades ultérieurs de son développement, l'écosystème eid comprendra plusieurs systèmes eid reconnus publiquement et un grand nombre de parties utilisatrices privées comme publiques. Les systèmes eid reconnus publiquement doivent être attractifs et rentables pour toutes les parties. Ils doivent en outre faire preuve de flexibilité pour s'adapter en permanence à l'évolution de la société et de la technologie. L'écosystème eid suisse comprend déjà, à l'heure actuelle, de multiples IdP qui proposent des eid, tels que SuisseID, Mobile ID, Google ID, Apple ID, Open ID, banques, etc. Il existe également des solutions à gestion interne par Smartcard personnelle, comme par exemple l'authentification sur le portail SSO du DFJP. Chacun de ces systèmes présente des caractéristiques différentes en termes de diffusion, de simplicité d'utilisation, de fonctionnalités et de sécurité. Il s'agit dans tous les cas de candidats qui pourraient adapter leurs services aux dispositions légales relatives aux systèmes eid reconnus publiquement et ainsi transformer leur simple eid en une eid reconnue publiquement. L'eID de ces prestataires bénéficiera alors d'un niveau de confiance plus élevé sur le marché, ce qui accélèrera son adoption par les utilisateurs. En effet, une fois titulaire d'une licence, les IdP dorénavant «certifiés» pourront accéder au service d'identité public suisse et faire apposer un cachet électronique sur les attributs d'identité. Les parties utilisatrices auront ainsi la garantie que l'identification ou l'authentification de leur partenaire se déroule à un niveau de sécurité suffisant. Si la Suisse notifie un tel système eid à l'union européenne, les citoyens suisses pourront utiliser leur eid pour faire des achats ou d'autres opérations à l'étranger, sans démarche supplémentaire. La SuisseID, brièvement présentée ci-après, constitue un exemple de solution candidate à une reconnaissance publique. En , dans le cadre de la troisième phase de mesures de stabilisation conjoncturelle, la Confédération a lancé la SuisseID [14] sous l'égide du SECO et en collaboration avec quatre fournisseurs reconnus de services de certifications au sens de la SCSE [6]. Une SuisseID 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 21/ 84

22 se compose d'un ensemble d'appareils et de services standardisés, spécifiquement conçus pour permettre une identification électronique sécurisée (authentification forte avec vérification de deux facteurs et confirmation des attributs d'identité). La SuisseID peut être intégrée, seule ou en combinaison avec d'autres éléments, dans divers appareils tels que p. ex. clé USB, Smartcard, etc. On pourrait même envisager de l'intégrer à un appareil mobile disposant d'un environnement sécurisé (Trusted Execution Environment TEE [15]). Afin de garantir une authentification forte, la SuisseID offre une paire de clés, un certificat X.509 et une unité d'authentification (puce électronique, système d exploitation, périphérique). Elle vérifie la présence de l'utilisateur via les facteurs d'authentification «Possession» (porteur de la SuisseID) et «Secret» (code NIP). Les autres attributs d'identité sont enregistrés sur un serveur centralisé qui conserve les données d'identité du titulaire de la SuisseID et en confirme l'exactitude vis-à-vis d'un prestataire de service après authentification forte du titulaire. Pour se voir attribuer une SuisseID, une personne doit prouver son identité en présentant un document d'identité officiel. 2.4 Conclusions précédentes Dans un premier temps, le groupe de travail est parti du principe que l'eid suisse pouvait s'appuyer sur le modèle allemand, où l'eid est un élément de la nouvelle carte d'identité électronique (npa), en place depuis de nombreuses années. Toutefois, en 2014, de nombreux indices ont démontré que l'eid intégrée à la carte d'identité n'est pas bien acceptée. En effet, si elle offre un niveau de sécurité infaillible, son utilisation dans la vie courante est trop compliquée et elle revient en outre trop cher à l'état [16]. Les autres solutions d'eid exigeant que l'utilisateur final dispose d'appareils spécifiques, rencontrent elles aussi des difficultés d'acceptation. Par exemple, les citoyens belges utilisent leur eid [17] presque exclusivement pour remplir leur déclaration d'impôt, car ils y sont obligés. Quant à l'eid autrichienne, seule une petite minorité l'utilise [18] (à l'inverse des solutions sur smartphone également existantes). En Suisse également, la SuisseID est demeurée un produit de niche, en dépit des grands espoirs qu'elle avait suscités. Les points faibles ou les raisons de la diffusion limitée de la SuisseID sont en premier lieu le coût de son acquisition, la difficulté d'installation, la durée de validité des certificats limitée à trois ans, ainsi que le manque d'applications disponibles ou d'interopérabilité avec l'étranger [19]. Le système Mobile ID n'engendre par contre pas de frais directs pour l'utilisateur, car ceux-ci sont imputés aux parties utilisatrices par l'intermédiaire d'un contrat d'utilisation. Presque tous les systèmes eid européens ayant donné la priorité à la sécurité plutôt qu'à la simplicité d'utilisation, sans considération pour les cas d'utilisation concrets, se heurtent à des problèmes d'acceptation [20] [21]. Il a donc été démontré qu'une séparation explicite des processus d'authentification et d'identification était judicieuse, car ces deux processus sont utilisés dans des cas bien distincts au sein de l'écosystème, et à une fréquence très différente, comme l'illustre la Figure 4 [22] [23] [24]. 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 22/ 84

23 Personne > 90 % de tous les contacts (à chaque reconnexion) Service en ligne Personne Rarement << 10 % de tous les contacts (classiquement pour le premier enregistrement) Service en ligne Figure 4 Authentification et identification L'authentification est un processus qui vise à obtenir une confirmation pour l'identification d'une personne, à la différence de l'identification avec des attributs d'identité publics, qui exige la saisie d'attributs d'identité supplémentaires, en plus de l'authentification, afin d'identifier une personne de manière univoque. Une identification avec données d'identification personnelle n'est généralement exigée que lors du premier contact, à l'occasion duquel les parties définissent la forme de confirmation numérique (identifiant) qui sera utilisée pour les authentifications futures (pour des explications plus détaillées, cf. annexe 10.2). Étant donné que la preuve électronique des attributs d'identité présuppose toujours une authentification, une méthode d'authentification sécurisée, conviviale et interopérable est un prérequis indispensable à l'utilisation et à la diffusion d'une eid. C'est précisément dans ce sens que s'orientent les travaux d'une grande alliance d'entreprises du secteur de l'informatique (alliance FIDO), qui militent pour un nouveau concept universel d'authentification forte en ligne. Celle-ci prendrait la forme d'une norme interopérable pour les appareils mobiles personnels [25]. Les critères décisifs d'une solution d'authentification utilisable, et donc d'une eid utilisable, sont donc simplicité d'utilisation, standardisation et sécurité [26]. L'introduction d'un système eid suisse doit se dérouler de concert avec l'évolution incertaine de l'écosystème eid international (cf. chapitre 2.2) et national (cf. chapitre 2.3). Des services en ligne performants associés à une campagne marketing convaincante sont indispensables pour arriver à faire accepter une eid qualifiée avec données d'identification personnelle supplémentaires. Aujourd'hui, de nombreux systèmes eid se contentent de transmettre l'identifiant de l'eid de manière sécurisée pour en authentifier le titulaire. Il est encore rare de voir une affectation digne de confiance et une forte liaison d'une eid à une personne, suite à la vérification de plusieurs facteurs d'authentification et à la constatation d'attributs d'identité certifiés par l'état. L'eID reconnue publiquement doit combler cette lacune. Cependant, la mise en œuvre du projet doit tenir compte des risques d'acceptation et de domaine d'application. L'introduction des systèmes d'eid reconnus publiquement aura aussi un caractère expérimental, au moins au début, en ce qui concerne les investissements, la règlementation et l'architecture. 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 23/ 84

24 Certains Etats combinent les fonctions d'eid et de passeport électronique sur leurs cartes d'identité nationales, car celles-ci peuvent être intégrées dans la même puce. Issue du domaine des passeports biométriques et permettant une vérification biométrique automatisée aux frontières, la fonction de passeport électronique est normalisée à l'échelle mondiale par l'organisation de l'aviation civile internationale (OACI). N'offrant cependant pas d'authentification forte dans sa forme normalisée, elle n'est ainsi pas appropriée pour une eid reconnue publiquement. Selon la Loi sur les documents d'identité [27], il faut également proposer une carte d'identité sans puce. Le fait commun à toutes ces solutions est qu'elles impliquent l'utilisation d'un lecteur et d'une application (logiciel pour PC ou application) et, par voie de conséquence, une importante charge d'assistance, ce qui est insatisfaisant pour les utilisateurs et les exploitants. Un couplage des fonctions de passeport électronique et d'eid permet bien entendu de réaliser quelques synergies matérielles, mais il crée aussi des dépendances supplémentaires dans le domaine complexe de l'eid. Qu'il s'agisse de produits de fournisseurs de services d'identité (comme SuisseID, MobileID, IAM) ou encore de portails du secteur privé ou public, il est avéré que de nombreux composants d'identification électronique sont déjà implémentés ou planifiés dans l'écosystème eid actuel. Un avantage indéniable est que les systèmes eid reconnus publiquement n'apportent aucun effet concurrentiel, mais par contre une complémentarité et une aptitude d'intégration au sein des solutions déjà implantées dans l'écosystème eid. L'assurance de l'interopérabilité et la mise en place d'un service de fédération entre les diverses solutions eid font partie des impératifs du présent concept, pour que la majorité des eid puissent être acceptées par toutes les parties utilisatrices (cf. aussi [28]). Ces impératifs sont précisément l'objectif ciblé du projet «Fédération suisse d identités» (projet B2.06 [29]) sous la responsabilité du SECO et, c'est pour cette raison, qu'il est extrêmement important que la mise en œuvre de ce projet se déroule parallèlement au lancement des systèmes eid reconnus publiquement. L'interopérabilité et la reconnaissance mutuelle des eid au sein de l'écosystème eid national et international sont des facteurs indispensables pour le succès du concept. Le moins que l'on puisse dire est que l'introduction d'une eid reconnue publiquement représente un véritable défi à relever en termes de communication. Un vocabulaire commun et un concept d'information efficace simplifient la communication à tous les niveaux tout en exerçant une influence considérable pour l'acceptation du concept. Il convient de porter une attention particulière à l'information et à la communication, notamment dans le domaine de l'encadrement des autorités d'exécution et des clients finaux. 3 Décision de principe Les constatations et conclusions évoquées au chapitre 2.4 ont débouché sur la décision de principe suivante: il ne faut pas brider la capacité d'innovation du marché dans le domaine des services électroniques en général et des moyens d'identification électronique en particulier en adoptant une solution publique trop rigide. En particulier, la mise à disposition de moyens d'identification électronique reconnus publiquement ne doit pas être un monopole de l'état. 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 24/ 84

25 En conséquence, la contribution de l'état aux systèmes eid des IdP se limitera au strict minimum, à savoir mettre en place le cadre légal indispensable aux systèmes d'identification électronique reconnus publiquement ainsi que l'infrastructure de délivrance des certifications pour les eid des citoyens et citoyennes suisses (Figure 5). Le concept prévoit par contre le renoncement d'émission d'une propre eid par l'etat. Les systèmes eid suisses reconnus publiquement doivent offrir le niveau de sécurité «substantiel» (authentification forte) selon [1]. Système eid Authentification eid Délivrance Fournisseur de services d'identité Système eid reconnu publiquement 1. Octroi de licence Authentification, niveau «faible» ou supérieur eid reconnue publiquement Délivrance Fournisseur de services d'identité reconnu publiquement Enregistrement IdP et système eid Service d'identité public (SIP) 2. Enregistrement Authentification, niveau «substantiel» eid reconnue publiquement Enregistrement de l'eid pour le compte d'identité Service d'identité public (SIP) 3. Cachet Authentification, niveau «substantiel» eid reconnue publiquement (avec attributs certifiés) Confirmation des attributs certifiés Fournisseur de services d'identité reconnu publiquement Certification des attributs d'identité Service d'identité public (SIP) Figure 5 Contributions de l'état: octroi de licence, enregistrement et cachet électronique De manière générale, tous les résidents étrangers peuvent aussi acquérir une eid reconnue publiquement chez un IdP et l'utiliser comme moyen d'authentification. La certification d'attributs d'identité par l'etat est cependant uniquement prévue pour les citoyens de nationalité suisse. Les personnes qui habitent en Suisse et qui ont une nationalité d'un pays membre de l'ue peuvent par contre comme prévu par l'ue obtenir une eid notifiée de leur pays d'origine (cf. aussi chapitre 9.2). 4 Objectifs Les conclusions et décisions préliminaires évoquées dans les chapitres Situation initiale (cf. chapitre 2) et Décision de principe (cf. chapitre 3) ont servi à formuler des objectifs concrets. Le système eid reconnu publiquement remplira de lui-même certains de ces objectifs, tandis que d'autres sont du ressort exclusif de l'écosystème eid. Les systèmes eid reconnus publiquement doivent contribuer de façon notable au processus de transition de la Suisse vers une société avancée dans le domaine IT et au développement d'un système de sécurité et de confiance pour les échanges électroniques. 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 25/ 84

26 4.1 Stratégie Certains estiment parfois qu il est inutile d introduire un moyen d identification électronique sans s occuper en même temps des applications qui en découlent. Toutefois, seul le moyen d identification sera mis en place dans le cadre de ce projet. Cette décision se justifie comme suit: Un écosystème eid est un organisme complexe, composé de nombreux éléments qui doivent bien se combiner entre eux. Il est tout simplement impossible de mettre au point tous ces éléments dans le cadre du même projet. L'Etat doit créer la base (par ex. le cadre légal) sur le territoire national pour une applicabilité maximale des eid reconnues publiquement et encourager leur utilisation par des mesures de communication correspondantes et par des référentiels administratifs internes (par ex. par une utilisation obligatoire des eid reconnues publiquement pour les instances officielles). Ces impératifs doivent également être encouragés par tous les acteurs de l'écosystème eid. Les autres composants nécessaires au fonctionnement de l'écosystème eid, services de confiance supplémentaires, fournisseurs de services d'identité ou applications basées sur l'identité, doivent être proposés par des acteurs du marché. Dans la mesure où il s'agit de missions du service public, comme p. ex. l'accès à certains registres ou à des applications de cyberadministration, les projets doivent être élaborés séparément et coordonnés dans le cadre des e-stratégies mentionnées précédemment. Il n'est pas toujours nécessaire que le même acteur mette à disposition l'infrastructure et les applications de cette infrastructure. De nombreux exemples montrent en effet que la nécessité de mise à disposition des bons éléments d infrastructure au moment opportun peut pour ainsi dire souvent impliquer une explosion de branches entières d applications. Tel fut le cas des rues, des voies de chemin de fer, du réseau électrique ou, plus près de nous, d'internet, des protocoles TCP/IP et http ainsi que des infrastructures de communication pour la téléphonie mobile. Une mise en œuvre réussie des stratégies prévues par le Conseil fédéral passe ainsi obligatoirement par l'utilisation de composants et de ressources supplémentaires de tous les acteurs de l'écosystème eid en plus des systèmes eid reconnus publiquement. 4.2 Utilité Les premiers bénéficiaires d'une eid reconnue publiquement, utilisable facilement et dans de nombreuses circonstances, sont la population, l'économie privée et les autorités (cf. aussi [30]). Les lignes suivantes sont destinées à concrétiser quelques cas d'applications futurs potentiels (sous réserve de création des bases juridiques et des systèmes techniques nécessaires). Reportez-vous aussi au chapitre 10.4 de l'annexe pour les déroulements détaillés Population Cas 1: Heidi de Maienfeld est une femme moderne et très occupée. Elle effectue le plus de démarches possibles sur Internet afin de gagner du temps. Elle trouve ennuyeux que certaines opérations l'obligent encore à se présenter personnellement et à présenter une pièce d'identité. Il y a quelques temps, elle a acheté auprès de son fournisseur de services d'identité une eid reconnue publiquement pour son smartphone, afin qu'elle puisse se connecter à des services en ligne. Son eid prend en charge, outre un code NIP, une fonction d'identification par empreinte digitale. Lorsqu'elle a visité récemment le site pour consulter les modalités de commande d'un passeport, elle a remarqué qu'il est possible d'associer des attributs d'identité certifiés par l'etat à son eid et qu'elle pourrait ainsi accéder à de nombreux services sans entretien personnel. Elle choisit alors une offre 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 26/ 84

27 combinée avantageuse qui lui permet de commander conjointement un nouveau passeport et l'ouverture d'un compte d'identité en ligne, nécessaire pour ces services. Lors de son inscription, elle doit également indiquer un numéro de mobile personnel qui sera finalement vérifié par le bureau des passeports lors de son entretien personnel. Elle découvre quelques jours plus tard son identifiant et son code PIN dans sa boîte aux lettres. Elle se connecte ensuite à son compte d'identité par la saisie de son identifiant, du code PIN et du mot de passe unique, qu'elle a reçus par un SMS envoyé au numéro de son smartphone qu'elle avait indiqué, et enregistre ensuite son eid avec une authentification chez son IdP. Son compte d'identité lui permet ensuite de sélectionner les attributs d'identité, qu'elle souhaite faire certifier. Elle choisit le nom, le prénom, la nationalité et la date de naissance. Elle confirme son choix avec un nouveau mot de passe unique qu'elle a reçu automatiquement sur son smartphone avec un accusé de réception de sa sélection. Le service d'identité public certifie à présent en arrière-plan les attributs sélectionnés à son fournisseur de services d'identité, qui lui a vendu l'eid. Par la suite, elle se rend sur le site Internet de l'opérateur de téléphonie de son choix et commande une nouvelle carte SIM pour sa nouvelle tablette à l'aide de son eid. Comme elle est en mesure de prouver en ligne les attributs d'identité requis grâce à son eid par l'intermédiaire de son fournisseur de services d'identité, la procédure complète n'exige aucun entretien personnel (cf. également l'annexe ). Heidi de Maienfeld est satisfaite. Cas 2: Le passeport de Pierre de Maienfeld est encore valide pendant plusieurs années, ainsi que sa CID. À force d'entendre sa femme vanter la simplicité des démarches en ligne avec son eid reconnue publiquement, il décide d'utiliser l'offre de lancement à un prix attractif d'un fournisseur de services d'identité agréé par l'état. Il visite le site remplit le formulaire de demande d'ouverture du compte d'identité et commande tout de suite son eid chez l'idp, ce qui fonctionne de manière confortable, car ses données personnelles requises sont automatiquement reprises de sa demande d'ouverture de compte d'identité. Comme sa femme, il reçoit quelques jours plus tard, après son entretien personnel au bureau des passeports, son identifiant et son code PIN. L'eID qu'il a commandée arrive aussi chez lui et lui permet de choisir les attributs d'identité, qu'il souhaite faire certifier, lors de la première connexion à son compte d'identité. Étant donné que Peter de Maienfeld exerce un métier à risques et qu'il est souvent en mission, il ouvre à titre préventif un dossier électronique de patient. Peter de Maienfeld a également transmis sa photo d'identité à son IdP et l'a certifiée. Il utilise ensuite sa photo pour commander un abonnement demi-tarif sur le site des CFF ainsi que pour commander un abonnement mensuel pour les remontées mécaniques sur le site du chemin de fer de montagne. Il est enthousiasmé par le fait qu'il puisse éviter de faire la queue à l'avenir. C'est quelque chose qui pourrait décider sa fille et son fils à utiliser une eid, se dit-il. Cas 3: André de Maienfeld, le frère de Pierre de Maienfeld, a besoin d'une nouvelle carte d'identité. Il ne comprend pas tout cet engouement autour d'internet. Il veut juste une nouvelle CID pour aller à la Poste et voyager en Europe, sans payer pour des gadgets dont il n'a pas besoin. Lors d'une discussion avec les services communaux, André apprend qu'il peut obtenir une telle CID sans coût supplémentaire: il est ravi Économie privée Cas 1: Une banque a conscience de la rude concurrence pour acquérir de nouveaux clients. Elle souhaite donc proposer des solutions innovantes pour l'ouverture de nouvelles relations clients. À cet effet, elle a développé un service de demande via Internet. Un nouveau client peut ainsi fournir toutes les informations requises et faire confirmer ses données d'identité certifiées, directement en ligne via son IdP, au moyen de son eid. L'entreprise trouve particulièrement génial de pouvoir obtenir en ligne la photographie d'identité et la signature certifiées par l'état. Cela permet de remplir les obligations de sécurité importantes sans faire venir le client sur site ni envoyer des documents supplémentaires par la poste: un gain de temps et d'argent pour le client et la banque! 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 27/ 84

28 Cas 2: Une PME exploite une boutique de produits médicaux en ligne et octroie une remise significative aux seniors. Elle a pour cela négocié un rabais spécial auprès de ses fournisseurs et s'est engagée à confirmer de manière fiable et démontrable, l'âge de chaque client. L'entreprise a choisi de baser la vérification de l'âge sur l'eid reconnue publiquement car celle-ci permet au client de prouver son âge. Au moment de payer, le client peut directement se connecter au site de son IdP et fournir la preuve de son âge. Il n'a donc plus besoin de scanner ou d'envoyer une photocopie de sa pièce d'identité. Simultanément, l'eid assure une authentification sécurisée dans la boutique en ligne sans que la PME ne soit obligée de mettre en place un coûteux système de gestion de l'identité et de l'accès. Après quelques difficultés initiales de communication, la procédure fonctionne sans accrocs, pour la plus grande satisfaction de tous les participants. Cas 3: Une entreprise de téléphonie propose à ses clients une solution d'authentification en ligne attractive, sous la forme d'une eid associée au smartphone. Elle est persuadée que, pour s'imposer et être acceptée par les clients, une solution d'authentification doit être pratique et utilisable au quotidien. Jusqu'à présent, l'entreprise avait explicitement renoncé à garantir l'identité stockée dans l'eid. Grâce à la certification publique des attributs d'identité, elle peut maintenant le faire et proposer à ses clients une eid à part entière, dont les données d'identité sont garanties par l'état. Avant cela, l'entreprise a dû solliciter une licence auprès de la Confédération et démontrer qu'elle remplissait les exigences relatives à un système d'eid reconnu publiquement. En outre, l'eid délivrée peut maintenant être utilisée avec le compte d'identité ainsi que pour d'autres offres de cyberadministration, ce qui augmente fortement la part de marché. Cas 4: Un prestataire de services propose aujourd'hui à ses clients sa propre solution d'authentification pour la connexion à un site. Il accepte également d'autres eid s'il estime qu'elles présentent un niveau de garantie suffisant. En conséquence, le client doit choisir «sa» variante d'eid lors de la connexion, comme lorsqu'il paie avec une carte de crédit, et l'entreprise doit intégrer toutes les variantes acceptées dans sa propre solution, Ceci est devenu très simple après la normalisation des systèmes eid reconnus publiquement. L'entreprise étudie donc un scénario consistant à se présenter sur le marché comme fournisseur de services d'identité et de fédération et à positionner sa solution comme eid reconnue publiquement. Dans ce rôle, elle se chargerait d'authentifier et de confirmer les attributs d'identité des clients des entreprises utilisatrices. Ces dernières n'auraient ainsi besoin de prendre en charge qu'un seul protocole, ce qui simplifierait fortement leur tâche et pourrait compenser le surcoût lié à l'émission de l'eid. Cas 5: Un prestataire d'eid actuel veut recentrer son activité sur la fourniture de services de confiance. La signature électronique qualifiée, l'horodatage électronique ou le chiffrement, p. ex., sont des services de confiance. Le système d'eid reconnu publiquement lui garantit une identification sécurisée ainsi qu'un accès en ligne digne de confiance, particulièrement important dans le cadre de son activité. Le prestataire peut ainsi optimiser sa structure de coûts et renforcer sa position sur le marché Autorités Cas 1: Une commune à la pointe du progrès propose de nombreux services sur son portail en ligne. Pour le secrétaire général en poste, les exigences de sécurité limitent malheureusement les possibilités. Pourtant, l'eid reconnue publiquement, qui s'accompagne d'une authentification et d'une identification sécurisées, permettrait à de nombreuses communes de proposer de nouveaux services en ligne. Ceci contribuerait en outre à réduire encore plus les risques d'abus. Cas 2: Les services consulaires du DFAE peuvent proposer des services en ligne aux ressortissants suisses à l'étranger, en s'appuyant sur les eid reconnues publiquement. Ceci permettrait d'améliorer la qualité des prestations tout en réalisant des économies. Pouvoir réaliser plus de démarches en ligne permet aussi de réduire le nombre d'entretiens personnels, ce qui diminue encore plus les coûteux déplacements et les ressources en personnel nécessaire. 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 28/ 84

29 4.3 Système eid L'introduction de systèmes eid reconnus publiquement, dont les attributs d'identité peuvent être certifiés, permet d'atteindre les objectifs suivants (priorité 1 = obligatoire, priorité 2 = souhaitable): Tableau 2 Objectifs des systèmes eid reconnus publiquement N o O11 O12 O13 O14 O15 Objectif Les citoyens suisses doivent pouvoir acquérir des moyens d'identification électronique avec des confirmations d'attributs d'identité certifiés par l'état en vue d'une utilisation en ligne. (disponibilité) Le moyen d'identification électronique contenant des données d'identification personnelle certifiées par l'état doit être attribué à une personne de manière exclusive, univoque et sécurisée. (sécurité, respect de la vie privée) Les fournisseurs de services d'identité qui émettent des eid reconnues publiquement doivent être fiables et utiliser des processus opérationnels sécurisés. (fiabilité) Les eid reconnues publiquement de Suisse peuvent être utilisées de manière simple et sécurisée pour des échanges électroniques (cyberadministration, cyberentreprise). (simplicité d'utilisation) Les parties utilisatrices de l'écosystème eid doivent pouvoir utiliser les systèmes eid reconnus publiquement rapidement et sans difficulté. (utilisabilité) Priorité Remarques 1 L'État assure la certification des données d'identification personnelle mais n'émet aucune eid supplémentaire. Les confirmations sont fournies par les IdP. 1 L'État s'assure que seules les eid dont l'authentification présente un niveau de garantie substantiel peuvent bénéficier de la valeur ajoutée offerte par la certification publique. 1 L'État octroie une licence d'émetteur d'eid reconnue publiquement aux fournisseurs de services d'identité qui présentent un niveau de garantie certifié suffisant. 1 La certification des attributs par l'état ne nuit pas à la simplicité d'utilisation d'une eid. 2 Les parties utilisatrices peuvent intégrer les eid reconnues publiquement dans leur système IAM sous forme standardisée. 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 29/ 84

30 N o Objectif Priorité Remarques O16 Les données d'identification personnelle disponibles dans le compte d'identité et pouvant être certifiées par l'état sont les suivantes: a. nom officiel; b. prénoms; c. date de naissance; d. sexe; e. lieu de naissance; f. lieu d'origine; g. nationalité; h. (vide) 9 ; i. image du visage, prise lors de l'enregistrement initial j. image de la signature, prise lors de l'enregistrement initial; k. numéro de passeport; l. numéro de CID; m. date d'enregistrement initial. 1 On peut envisager la possibilité de saisir ultérieurement d'autres attributs dans le compte d'identité. La certification des attributs «image du visage» et «image de la signature» n'est possible que pour les fichiers d'origine, non modifiés (aucune reconnaissance du visage ou de la signature). Les images ne peuvent donc être utilisées qu'à titre de référence par une PU. Pour pouvoir utiliser une eid en tant qu'eid notifiée pour des échanges internationaux, les attributs a) à g) doivent tous être certifiés. O17 O18 Les attributs a) à g) sont désignés par données d'identité et suffisent à assurer une identification univoque. Les solutions d'authentification pour les systèmes eid reconnus publiquement doivent être définies en s'appuyant autant que possible sur les normes internationales et être interchangeables et interopérables à un même niveau de sécurité. (normalisation) Un cadre juridique épuré et attractif pour toutes les parties crée la sécurité juridique nécessaire aux systèmes eid reconnus publiquement. (sécurité juridique) 2 L'interchangeabilité au sein d'une même norme garantit la capacité du système eid suisse à évoluer. Le protocole d'authentification, en particulier, doit fonctionner quelle que soit la méthode de vérification de l'identité de la personne (p. ex. spécifications basées sur des normes FIDO [25]). 1 Le cadre juridique qui sera élaboré ne doit pas constituer un obstacle insurmontable à l'entrée, tout en garantissant quand même une sécurité juridique suffisante. En outre, il doit être compatible avec le règlement européen ei- DAS. 9 Cf. note de bas de page 3 sur la page 8. 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 30/ 84

31 4.4 Écosystème eid Une fois les systèmes eid introduits, l'écosystème eid doit permettre de remplir les objectifs suivants: Tableau 3 Objectifs de l'écosystème eid N o O21 O22 O23 O24 Objectif Les eid reconnues publiquement et les données d'identification personnelle confirmées par l'état sont acceptées par toutes les autorités suisses et peuvent être notifiées au niveau européen. (acceptation, possibilité de notification) L'écosystème eid fournit des services de confiance supplémentaires tels que la signature électronique qualifiée et des services d'attributs étendus (justification de sa profession p. ex.), ou encore des applications spéciales, comme l'e-santé avec le dossier électronique de patient ou le vote électronique p. ex., qui utilisent l'eid. (diffusion) La contribution de l'état fournit aux solutions eid suisses existantes (p ex. la SuisseID) ou à leurs prestataires un marchepied vers le statut d'eid reconnue publiquement ou de fournisseur de services d'identité licencié, respectivement. (subsidiarité) La population sera informée à grande échelle des possibilités d'utilisation des eid reconnues publiquement et encouragée à les utiliser. (marketing) Priorité Remarques 1 Ceci présuppose que l'authentification qui accompagne l'utilisation de l'eid soit suffisamment fiable (niveau de garantie «substantiel»). 2 L'État collabore avec les services publics et privés pour atteindre cet objectif. 2 Les émetteurs d'eid actuels sont les utilisateurs potentiels d'un service d'identité public. Les autorités sont des utilisateurs de systèmes eid reconnus publiquement. 1 L'État et l'émetteur assurent l'information au sujet des applications et de la sécurité des systèmes eid. 5 Exigences 5.1 Système eid Contribution de l'état Les exigences relatives à la contribution de l'état (service d'identité public SIP) en matière de mise à disposition d'eid reconnues publiquement avec données d'identification personnelle certifiées sont les suivantes: Tableau 4 Exigences du système eid pour l'état N o E11 Exigences et besoins fonctionnels La vérification des données d'identification personnelle d'un demandeur d'eid suit la même procédure que celle actuellement en vigueur dans les bureaux des passeports. Priorité Remarques 1 Impact minime ou inexistant sur la procédure d'identification initiale dans les bureaux d'enregistrement. 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 31/ 84

32 N o E12 E13 E14 E15 E16 E17 E18 E19 Exigences et besoins fonctionnels Les attributs d'identité constatés sont gérés par un service de confiance public centralisé (service d'identité public SIP), dans un compte d'identité auquel seule la personne enregistrée pour ce compte, en dehors du service public susnommé, peut accéder. Pour accéder à son compte d'identité, l'utilisateur doit s'identifier avec un niveau de garantie «substantiel». Le compte est associé à une eid reconnue publiquement dans le cadre de la procédure d'identification initiale; l'utilisateur peut par la suite enregistrer d'autres eid reconnues publiquement à condition qu'elles affichent un niveau de garantie égal ou supérieur. Les certifications des attributs d'identité ne sont communiquées qu'aux IdP reconnus publiquement, dont l'infrastructure et l'organisation satisfont les exigences en vigueur et qui ont reçu la certification correspondante. L'IdP qui reçoit une certification publique d'attributs peut vérifier à tout moment la validité de celle-ci en ligne, auprès du SIP. Une certification d'attribut fournie par l'état est valable à la date de certification, qui correspond à la date d'identification initiale, pour autant que l'état n'ait pas eu connaissance d'une modification de la validité des attributs à certifier. L'État ne conserve aucun fichier journal des certifications émises auprès des IdP reconnus publiquement; il appartient à l'idp de les gérer dans son système IAM. Le numéro de compte d'identité identifie le compte d'identité; l'utilisateur conserve le même numéro, y compris après expiration de la validité des attributs saisis. Par contre, l'eid ne doit pas posséder d'identifiant unique global, mais un identifiant unique pour chaque connexion à une PU; il peut p. ex. s'agir d'une clé pour établir la connexion. La certification des attributs d'identité est valable pour une personne et un IdP; le titulaire du compte d'identité doit avoir explicitement autorisé la certification. La gestion des données des systèmes eid et les services fournis doivent s'appuyer sur la loi et le règlement européen. Priorité Remarques 1 Chaque personne identifiée possède un compte d'identité personnel. Outre le moyen d'identification initial (PIN, OTP), une eid reconnue publiquement est enregistrée comme moyen d'identification. 1 L'État reconnaît les eid autorisant une authentification au niveau de garantie «substantiel» ou «élevé», qui implique obligatoirement la vérification de deux facteurs d'authentification. 1 Pour obtenir une licence en tant qu'idp reconnu publiquement, le fournisseur doit apporter la preuve de sa certification. 1 Le SIP fournit les services de validation correspondants. 2 À chaque prolongement de la validité d'une eid ou en cas de nouvelle émission d'une eid, l'idp doit demander une nouvelle certification. 2 À la différence du numéro de passeport ou de CID, l'identifiant de l'eid est défini par le système de l'idp et n'est pas géré par l'état. Chaque IdP gère un système IAM et peut aussi proposer un service de fédération. 2 Les certifications sont destinées aux IdP reconnus publiquement et ne sont absolument pas transférables. 1 Aucune base juridique formelle n'est nécessaire pour le traitement et la conservation des données d'identité, au niveau tant du SIP que de l'idp. 5.2 Système eid Contribution du prestataire de service Les fournisseurs de services d'identité (IdP) existants ou qui seront créés par la suite peuvent valoriser les eid qu'ils émettent en les faisant certifier par l'état, à condition que leurs eid répondent aux exigences légales applicables aux systèmes d'eid reconnus publiquement. L'IdP doit à cet effet s'enregistrer auprès de la Confédération, qui lui octroie une licence. L'autorisation est liée au respect de 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 32/ 84

33 certains critères. L'IdP doit démontrer sa conformité lors du premier enregistrement puis à chaque renouvellement de sa licence. Tableau 5 Exigences pour les systèmes eid des IdP N o E21 E22 E23 E24 E25 E26 E27 E28 Exigences et obligations Pour chaque eid reconnue publiquement émise par un IdP, la méthode d'authentification de l'utilisateur doit être précisée. Chaque eid reconnue publiquement doit au moins également autoriser une authentification au niveau de garantie exigé pour l'utilisation du compte d'identité; la sécurité d'authentification minimale (niveau de garantie de l'authentification) de l'eid peut toutefois être inférieure à celle exigée pour accéder au compte d'identité. Chaque eid reconnue publiquement doit toujours être affectée à un émetteur (IdP); les certifications publiques d'attributs sont liées à la licence de l'émetteur; chaque confirmation d'attributs pour une personne titulaire d'une eid est fournie par l'idp de sorte qu'une partie utilisatrice puisse déterminer quels attributs sont certifiés par l'état. Un IdP qui émet une eid vérifie que le chiffre de contrôle pour la valeur d'attribut dans la certification publique correspond bien à celle de la valeur d'attribut qui est enregistrée pour l'eid dans son système IAM; il conserve la certification publique reçue dans son compte IAM avec l'eid émise. En principe, conformément au règlement européen, chaque système eid reconnu publiquement peut être notifié, sauf blocage par l'état. Chaque eid doit cependant faire certifier suffisamment de données pour permettre d'identifier la personne: attributs de a) à g) (données d'identité selon O16) En Suisse, après la phase d'introduction, au moins un IdP reconnu publiquement devra proposer une eid notifiée. Un IdP reconnu publiquement doit s'assurer qu'une partie utilisatrice peut vérifier l'intégrité des eid qu'il émet ainsi que celle des certifications des attributs correspondants. Chaque système eid reconnu publiquement doit disposer d'une organisation de support clairement définie. Priorité Remarques 1 Définition du niveau de garantie minimum pour l'authentification et éventuelles mesures de renforcement de la sécurité. 1 En principe, un utilisateur doit pouvoir utiliser tous les services basés sur l'identité au moyen de la même procédure d'authentification. L'eID peut toutefois vérifier des facteurs d'authentification différents en fonction de la situation. 1 Le numéro de licence de l'idp émetteur fait partie intégrante de la certification d'attribut; en cas de litige concernant des attributs certifiés par l'idp, ce dernier doit démontrer qu'il possède la certification ad hoc pour l'attribut. 2 L'IdP est responsable que les confirmations d'attributs qu'il a émises soient vérifiées, soient exactes et qu'elles soient affectées à la bonne eid. 1 Les autorités suisses acceptent en particulier les eid d'émetteurs titulaires d'une licence avec un ensemble de données d'identification personnelle certifiées suffisantes. 2 Au besoin, l'état peut proposer un service d'idp dédié ou en mandater un. 2 Intégration dans une infrastructure à clés publiques (ICP) reconnue, avec chaîne de certification et mise à disposition d'une infrastructure de vérification en ligne, accessible au public. 2 Les systèmes eid ainsi que les prestations de support qui leur sont associées devront faire l'objet d'un niveau élevé de standardisation. 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 33/ 84

34 5.3 Écosystème eid Outre les exigences impératives en matière d'eid et d'idp reconnus publiquement, l'écosystème eid doit satisfaire les besoins et exigences suivants pour optimiser les procédures: Tableau 6 Exigences pour l'écosystème eid N o E31 E32 E33 E34 E35 E36 E37 Besoins et exigences L'utilisateur doit pouvoir se servir d'une eid reconnue publiquement partout, de manière sécurisée et simple. Les parties utilisatrices doivent pouvoir intégrer l'identification par eid reconnue publiquement dans leurs systèmes IAM et l'utiliser sans charge de travail excessive. Pour couvrir les besoins d'authentification, les parties utilisatrices et les IdP doivent privilégier les systèmes eid normalisés et interopérables. Les IdP et les parties utilisatrices doivent s'appuyer sur les normes internationales en ce qui concerne le niveau de garantie de l'authentification et offrir la possibilité de relever progressivement celui-ci en y ajoutant d'autres facteurs d'authentification (authentification renforcée et authentification contextuelle). Les nouveaux services basés sur l'identité des parties utilisatrices doivent utiliser l'infrastructure eid existante; celle-ci est obligatoire pour les services publics. Les mesures d'information et de support au niveau de tous les acteurs visent à promouvoir une perception unifiée et un usage croissant des eid reconnues publiquement. Toutes les eid reconnues publiquement doivent de manière générale être reconnues par toutes les PU qui acceptent des eid. Les IdP s'engagent à remplir les exigences d'interopérabilité correspondantes et de développer des systèmes de tarifs en symbiose avec ces exigences. Priorité Remarques 1 Les acteurs doivent promouvoir ensemble la facilité et la simplicité d'utilisation. 1 Prérequis: standardisation, utilisabilité et faible coût 2 Des protocoles simples et uniformes rendent l'utilisation plus simple; c'est p. ex. le cas si l'eid permet une authentification conforme aux spécifications FIDO. 2 L'eID est intégrée à un support à la pointe de la technologie (p. ex., smartphone avec TEE) pour une authentification adéquate. 1 Les services publics acceptent les eid reconnues publiquement; par ex. vote électronique, e-santé ou cyberadministration. 2 Les principaux acteurs de l'écosystème eid collaborent pour développer les systèmes d'eid reconnus publiquement. 2 Les parties utilisatrices doivent accepter toutes les eid reconnues publiquement pour leurs besoins d'authentification si aucun motif économique plausible d'opposition n'existe. 5.4 Sécurité et protection des données Un niveau élevé de sécurité et de protection des données est absolument indispensable à l'utilisation des systèmes eid et des services de confiance. Le développement et l'utilisation de ces moyens électroniques doivent reposer sur un traitement approprié des données personnelles par le prestataire et le fournisseur de services d'identité. Ceci est d'autant plus important que ce traitement doit, entre autres, fournir la base d'une identification et d'une authentification la plus fiable possible des personnes physiques (ou morales). L'État peut définir les exigences de sécurité pour l'accès au compte d'identité et pour l'octroi de licence aux IdP autorisés à recevoir des certifications d'attributs. En revanche, les mécanismes de sécurité à l'intérieur de l'écosystème eid seront plutôt déterminés au niveau international, par le jeu de l'offre et de la demande sur le marché d'une part, et par la normalisation et la réglementation d'autre part. 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 34/ 84

35 Les risques de sécurité et les mesures techniques de protection concrets pour les données personnelles sont traités de manière approfondie au chapitre 6.5. Tableau 7 Exigences en matière de sécurité et de protection des données N o E41 E42 E43 E44 E45 E46 Besoins et exigences du point de vue de la sécurité et de la protection des données L'utilisation et l'accès au compte d'identité ainsi que la réception des certifications d'attributs sont protégés de manière à garantir qu'ils ne puissent pas faire l'objet d'abus, de piratage ou d'attaque d'aucune sorte. Le service d'identité public (SIP) ne dévoile jamais en clair des valeurs d'attributs d'identité à d'autres entités que celles de la personne autorisée identifiée et les valeurs d'attributs d'identité certifiées seront uniquement fournis à des IdP reconnus publiquement sur la demande explicite du titulaire du compte d'identité. Chaque attribut certifié par le SIP est garanti individuellement. Sa licence n'est valable que pour un IdP et son système eid. La certification ne peut être vérifiée qu'avec la connaissance du numéro de licence. L'achat et le support de l'infrastructure informatique pour les bureaux d'enregistrement et services publics concernés se déroulent par un canal établi et sécurisé. L'authentification via une eid reconnue publiquement peut aussi être utilisée indépendamment des attributs d'identité, p. ex. pour une authentification anonyme ou au moyen d'un pseudonyme. Les eid reconnues publiquement utilisées par les divers IdP ou parties utilisatrices empruntent un canal sécurisé et indépendant pour chaque service. Les paramètres de sécurité peuvent être utilisés comme identifiant dépendant de la connexion, mais leur authenticité doit pouvoir être vérifiée. Priorité Remarques 1 Le compte d'identité est protégé par une authentification avec un niveau de confiance substantiel ainsi que par des droits basés sur des rôles. 1 Protection contre l'usurpation d'identité, protection de la vie privée des personnes habilitées; seule la personne habilitée peut divulguer ses données d'identité à un IdP ou une partie utilisatrice. 1 Les certifications ne sont pas transférables; elles sont liées à un IdP reconnu publiquement et digne de confiance; il n'y a aucun risque d'abus des certifications publiées. 2 Seules des entreprises suisses contrôlées seront autorisées à fournir les éléments critiques. 2 Une personne peut éventuellement s'authentifier via un identifiant qui peut être, selon les circonstances, complètement dépendant de la connexion (p. ex. une clé générée par l'eid). La personne n'est donc pas, ou très peu, obligée de divulguer ses données personnelles. 2 Les eid avec application d'authentification interopérable permettent l'ouverture ad hoc d'un canal privé sécurisé vers les services d'authentification; l'authenticité de ces eid est garantie par un certificat à vérification publique envoyé lors de l'ouverture du canal (la spécification UAF FIDO décrit un exemple de tel mécanisme [25]). 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 35/ 84

36 6 Concept de solution La conception de la solution d'eid avec attributs d'identité certifiés par l'état doit prendre en compte la situation initiale décrite au chapitre 2, la décision de principe du chapitre 3, les objectifs énoncés au chapitre 4 et les exigences définies au chapitre 5. Un point particulièrement important à nos yeux est la capacité de la solution à évoluer, afin qu'elle ne bride pas la capacité d'innovation de l'écosystème eid. Ce n'est qu'ainsi qu'elle pourra encore être adaptée aux évolutions technologiques et socioéconomiques dans une dizaine d'années. Pour cette raison, l'état se concentre, dans la solution proposée, sur la fonction centrale consistant à fournir une certification fiable des données d'identification personnelle garanties par l'état (O16) ainsi que sur la mise en place d'un cadre juridique adéquat pour les systèmes eid (O18, E19). Par contre, la mise à disposition des moyens d'identification électronique reconnus publiquement, à savoir l'eid, incombe aux IdP reconnus publiquement de l'écosystème eid, ceux-ci pouvant être originaires du secteur privé ou d'une administration publique. Pour être reconnus publiquement, ils doivent s'enregistrer auprès de la Confédération en tant qu'idp titulaire d'une licence et apporter la preuve qu'ils respectent les prescriptions juridiques et opérationnelles (O13, O17, O18). 6.1 Résumé synoptique La Figure 6 illustre les éléments de la solution dont la responsabilité incombe à l'état. Ils seront décrits plus en détail dans les chapitres suivants. eid avec attributs d'identité certifiés par l'état Enregistrement Cachet Législation Normalisation Support technique Octroi de licence Interface UE Figure 6 Contributions de l'état à l'écosystème eid La solution prévoit que la Confédération crée le cadre juridique nécessaire aux systèmes eid reconnus publiquement (O18, E19) (cf. chapitres et 7); la Confédération définit les standards techniques et les autres directives à respecter pour l'exploitation d'un système eid reconnu publiquement (O12 - O15, O17) (cf. chapitre 6.4.2); La Confédération gère un «service d'identité public (SIP)» (cf. chapitre 6.2) qui assure tous les services d'exploitation et de support nécessaires à une certification fiable des données d'identification personnelle (O11, O16) (cf. chapitre 6.3); la Figure 7 ci-dessous présente le SIP, ses services et les interfaces avec les autres acteurs; les IdP privés et publics répondant aux exigences légales et règlementaires font enregistrer et reconnaître leurs systèmes eid par l'état, qui leur octroie une licence d'exploitation (O11, O13) («service d'octroi de licence du SIP, cf. chapitres et 6.3.8); 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 36/ 84

37 pour les systèmes eid reconnus publiquement soient définies des exigences relatives à la standardisation, l'interopérabilité, la sécurité, l'authentification forte et l'applicabilité (O12 - O15, O17, E17, E21-E25, E31-E35, E41 - E44); la Confédération propose un service public de validation de licences, que les parties utilisatrices peuvent utiliser pour vérifier la validité de la licence d'un IdP reconnu publiquement (O12, O21, E27) (cf. chapitre 6.3.9); tous les ressortissants suisses peuvent demander, en plus de leurs documents d'identité suisses, l'ouverture d'un compte public en ligne (compte d'identité) contenant leurs données d'identification personnelle (O16, E11, E12) auprès des bureaux d'enregistrement (bureaux des passeports) cantonaux ou des représentations suisses à l'étranger (cf. chapitres et 6.3.1); tous les Suisses peuvent se procurer une eid reconnue publiquement, avec fonction d'identification adéquate, auprès d'un IdP titulaire d'une licence (O11, O23) (cf. chapitre 6.3.2); les bureaux d'enregistrement proposent les services suivants: identification des personnes, ouverture d'un compte d'identité et enregistrement d'une eid personnalisée et reconnue publiquement pour l'accès au compte d'identité (O11, O12, E11, E13) («service d'enregistrement du SIP, cf. chapitres et 6.3.3); que tous les titulaires de compte d'identité puissent justifier leur identité dans le compte d'identité à l'aide d'un moyen d'identification géré par l'etat (O12) (authentification forte, cf. chapitres et 6.3.1) lors de la première connexion ou lors d'un nouvel enregistrement d'eid; la Confédération met en place un service de certification pour les données d'identification personnelle («service de cachet des attributs d'identité») (cf. chapitres et 6.3.3) (O11, E11, E14), via lequel le titulaire d'un compte d'identité peut faire parvenir à l'idp reconnu publiquement, qui a émis son eid (E18), les certifications publiques pour les attributs des données d'identification personnelle sélectionnés, sous forme d'un cachet électronique; la Confédération met à disposition un service de validation destiné aux IdP reconnus publiquement, qui peuvent ainsi vérifier les certifications publiques (E14 - E16, E43) («service de cachet des attributs d'identité», cf. chapitres et 6.3.3); la Confédération promeut l'utilisation d'eid et qu'elle assure leur propagation auprès de la population et des parties utilisatrices (O14, O24, E35, E36) en collaboration avec des représentants de l'écosystème eid; la Confédération impose à tous les services publics nationaux l'acceptation des eid reconnues publiquement pour les transactions en ligne comme des moyens d'identification à part entière et qu'elle encourage la reconnaissance correspondante chez les instances cantonales et communales (O21, O22); avant la notification, qui fera l'objet d'un projet distinct, la Confédération met en place un service (serveur proxy, courtier d'identité) qui assure la confirmation au niveau international des systèmes eid notifiés compatibles eidas (E25) [1] [5] (cf. chapitre 6.2.5); et que la Confédération peut émettre sa propre eid notifiée et reconnue publiquement si le marché n'assure pas cette fonction de manière suffisante (O22, E26) (solution de secours). Les chapitres suivants décrivent en détail les composants individuels de la solution. Outre les composants devant être réalisés par l'état dans le cadre du présent projet (cf. chapitres à 6.2.4), la présence de nombreux autres composants importants est indispensable au fonctionnement de la solution globale de l'écosystème eid (E37, E45, E46) (cf. section 6.4.5). Des annexes ou des chapitres 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 37/ 84

38 Octroi de licence IdP particuliers sont dédiés aux thèmes de l'authentification (cf. annexe 10.2), de la sécurité et de la protection des données (cf. chapitre 6.5) ainsi qu'à des exemples concrets d'applications (cf. annexe 10.4). Service d'identité public (SIP) Support technique Législation Normes Interface UE Service d'enregistrement Service de cachet Service d'octroi de licence 1 1 I I Bureau d'enregistrement Portail web d'enregistrement Serveur web du compte d'identité Validation du cachet Octroi de licence et notification de l'idp Validation de la licence Demande de compte d'identité Identification Accès au compte d'identité eid de l'idp a 4b 5 Fournisseur de services d'identité (IdP) I Utilisation de l'eid et confirmations Vérifications 3 Cachet attribut IdP - IAM Validation IdP - eid Relation d'affaires 6a eid Partie utilisatrice (PU) Authentification avec eid Authentification avec PIN et OTP Personne 6b 6b Partie utilisatrice (PU) IAM Partie utilisatrice (PU) System IAM System Système IAM Figure 7 Vue d'ensemble d'un système eid reconnu publiquement Légende: la personne commande, enregistre, certifie et utilise une eid reconnue publiquement 1) Commande en ligne d'un compte d'identité (peut être commandé conjointement avec CID/passeport ou séparément), les données d'identification personnelle sont enregistrées et préparées pour le compte d'identité, enregistrement supplémentaire du numéro de téléphone d'un appareil personnel pour l'envoi ultérieur d'un passeport unique (One Time Password - OTP); 2) Identification de la personne et relevé des données biométriques (image du visage, image de la signature), vérification du numéro de téléphone personnel pour l'envoi de mots de passe uniques (facteur: possession de l'appareil). Par la suite envoi des données d'accès pour la première connexion au compte ID, c.-à-d. envoi du nom d'utilisateur (identifiant) et d'un code PIN (facteur: secret); 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 38/ 84

39 3) La personne a déjà une eid reconnue publiquement ou en acquiert une chez un IdP reconnu publiquement et l'initialise pour elle; 4) La personne se connecte au compte d'identité (identifiant et authentification forte (2 facteurs min.): identifiant et code PIN + OTP) (4a) et enregistre son eid pour le futur accès au compte d'identité. Lors de l'enregistrement de l'eid, la personne définit aussi les attributs, qui doivent être certifiés par l'etat chez l'idp émetteur de l'eid. Pour que la certification d'attributs puisse être affectée au compte correct dans l'iam de l'idp, une inscription chez l'idp avec l'eid doit également être effectuée lors de l'enregistrement (4b). 5) Le serveur du compte d'identité transmet les données d'identification personnelle certifiées via un canal sécurisé à l'idp émetteur de l'eid, qui les vérifie et les affecte dans son IAM à la demande d'eid de la personne. 6) La personne peut à présent s'enregistrer avec son eid chez des parties utilisatrices et leur transmettre des confirmations d'attributs avec des données d'identification personnelle certifiées (6a). Après l'enregistrement chez une partie utilisatrice, la personne va s'authentifier directement (6b) avec l'eid ou par fédération IdP (6a). Avec le code PIN et l'otp qui est envoyé au numéro de téléphone enregistré, la personne possède un moyen d'identification à 2 facteurs, appelé moyen d'authentification forte, que l'etat a affecté à la personne avec un niveau de sécurité «substantiel» (définition eidas). Ce moyen d'authentification forte est par la suite uniquement requis pour l'accès au compte d'identité à chaque fois que la personne souhaite enregistrer une eid supplémentaire. La personne conserve l'identifiant et le code PIN en lieu sûr pour éventuellement les réutiliser comme moyens d'identification de sauvegarde dans le cas où l'eid enregistrée ne fonctionnerait plus. La nécessité d'accéder au compte d'identité sera probablement aussi très rare car, dans des circonstances normales, une certification d'attributs d'identité n'est requise qu'une seule fois par cycle de vie d'une eid. Étant néanmoins en principe toujours possible, un renouvellement d'une certification peut s'avérer nécessaire si une partie utilisatrice demande une confirmation d'attributs associée à une certification actuelle. Pour effectuer une authentification après la première connexion au compte d'identité et aussi chez toutes les parties utilisatrices, il existe deux possibilités de procédures, dont le choix de l'une ou de l'autre dépend du système eid spécifique. D'une part, l'idp peut opérer en tant qu'instance d'authentification centralisée pour son système eid et envoyer les résultats d'authentifications qu'il a exécutées aux parties utilisatrices ou encore au serveur du compte d'identité (mode de fédération). D'autre part, il est possible qu'un système eid soit conçu de telle manière, que l'eid engendre avec chaque partie utilisatrice l'ouverture d'un nouveau canal indépendant, à travers lequel l'authentification est effectuée directement à l'aide de l'eid, sans intervention de l'idp (mode direct). Cette seconde option est entre autres possible avec des systèmes eid, dont l'architecture d'authentification est réalisée selon le modèle FIDO. Ces deux options d'authentification sont prises en charge pour l'accès au compte d'identité après le premier enregistrement, qui doit toujours et impérativement se dérouler selon le protocole d'initialisation décrit au point 1-4 (O21). Ces deux variantes sont actuellement déjà représentées en Suisse par les systèmes eid «Mobile ID» et «SuisseID». Dans le domaine industriel, la tendance de mode d'authentification direct [22] semble se confirmer, ce qui permet aussi des authentifications anonymes et au moyen d'un pseudonyme (E45). La Figure 8 montre schématiquement le cycle de vie d'une eid reconnue publiquement avec des attributs certifiés et les confirmations correspondantes destinées aux parties utilisatrices. Elle montre les étapes de processus jusqu'à l'application opérationnelle. Pour un cycle de vie complet, il reste à ajouter les étapes relatives au déroulement, à l'annulation et au rappel ainsi que le renouvellement de la certification. Nous avons renoncé à la représentation évidente au profit de la clarté. 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 39/ 84

40 IdP IdP Partie utilisatrice (PU) Partie utilisatrice (PU) avant IdP: Livraison de l'eid; Personne: Enregistrement de l'eid auprès de l'idp ensuite plus tard Personne: enregistre l'eid auprès de la PU; IdP: Transmission de l identifiant unique pour la certification d'attributs SIP: Transmission de la certification d attributs à l IdP Personne: Enregistrement eid; PU: demande la confirmation d'attributs IdP: transmission de la certification d'attributs à la PU Personne: s'authentifie avec l'eid auprès de l'idp déroulement Personne Personne: Demande du compte d'identité; Saisie du numéro de téléphone Personne: Entretien personnel; SIP: Livraison du moyen d'authentification initial (numéro de compte, PIN, OTP) Personne: Authentification avec (PIN, OTP); Enregistrement eid; Validation de la certification d'attributs Personne: Authentification avec eid; Initie la confirmation d'attributs pour la PU Optionel: en mode fédération Service d'identité public (SIP) Bureau d'enregistrement (SIP) Compte d'identité (SIP) IdP IdP Figure 8 Cycle de vie d'une eid 6.2 Architecture La contribution de l'état au système eid suisse comprend un ensemble de services d'exploitation et d'accompagnement, qui sont regroupés et gérés au sein du service d'identité public (SIP) de fedpol. Un système eid complet reconnu publiquement comporte les instances suivantes: Service d'identité public avec les services opérationnels suivants: o service d'enregistrement public avec les bureaux d'enregistrement cantonaux et les représentations suisses à l'étranger (bureaux des passeports); o service de cachet des attributs d'identité pour la délivrance et la validation de certifications; o service d'octroi de licence pour l'accréditation et l'octroi de licence pour des systèmes eid et des IdP reconnus publiquement; et au service d'accompagnement o support technique (organisation de support en ligne pour l'assistance de 2 e et de 3 e niveau et soutien à la communication); fournisseur de services d'identité (IdP) assumant les fonctions suivantes o infrastructure IAM pour le fonctionnement sécurisé d'un système eid reconnu publiquement; o acquisition, mise en place ou implémentation d'eid avec ancrage protégé dans un dispositif matériel sécurisé (Secure Element ou intégration dans le TEE des appareils disponibles sur le marché [15]); de préférence compatible avec les applications d'authentification interopérables (p. ex. «FIDO ready» [25]); o édition et initialisation des eid pour les personnes utilisatrices; o service d'authentification pour les eid émises; 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 40/ 84

41 o gestion du cycle de vie des eid émises; o service de conservation et de gestion des certifications d'attributs par l'état; o édition, administration et validation des certifications d'attributs vis-à-vis des parties utilisatrices et des titulaires d'eid; o support pour les systèmes eid en exploitation (support utilisateur, support technique, mises à jour de sécurité, adaptation aux évolutions IT). Services de confiance et autres parties utilisatrices avec: o propre système IAM et serveur d'authentification pouvant enregistrer des eid et valider des confirmations d'attributs chez l'idp ou o une application de fédération qui reçoit des prestations de services par l'intermédiaire de l'idp compétent pour l'eid. Personne (utilisateur) avec o une eid et un appareil connecté à Internet, sur lequel sont installées une application d'authentification interopérable et qui possède une interface de connexion au support de l'eid (typiquement, un PC avec NFC ou interface pour Smartcard) ou o un appareil mobile personnel disposant d'un compartiment sécurité (TEE [15] ou Secure Element) où sont installées une eid et une application d'authentification interopérable. Services de fédération de la fédération suisse des identités (projet B2.06 sous la responsabilité du SECO) o Service de fédération national pour des eid reconnues publiquement. o Service de fédération international pour des eid reconnues publiquement. Serveur proxy paneuropéen (PEPS) conforme au modèle STORK pour l'interopérabilité transnationale des systèmes eid notifiés. Services de communication et d'information pour le soutien à l'introduction d'une eid. La responsabilité des prestations de cyberadministration incombe au programme de cyberadministration suisse. 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 41/ 84

42 Seule l'instance citée en premier, notamment le «service d'identité public», est une partie intégrante du présent projet. Faisant partie de l'écosystème eid, toutes les autres instances sont mises à disposition par des institutions et personnes du secteur privé ou public. La Figure 9 représente la structure organisationnelle de la partie publique du système (lignes périphériques pleines) avec les interfaces vers les instances non publiques (lignes périphériques interrompues). fedpol Support technique Service d'identité public (SIP) Interface UE STORK Normes Législation Service d'enregistrement public Service de cachet des attributs d'identité Service d'octroi de licence Notification Bureau des passeports Bureau des passeports IdP reconnue publiquement IdP reconnue publiquement IdP reconnue publiquement IdP reconnue publiquement eidas Notification Bureau des passeports IdP reconnue publiquement IdP reconnue publiquement Bureau des passeports IdP reconnue publiquement IdP reconnue publiquement Figure 9 Structure organisationnelle d'un système eid reconnu publiquement L'infrastructure technique de la partie publique en charge de l'exploitation des systèmes eid est représentée sur la Figure 10. La majorité des composants sont concentrés dans le service central du SIP qui fait partie de la fedpol. 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 42/ 84

43 Service d'identité public (SIP) Zone hautement sécurisée 5 Clé et cryptage HSM ISA Zone sécurisée 4 Serveur d'authentification + Client de fédération Base de données d'identification des personnes 4 Certification d'attributs 4 Bureau d'enregistrement Pare-feu du DMZ 2 ICP DMZ Bureau des passeports SIP Portail Web Validation de certificats 1a 3 1b 2 2 eid appareil client Système IAM pour l'idp Système IAM pour la PU Figure 10 Infrastructure technique et interfaces du SIP Légende: infrastructure pour SIP (tâches marquées par des flèches rouges) 1) Serveur d'authentification pour l'accès initial avec code PIN et OTP pour chaque compte d'identité (1a), client pour les authentifications par l'idp en mode de fédération (1b) et serveur d'authentification pour eid en mode direct avec des cryptages spécifiques au types de connexions (1a). 2) Validation de certifications d'attributs et de certificats de licences pour IdP. 3) Accès pour le titulaire d'un compte d'identité à ses données d'identification personnelle enregistrées (décryptage et affichage). 4) Envoi de certifications d'attributs aux IdP. 5) Interrogation et sécurisation (cryptage) de données d'identité de la base de données ISA, stockage dans la base de données cryptée du SIP (miroir). 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 43/ 84

44 Selon le niveau de sécurité requis, les composants du système SIP sont répartis dans des zones rattachées à différents niveaux de sécurisation, de sorte que les principes de sécurité essentiels (peu de points d'attaque informatique, répartition en compartiments, lignes de défense échelonnées) puissent être mis en œuvre en conformité avec les niveaux de sécurisation et d'exposition. L'ensemble du concept de sécurité du SIP sera certifié dans les règles de l'art Service d'enregistrement public du SIP Le service d'enregistrement public est composé d'une partie centrale et d'éléments périphériques. Ces derniers sont intégrés dans les structures organisationnelles existantes et compétentes pour les documents d'identité suisses et dans celles des bureaux d'enregistrement compétents pour l'accomplissement auprès des cantons et des représentations suisses à l'étranger. La partie centrale comporte un organe de contrôle au sein de la Confédération (fedpol) Les missions du service d'enregistrement public sont les suivantes: traitement des demandes de compte d'identité; établissement des données d'identité de la personne; enregistrement du numéro de téléphone personnel du requérant; ouverture du compte d'identité pour les personnes habilitées; identification physique des personnes lors d'un entretien personnel; saisie des attributs «image du visage» et «image de la signature»; vérification de la ligne téléphonique à l'aide du numéro de téléphone enregistré; enregistrement de l'adresse de destination pour les données d'accès initiales au compte d'identité (nom d'utilisateur et code PIN; envoi postal des deux éléments à l'adresse personnelle) ou remise de ces données lors de l'entretien personnel (la faisabilité logistique de cette seconde variante reste à vérifier); perception des émoluments; validation du compte d'identité Service de cachet des attributs d'identité du SIP Le service de cachet des attributs d'identité propose les services centraux de certification des attributs ainsi que l'infrastructure IAM pour la gestion des comptes d'identité. Ses missions sont les suivantes: HSM pour la gestion des clés des entrées cryptées dans la base de données avec les données d'identification personnelle et des interfaces automatisées d'accès au système d'information relatif aux documents d'identité ISA et éventuellement Infostar dans une zone de réseau informatique hautement sécurisée; gestion de la base de données cryptée contenant les données d'identification personnelle dans une zone de réseau informatique (zone sécurisée) avec cryptage et décryptage en ligne des données; gestion du serveur et du portail Web pour l'accès au compte d'identité dans une zone de réseau accessible au public sous-réseau spécifique (DMZ); gestion du serveur d'authentification pour l'accès au compte d'identité avec les moyens d'identification initiaux (code PIN et OTP envoyés au téléphone enregistré); 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 44/ 84

45 gestion d'un serveur d'authentification eid pour l'accès au compte eid au moyen d'une eid reconnue publiquement (mode direct); gestion du client d'authentification pour l'accès au compte d'identité avec authentification forte par un IdP reconnu publiquement (mode de fédération); Réception et réponse relatives aux demandes de certifications d'attributs de titulaires d'eid; gestion de l'infrastructure à clés publiques (ICP) qui génère les certifications d'attributs; service de validation de certifications d'attributs délivrées Service d'octroi de licence du SIP Le service d'octroi de licence évalue les demandes de reconnaissance en tant qu'idp reconnu publiquement et gère les licences pour l'exploitation des systèmes eid reconnus publiquement. Ses missions sont les suivantes: réception, traitement et réponse aux demandes de licence avec le statut «IdP avec système eid reconnu publiquement»; génération et gestion des licences et des certificats de licence; ouverture et validation des canaux sécurisés entre les IdP titulaires d'une licence et le SIP; gestion de l'infrastructure à clés publiques (ICP) qui génère les certificats de licence; gestion d'un service de validation de licence accessible publiquement; publication des noms des IdP proposant des systèmes eid reconnus publiquement dans des registres publics en ligne (statut des licences) Support technique Le support technique du SIP soutient les services opérationnels (service d'enregistrement public, service de cachet des attributs d'identité, service d'octroi de licence) avec les aides suivantes: support technique et spécialisé (2e et 3e niveau) pour le SIP, pour les bureaux d'enregistrement (conseils en cas de problèmes liés à l'ouverture d'un compte d'identité et à sa validation, assistance technique), pour les IdP (conseils en cas de problèmes avec les certifications d'attributs ou les validations de certificats), pour les parties utilisatrices (conseils en cas de problèmes avec les validations de licences) et assistance (1er; à 3e niveau) aux personnes avec compte d'identité (aide en cas de problèmes d'accès initial au compte d'identité, d'authentification, d'enregistrement d'eid, de certification d'attributs); formation et encadrement des collaborateurs du SIP et des bureaux d'enregistrement; support et soutien à la communication pour l'implémentation de services publics en ligne utilisant l'eid comme moyen d'accès (tous les services publics en ligne doivent obligatoirement accepter les eid reconnues publiquement et gérer ou utiliser les services d'authentification ou de fédération correspondants les services en ligne cantonaux et communaux bénéficient aussi de ce support et soutien); préparation de la notification UE des systèmes eid sur demande des IdP, qui souhaitent notifier leur système eid reconnu publiquement auprès de la Commission européenne afin que toutes les parties utilisatrices de toute l'europe puissent y accéder via les services STORK-PEPS. Il reste à décider si ces tâches de préparations, comme la mise en place et la mise en service du 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 45/ 84

46 PEPS, sont du ressort de l'infrastructure «Fédération suisse d identités» (projet B2.06) sous la responsabilité du SECO Interface UE (ne fait pas partie de ce projet) L'interface UE rassemble les services et instances qui permettront par la suite aux systèmes eid suisses de se connecter au réseau européen de systèmes eid interopérables, via les mécanismes élaborés dans le cadre du projet STORK [5]. Elle regroupe les tâches suivantes: construction et gestion des services STORK-PEPS et soutien organisationnel et technique aux services d'interopérabilité STORK. Il n'est pas possible de décrire plus précisément les spécifications de l'interface UE pour le moment, mais celle-ci ne fait pas partie du présent projet eid. Elle sera réalisée plus tard dans le cadre du projet «Fédération suisse d identités» (projet B2.06). 6.3 Processus Le système eid global met en œuvre les processus nécessaires pour garantir la gestion du cycle de vie de l'eid. Le service d'identité public (SIP) assure tout un ensemble de processus d'exploitation (directement liés à la gestion du cycle de vie de l'eid) et d'accompagnement (liés à la gestion de l'infrastructure de confiance). Les processus d'exploitation qui seront réalisés avec la participation du SIP, et plus particulièrement du service d'enregistrement public (SEP) et du service de cachet des attributs d'identité sont les suivants: (E.1) Ouverture d'un compte d'identité et acquisition des moyens d'identification initiaux pour l'accès au compte d'identité chez le service d'enregistrement public; (E.3) Enregistrement d'une eid d'un IdP et certification d'attributs d'identité par le service de cachet des attributs d'identité; (E.6) Consultation du compte d'identité, enregistrement d'eid supplémentaires et initiation du processus d'obtention d'autres certifications par la personne habilitée. Les autres processus d'exploitation sont sous le seul contrôle des autres instances du système eid. Il s'agit de: (E.2) Acquisition et initialisation d'une eid reconnue publiquement auprès d'un IdP par une personne; (E.4) Transmission d'une confirmation d'attributs, avec des attributs d'identité certifiés par l'idp, à une partie utilisatrice par la personne autorisée pour l'eid; (E.5) Révocation par l'idp d'une confirmation d'attributs délivrée; (E.7) Révocation par l'idp émetteur d'une eid. La numérotation des processus (E.x) correspond à l'enchaînement logique de la gestion du cycle de vie d'une eid. La Figure 11 montre le déroulement séquentiel des principaux processus d'exploitation (E.1) à (E.4) 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 46/ 84

47 Partie utilisatrice Personne avec eid IdP reconnu publiquement Service d'identité public O.1 Online Bestellung ; Vorsprache bei Registrierungsstelle; Empfang ID- Kontonummer, PIN; Person bestellt ID-Konto online Person wird staatlich identifiziert SID sendet initiales Authentifizierungsmittel Erfassung Attribute und pers. Telefonnummer; Eröffnung ID-Konto; Telefontest; Freischaltung ID-Konto; O.2 Initialisierung der eid-authentifikation auf Person IdP liefert eid an Person Person registriert sich mit initialisierter eid bei IdP Herstellung der eid (Träger HW und SW); Erfassung eid in IAM; O.3 Person authentifiziert sich mit eid Durchführungsquittung an Person (offline) Person authentifiziert sich bei SID mit PIN+OTP Stellt Verbindung her mit IdP der eid Authentifiziert Person; Bestätigung an SID; Person gibt Attributbeglaubigung frei (mit OTP) Prüft Angaben der Person mit Beglaubigungen; Legt Beglaubigung ab Initiales Einloggen in ID-Konto; Registrierung einer eid; Testauthentifizierung bei IdP; Wählt Beglaubigungsattribute Authentifikationsbestätigung Beglaubigungssiegel an IdP Authentifiziert Person mit PIN+OTP; Zeigt Attributliste; Verlangt Testauth. mit eid bei IdP; Registriert eid in Auth.Server; Erstellt Siegel für geprüfte Attribute Mit Attributen; O.4 Eröffnung Konto in IAM für Person; Erfassung Identitätsattribute; Bestätigungsanfrage an Person; Empfang Bestätigung; Validierung der Attributbestätigung Person startet Beziehung vbt verlangt Attributbestätigung Attributbestätigung an vbt Anmeldung bei vbt; Angabe der Identitätsattribute; Authentifizierung bei IdP mit eid Optional: Validierung der Attributbestätigung Anfrage Attributbestätigung Authentifizierung Attributbestätigung an Person Überprüft Status der Beglaubigung; Authentifiziert Person; Erstellt Attributbestätigung; und Validiert diese bei Bedarf; Optional: Validierung der Attributbeglaubigung Überprüft ob Beglaubigung immer noch korrekt ist; Abgleich mit ID-Konto Figure 11 Schémas séquentiels des quatre processus d'exploitation principaux Dans ce contexte, le SIP soutient aussi par son service d'octroi de licence le déroulement de trois processus de services annexes, destinés à l'élaboration d'une infrastructure de confiance pour le système eid. Il s'agit de: (S.1) Reconnaissance publique d'un IdP et octroi d'une licence aux IdP gérant un système eid reconnu publiquement; (S.2) Validation de la licence d'un IdP sur demande d'une partie utilisatrice; (S.3) Révocation de la licence d'un IdP reconnu publiquement. Bien entendu, seule la description des processus concernant le SIP pourra être considérée comme contraignante dans le cadre de ce concept. La description des processus concernant des parties utilisatrices, des personnes et des IdP indépendants de l'état, sauf pour les conditions-cadres juridiques, ne doit être considérée que comme un exemple de «bonne pratique». C'est pourquoi les sections suivantes décrivent le déroulement de chaque processus en se contentant de résumer les processus non contrôlés par le SIP (E.1) Ouverture d'un compte d'identité L'ouverture d'un compte d'identité requiert l'identification préalable officielle de la personne concernée lors d'un entretien personnel dans le bureau d'enregistrement public. La procédure d'identification est 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 47/ 84

48 identique à celle pour la délivrance d'une CID, à savoir l'établissement et le relevé des données d'identification personnelle (image du visage et de la signature). Le protocole d'exécution pour l'ouverture d'un compte d'identité correspond aux points suivants: la personne fait une demande d'ouverture de compte d'identité à l'aide de la procédure d'enregistrement sur ( Un numéro de mobile doit également être indiqué au cours de cette procédure; le service d'enregistrement public prépare le compte d'identité et importe les données d'identification personnelle depuis la base de données ISA; la personne se rend au bureau d'enregistrement le jour convenu avec son mobile qu'elle avait indiqué. Au cours de cette présentation, elle est formellement identifiée tandis que l'image du visage et celle de la signature sont enregistrée; le numéro du téléphone mobile est validé (envoi sur place et retour d'information d'un OTP ou éventuellement par un appel); le service d'enregistrement public enregistre l'adresse d'expédition pour l'envoi de l'identifiant et du code PIN pour l'accès au compte d'identité ou remise directe de l'identifiant et du code PIN; la personne paie les frais d'ouverture et le compte d'identité est ouvert; le service d'enregistrement public envoie l'identifiant et le code PIN par voie postale à l'adresse de la personne (s'ils n'ont pas été remis directement). La procédure d'ouverture du compte d'identité est ainsi terminée. La personne est à présent en mesure de se connecter à son compte d'identité avec les moyens d'identification initiaux (identifiant, code PIN, OTP sur téléphone) et de consulter ses données d'identification personnelle enregistrées (E.2) Acquisition et initialisation d'une eid reconnue publiquement Chaque IdP qui émet une eid reconnue publiquement se procure les éléments nécessaires sur le marché, les configure et les exploite de manière à disposer d'une solution qui respecte les exigences légales relatives aux eid reconnues publiquement tout en répondant le mieux possible à ses besoins et à ceux de ses clients. Normalement, l'eid et les logiciels supplémentaires éventuellement nécessaires présenteront les caractéristiques et variantes suivantes: Système de mesure intégré ou protocole de mesure sécurisé pour la vérification des facteurs d'authentification (code NIP ou biométrie, p.ex.). Fonction d'initialisation pour la saisie des données de référence pour les facteurs d'authentification de la personne propriétaire de l'eid. Identifiant univoque pour l'eid avec les variantes suivantes possibles: o o l'identifiant de chaque service faisant appel à l'eid est unique et indépendant de tous les autres identifiants déjà utilisés par l'eid pour d'autres services (selon les spécifications FIDO, réalisé sous forme de clé pour le canal de connexion) ou l'identifiant est identique pour chaque service (p. ex. sous la forme d'un numéro de série comme pour la SuisseID). Mécanisme de confirmation, prenant généralement la forme d'un certificat qui confirme à chaque partie utilisatrice de l'eid que l'identifiant fourni lors de l'enregistrement appartient à une eid reconnue publiquement aux caractéristiques connues. Fonctions sécurisées et périphérique de stockage pour l'exécution sûre des protocoles de cryptographie et l'éventuelle conservation des attributs et confirmations d'attributs. 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 48/ 84

49 Interface d'exécution pour les protocoles normalisés d'authentification et d'identification avec les applications et les serveurs d'authentification, capables de traiter ce genre de protocole (par ex., un protocole d'authentification FIDO: voir annexe ). Déroulement probable de l'acquisition et de l'initialisation d'une eid par une personne: La personne commande (en ligne ou hors ligne) une eid auprès d'un IdP, s'acquitte des frais éventuels et est saisie dans le système IAM de l'idp, o o o soit via ses données d'identification personnelle, fournies par elle-même, soit via un attribut personnel (adresse p.ex.), soit via un pseudonyme librement choisi. L'IdP fournit l'eid, qui n'est pas encore initialisée, sous forme de token physique ou de logiciel pour un appareil sécurisé (que la personne possède déjà), ou bien la lui remet à l'occasion d'un entretien personnel. La personne prend possession de l'eid et la personnalise en définissant des facteurs d'authentification (code NIP, biométrie): elle devient ainsi la personne habilité pour cette eid. Elle enregistre l'eid initialisée auprès du service d'authentification de l'idp (si cela n'a pas déjà été effectué avant la livraison). L'eID est alors prête pour l'enregistrement auprès d'autres services (partie utilisatrice, SIP, etc.). L'identifiant de l'eid porte l'attention sur les données d'identité enregistrées de la personne dans le système IAM de l'idp (E.3) Enregistrement d'une eid et certification d'attributs d'identité Le compte d'identité public permet à présent à la personne d'enregistrer une eid reconnue publiquement d'un IdP comme moyen d'identification supplémentaire et de faire certifier en ligne les données d'identification personnelle qu'elle a indiquées à l'idp. Pour ce faire, il convient de suivre la procédure suivante: la personne se connecte à son compte d'identité avec l'identifiant et les moyens d'identification initiaux. Elle sélectionne ensuite l'option «Enregistrement d'une eid»; elle continue en sélectionnant dans une liste l'eid de l'idp qu'elle a acquise lors de l'étape ci-dessus; le SIP connecte la session au site de l'idp compétent avec une requête de confirmation adressée à l'idp, la personne s'identifie avec son eid chez l'idp avec le niveau de sécurité «substantiel», l'idp transmet conjointement la confirmation et un identifiant pour le message en retour attendu de la certification (identifiant de certification); l'eid est enregistrée sur le serveur d'authentification du SIP comme moyen d'identification pour le compte d'identité (mode direct ou mode de fédération); la liste des attributs d'identité aptes pour la certification apparaît alors et la personne définit les attributs d'identité à certifier; le service de cachet des attributs d'identité envoie un OTP ainsi qu'une liste comportant les attributs d'identité sélectionnés sur le téléphone de la personne, qui confirme en retour, que les attributs d'identité sélectionnés pour l'idp sont destinés à être certifiés (processus avec OTP); le service de cachet des attributs d'identité établit un cachet de certification pour chaque attribut à certifier. Le cachet de certification contient les éléments suivants: (nom d'attribut; valeur d'attribut; numéro de licence IdP; date de certification; date d'enregistrement; chiffre de contrôle [nom d'at- 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 49/ 84

50 tribut; valeur d'attribut; numéro de licence IdP; date de certification; date d'enregistrement]; signature via chiffre de contrôle, certificat du service de cachet des attributs d'identité) La liste comportant tous les cachets de certification est transmise conjointement avec l'identifiant de certification à l'idp via un canal sécurisé. L'IdP compare les valeurs d'attribut qui lui ont été communiqués par la personne avec les données de certification, vérifie les chiffres de contrôle de la certification d'attribut et si ceux-ci concordent il enregistre les attributs certifiés de la personne dans son système IAM. L'IdP conserve la certification dans son système IAM en vue d'un audit ou d'un besoin de traçabilité. Il est éventuellement possible de simplifier et d'améliorer la procédure décrite, mais il faut absolument s'assurer que celle-ci ne permet jamais d'émettre une certification d'attribut pour une fausse eid. La liaison entre la certification d'attributs et l'eid est garantie par l'enregistrement initial de l'eid dans le compte d'identité par la personne officiellement identifiée (E.4) Émission d'une confirmation d'attributs pour une PU La forme et les conditions à remplir pour l'émission d'une confirmation d'attributs avec des attributs d'identité qualifiés comme certifiés rentrent en principe dans le cadre des tâches de l'idp, qui gère les certifications. Toutefois, un certain niveau de standardisation, p. ex. au niveau de l'espace pour le nom et du degré de confiance des attributs (Level of Assurance), favoriserait l'interopérabilité et la sécurité d'interprétation des attributs. En principe, l'idp peut fournir cette confirmation d'attributs immédiatement en ligne à n'importe quelle partie utilisatrice si la personne est enregistrée auprès de cette partie utilisatrice et autorise l'idp à envoyer une telle confirmation. Une autre possibilité consisterait à envoyer à la personne, immédiatement après la certification, la confirmation d'attributs sous forme d'un token de sécurité lié à l'eid. La personne pourrait présenter le token à toutes les parties utilisatrices en s'authentifiant avec son eid, sans que l'idp n'ait besoin d'intervenir. Toutefois, afin que la connexion entre la personne (ou l'eid) et le token renfermant les attributs d'identité soit fiable, l'eid doit disposer d'un identifiant unique, toujours identique. Les solutions d'authentification compatibles FIDO excluent explicitement une telle possibilité afin d'éviter tout profilage, attitude bien entendu préférable du point de vue de la protection des données. Dans ce cas, la confirmation d'attributs doit être à chaque fois fournie par l'idp, qui pourrait simultanément assurer l'authentification, en qualité de service de fédération, pour la PU concernée. L'IdP publie en outre une déclaration dans laquelle il précise si une nouvelle certification d'attribut doit avoir lieu, et à quelle fréquence, en cas de confirmation d'attributs supplémentaires. Une PU peut à tout moment demander une nouvelle certification ou vérifier la validité de la certification émise pour une certification d'attribut existante. La procédure est la suivante: L'IdP envoie le cachet de certification avec une demande de validation au service de validation du SIP. Le service de validation contrôle le certificat et vérifie que la valeur de l'attribut dans le compte d'identité correspond toujours à la valeur du cachet d'attribut que lui a envoyé l'idp. Si les deux vérifications sont positives, le service le signale à l'idp; sinon, il renvoie un message d'erreur. La question de savoir s'il faut prévoir, en plus de la recertification des attributs publics initiée par la politique de l'idp ou par la PU, l'envoi d'une notification automatique à l'idp en cas de modification d'attributs dans le compte d'identité (p. ex. mariage ou décès), reste à préciser. Ce point aurait aussi un impact sur les données devant être enregistrées pour chaque compte d'identité (l'identifiant de 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 50/ 84

51 certification de l'idp devrait être enregistré) et sur l'interface actuelle entre le système d'information relatif aux documents d'identité et Infostar, à moins qu'il ne faille créer une interface automatisée entre le compte d'identité et Infostar. Nous estimons actuellement qu'un tel service de notification ne doit pas être mis à disposition par le SIP. En cas de besoin, la PU ou l'idp doit transmettre une requête correspondante au SIP. L'utilisation des attributs d'identité certifiés n'est toutefois nécessaire que dans les cas où la relation commerciale entre la personne et la partie utilisatrice l'exige. Une partie utilisatrice doit pouvoir vérifier la validité de chaque confirmation d'attributs, en conséquence de quoi le contenu des confirmations d'attribut doit être signé et la confirmation contenir le certificat de signature. Chaque partie utilisatrice peut ainsi contrôler la chaîne de sécurité. En outre, l'idp doit obligatoirement fournir un service en ligne pour la validation des certificats (fait partie des exigences pour obtenir une licence et une reconnaissance publique) (E.5) Révocation par l'idp d'une confirmation d'attributs émise De la même manière que l'idp est responsable de l'émission d'une confirmation d'attributs il lui appartient de révoquer ou d'invalider une confirmation d'attributs émise. Il doit simplement démontrer qu'il en a la possibilité. Les parties utilisatrices doivent pouvoir consulter en ligne ces listes de révocation. L'IdP doit obligatoirement procéder à une révocation dans les cas suivants: les valeurs d'attributs confirmées pour les données d'identification ne sont plus valides; l'eid d'une confirmation d'attributs a disparu ou est corrompue ou d'autres critères de validité définis par l'idp ne sont plus respectés (non-règlement du renouvellement de la licence, p. ex.) La révocation des confirmations d'attributs n'a aucune influence directe sur le compte d'identité de la personne (E.6) Utilisation du compte d'identité et enregistrement d'eid supplémentaires L'accès au compte d'identité est lié à une authentification à l'aide des moyens d'identification initiaux ou encore à une eid reconnue publiquement. Après l'enregistrement d'une eid reconnue publiquement (voir 6.3.3), celle-ci est automatiquement demandée par le compte d'identité comme moyen d'identification. La personne habilitée peut toutefois acquérir d'autres eid auprès du même IdP ou d'un IdP différent, les initialiser correctement (cf. section 6.3.2) puis les enregistrer comme moyen d'identification supplémentaire pour accéder à son compte d'identité. La procédure d'enregistrement d'une eid supplémentaire est la suivante (avec eid1 l'eid initialement enregistrée et eid2 la nouvelle eid): La personne se connecte à son compte d'identité et s'authentifie au moyen de son eid1. Elle sélectionne l'option «Enregistrer une autre eid». Un assistant la guide alors pendant les étapes suivantes de la procédure. La personne se connecte depuis le compte de l'idp ayant émis l'eid2 et s'authentifie avec son eid2. L'IdP confirme l'authentification au SIP à l'aide de l'eid2 et transmet un identifiant de certification. Le SIP enregistre à présent l'eid2 comme moyen d'identification sur le serveur d'authentification pour le compte d'identité. En fonction du type d'eid, il faut aussi distinguer deux cas de figure (mode direct et mode de fédération) pour ce deuxième enregistrement: 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 51/ 84

52 Après l'enregistrement de la deuxième eid, la personne peut également transmettre à l'idp2 une certification d'attributs de manière analogue aux modalités d'un premier enregistrement d'une eid (voir 6.3.4). La personne se déconnecte ensuite de son compte d'identité. Elle dispose dorénavant de deux possibilités d'authentification, de niveau égal, pour accéder à son compte: l'eid1 et l'eid2. En consultant son compte d'identité, la personne peut voir toutes ses données d'identification personnelle saisies par l'état et en cours de validité et télécharger sa photo ou sa signature au format image. Par la suite, il sera possible de proposer d'autres variantes d'utilisation sans difficultés majeures. Le serveur d'authentification du SIP pourrait d'un point de vue purement technique faire office de serveur de fédération pour d'autres services de cyberadministration et permettre ainsi à la personne une authentification unique (SSO) généralisée afin d'accéder à ces services. Il est cependant possible qu'une telle fonction soit obsolète au regard du projet de «Fédération suisse d identités» (projet B2.06) (E.7) Révocation par l'idp émetteur d'une eid La révocation ou l'invalidation d'une eid relève de la responsabilité de l'idp émetteur. Lorsqu'un IdP révoque une eid, il doit en notifier le SIP: L'IdP communique au SIP le dernier identifiant de certification utilisé, le type et, si disponible, l'identifiant unique de l'eid concernée. Le serveur d'authentification du SIP supprime les droits d'accès de cette eid. Si aucun identifiant univoque n'est disponible, il supprime toutes les autorisations d'accès liées à une eid de type identique et au même IdP, qui concernent le compte d'identité, identifié par l'identifiant de certification. Si, suite à cette suppression, il n'existe plus aucune eid enregistrée pour l'accès au compte d'identité comme justificatif d'accès, alors le compte d'identité est uniquement accessible avec les moyens d'identification initiaux (code PIN + OTP). Dans ce cas de figure, la personne doit d'abord réenregistrer une nouvelle eid (voir 6.3.3) pour que des certifications puissent être émises. L'IdP est uniquement en droit d'exercer une telle révocation, si la fiabilité de l'authentification n'est plus assurée ou si l'eid est corrompue comme moyen d'authentification. Une confirmation ou une certification d'attributs relative à une eid et devenue invalide ne représente pas un motif de révocation (S.1) Reconnaissance publique d'un IdP et licence pour un système eid Un IdP qui souhaite obtenir le statut d'exploitant de systèmes eid reconnus publiquement doit suivre la procédure suivante: Certification de son système IAM et en particulier de son service d'authentification, soit avec un profil de protection adéquat de niveau minimum EAL5 des CC, soit avec une certification FIPS de niveau équivalent [31]. Mise à disposition (achat ou production en interne) d'un moyen d'identification électronique (eid) présentant au moins deux facteurs d'authentification et des protocoles normalisés accrédités, ayant p. ex. reçu le label «FIDO ready» [32]. Mise à disposition d'une infrastructure eid opérationnelle, du portail Internet et d'une eid de test à des fins de vérification (kit de test). Déclaration par l'idp qu'il respecte toutes les directives et prescriptions légales (p. ex. responsabilité) ainsi que tous les engagements requis vis-à-vis du SIP. 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 52/ 84

53 Transmission de tous les documents au service d'octroi de licence du SIP sous une forme de demande standardisée; l'idp doit en même temps mettre à disposition le kit de test. Le service d'octroi de licence vérifie le dossier de demande et l'évalue sur la base des documents reçus. Le service d'octroi de licence utilise le kit de test pour tester toutes les fonctionnalités se rapportant au SIP. Si les deux vérifications sont positives, l'idp reçoit une licence qui l'autorise à exploiter son système eid, qui est dorénavant reconnu par l'état. La licence se compose d'un numéro de licence signé par le SIP et des paramètres de sécurité permettant d'ouvrir un canal sécurisé vers les services du SIP. Le numéro de licence identifie l'idp. L'IdP, identifié par son numéro de licence, est ajouté à la liste publiée des exploitants de systèmes eid reconnus publiquement. L'IdP reçoit un certificat, dont la validité est limitée dans le temps, pour son numéro de licence et son certificat de clé de licence, qu'il doit utiliser pour signer les confirmations d'attributs. La licence doit être renouvelée annuellement. Son prix permet de couvrir les frais associés. Le dossier de renouvellement consiste en une forme simplifiée du dossier de demande. Tous les trois ans, l'idp doit de nouveau soumettre un dossier de demande complet. Les détails de la procédure d'accréditation seront élaborés en concertation avec les IdP potentiels. Le processus de reconnaissance doit assurer la sécurité, la simplicité d'utilisation, l'intégration et l'interopérabilité des eid reconnues publiquement. Il doit être le plus simple possible et son coût ne doit pas constituer un obstacle prohibitif. Il faudra au moins établir une règlementation de transition, pour que les systèmes eid courants actuels, qui atteignent le niveau de sécurité «substantiel» pour l'authentification, puissent être reconnus publiquement (S.2) Validation de la licence d'un IdP sur demande d'une partie utilisatrice Faisant partie des confirmations d'attribut d'un IdP, le certificat de licence peut être vérifié auprès du service de validation du SIP par chaque partie utilisatrice. Le service de validation répond à la PU demanderesse en indiquant si l'idp possède ou non une licence valide à la date de la demande (S.3) Révocation d'une licence pour l'émission d'eid reconnues publiquement Le SIP peut annuler la licence d'un IdP avant la date d'échéance de celle-ci si l'idp ne remplit plus les exigences légales ou ne s'est pas acquitté des émoluments correspondants. Les eid d'un IdP dont la licence a été révoquée ne peuvent plus être utilisées pour un nouvel enregistrement auprès d'un compte d'identité. Les eid déjà enregistrées conservent leur droit d'accès pendant leur durée de validité restante, si cela ne représente aucun risque de sécurité. 6.4 Éléments de solution généraux Législation Un cadre juridique doit être établi pour les systèmes eid reconnus publiquement et pouvant être notifiés. Les réglementations doivent se limiter au strict minimum et, dans cet environnement dynamique, un maximum de dispositions devront être définies par voie d'ordonnance. Au regard des relations commerciales étroites entre la Suisse et les États membres de l'ue et de la nature globale des services en ligne sur Internet, nous estimons qu'un moyen d'identification électronique délivré par l'état doit absolument être conçu de façon à pouvoir être utilisé au-delà des frontières nationales dans l'ensemble de l'espace européen. Pour cette raison, le DFJP a décidé de concevoir les critères des eids suisses de telle sorte qu'elles puissent de manière générale être notifiées conformément aux référentiels du règlement européen eidas. 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 53/ 84

54 D'autres exposés et analyses relatifs aux besoins législatifs peuvent être consultés au chapitre 7. Cette partie donne un premier aperçu des problèmes soulevés et des solutions envisagées. Elle sert en même temps de base pour un futur acte normatif de la loi sur l'eid Normalisation Pour permettre une intégration aussi simple et rapide que possible de la solution dans les systèmes actuels et futurs, il convient de se référer aux normes existantes, le cas échéant, pour les interfaces des éléments de solution publics. En l'absence de telles normes, il conviendra d'en établir, ou idéalement d'adapter les normes existantes. Dans ce contexte, les normes techniques de références sont par exemple les normes ISO/CEI/UIT applicables [33], les normes ech [7] [34] [35] ou d'autres normes industrielles comme les normes FIDO [25]. Il conviendra d'identifier les normes applicables lors de l'élaboration de chaque concept spécifique. Pour favoriser la propagation rapide d'eid suisses auprès des parties utilisatrices, l'interopérabilité entre les eid reconnues publiquement est une des conditions essentielles. Les exigences relatives à l'interopérabilité doivent de ce fait constituer des conditions contraignantes pour la reconnaissance publique d'un système eid Communication La communication et le marketing jouent un rôle essentiel au regard des eid: d'une part, pour promouvoir des définitions homogènes au sein de l'écosystème eid, et d'autre part pour favoriser la formation et l'éducation des utilisateurs. C'est pourquoi, pour l'introduction des eid reconnues publiquement, il est nécessaire de développer et mettre en œuvre une stratégie de communication uniforme afin de fournir des informations complètes et actuelles aux utilisateurs d'eid. Nous sommes d'avis que le secteur privé et le gouvernement doivent travailler main dans la main pour définir, mettre en œuvre et financer cette stratégie Notification Les exigences à satisfaire par un système eid suisse, pour assurer sa conformité avec le règlement eidas et pouvoir ainsi être notifié à l'avenir selon les référentiels de ce règlement, sont traitées de façon plus approfondie au chapitre 7 en raison de leur importance. Ce ne sont pas uniquement les exigences législatives qui doivent être satisfaites, mais également les exigences techniques, afin que les systèmes eid des pays utilisateurs puissent communiquer les uns avec les autres. Pour cela, il faut mettre en place un réseau (service proxy) pour l'utilisation transfrontalière des identités électroniques, ce qui demande des investissements supplémentaires hors du cadre du présent projet (cf. STORK [5]). Ce service proxy doit inclure tous les systèmes eid notifiés des pays utilisateurs et permettre le transfert transfrontalier de toutes les demandes et confirmations d'identité (Identity Broker). Le service doit également permettre de réaliser ces opérations au niveau national, de sorte par ex. que les parties utilisatrices domestiques publiques ne prennent en charge qu'un protocole d'authentification fédéré. On peut citer comme exemple pratique le produit «SkIDentity» [36], lancé récemment en Allemagne. Le développement et la réalisation des structures des services de fédération nationaux et internationaux font partie du projet «Fédération suisse d identités» (projet B2.06) du programme de cyberadministration suisse sous la responsabilité du SECO Écosystème eid Pour pouvoir traiter les processus cités dans la section 2.3 par voie électronique, il faut ajouter aux eid reconnues publiquement de nombreux autres services de confiance comme par exemple les signatures électroniques, les cachets, l'horodatage, les services de mise à disposition de recommandés 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 54/ 84

55 et les certificats pour site Web. Pour le bon développement de l'écosystème eid, il est essentiel de proposer une offre attractive et significative de services en ligne. Cette organisation relève de la responsabilité des protagonistes de l'écosystème eid; le présent projet peut uniquement y contribuer avec les éléments qui relèvent de sa responsabilité. Dans le cas du vote électronique, la question se pose de savoir si les appareils commerciaux (PC, tablettes, téléphones mobiles, lecteurs de carte) disposent du niveau de sécurité requis. Pour garantir par ex. un vote électronique sécurisé et sans rupture de média lors du processus pour voter, il faut utiliser un appareil particulièrement fiable qui détecte les tentatives de falsification. Il est vrai que les fournisseurs d'appareils mobiles proposent aujourd'hui des environnements d'exécution de confiance (ou TEE, Trusted Execution Environment) sur leurs produits, qu'ils décrivent comme particulièrement sécurisés. Mais dans le cas (comme pour le vote électronique suisse) où les parties utilisatrices arriveraient à la conclusion qu'il est impossible d'obtenir le degré de sécurité requis sans intervention de l'état, les parties prenantes concernées devraient se rassembler en une communauté d'intérêt et se charger de la normalisation, du développement et du financement d'un appareil sécurisé. L'appareil pourrait garantir le traitement sécurisé des opérations, et sa distribution inciterait potentiellement un grand nombre de personnes à effectuer des opérations par voie électronique. Dans ce cas, l'appareil constituerait un élément fondamental de l'écosystème eid suisse. Ce genre d'appareil doit cependant pouvoir interagir avec les applications respectives, ce qui présuppose des interfaces techniques adaptées qui pourraient représenter des frais de support supplémentaires non-négligeables comme le montrent des solutions comparables. La conception, la diffusion et le support impliquent donc des frais supplémentaires qui ne seraient pas pris en charge par le SIP. Toute obligation d'utiliser cet appareil sécurisé ou tout transfert de responsabilité pour les opérations individuelles devraient être mentionnés dans les dispositions légales d'exécution applicables ou dans les conditions générales de vente. Ce type d'appareil sécurisé pourrait vraisemblablement être délivré dans le cadre d'un entretien individuel lors d'une demande de compte d'identité, sans charges supplémentaires conséquentes. Il est suggéré ici de mener une analyse des parties prenantes potentielles auprès des autorités et de l'industrie, et de collaborer avec ces acteurs pour examiner avec eux les opportunités et les risques que représente ce type d'appareil sécurisé. Devant être examiné indépendamment du présent projet, de telles réflexions pourraient par exemple devenir une partie intégrante du programme de cyberadministration suisse. La mise en œuvre et la sécurité du présent concept d'eid restent néanmoins d'actualité, quelle que soit la décision relative à l'introduction ou au renoncement à un tel appareil reconnu publiquement. 6.5 Sécurité et protection des données L'utilisation des eid reconnues publiquement devient de plus en plus flexible grâce à l'introduction de services IdP correspondant aux besoins du marché. Cependant, il faut également s'assurer que cette flexibilité et la brèche ouverte à un IdP organisé sur une base privée ne compromettent pas la sécurité des données personnelles. Il est donc nécessaire de mettre en place des mesures de sécurité suffisantes dans le système afin de pouvoir se préserver contre d'éventuelles menaces. Soulignons également que de nombreux exemples dans d'autres pays ont montré que les mesures de sécurité ne portent pas atteinte à la simplicité d'utilisation Menaces L'introduction des systèmes eid reconnus publiquement ne doit impliquer pour les parties utilisatrices aucune faiblesse causée directement par les services publics et qui provoquerait de nouvelles menaces pour la sécurité des données personnelles. L'État ne saurait cependant être tenu responsable 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 55/ 84

56 des actions des individus qui n'entretiendraient pas de rapport direct avec l'utilisation des eid et exposeraient les données personnelles d'identification aux attaques de fraudeurs potentiels. Les menaces à évoquer ici se limitent donc aux situations dans lesquelles l'état, ou des IdP reconnus publiquement, diffuseraient ou conserveraient des données personnelles d'identification. On pourrait principalement envisager les menaces suivantes: (B1) Accès non autorisé au compte d'identité; (B2a) Certifications d'attributs par le service de cachet des attributs d'identité pour une eid d'une personne non habilitée (usurpation d'identité). (B2b) Confirmations d'attributs par un IdP reconnu publiquement pour une eid d'une personne non habilitée (usurpation d'identité). (B3) Manipulation des attributs d'identité du compte d'identité; (B4) Fausse identification d'une personne au Service d'enregistrement (SEP). (B5a) Perte ou corruption de données par le SIP. (B5b) Perte ou corruption de données chez un IdP reconnu publiquement. (B6) Formation d'un monopole privé d'identification. Il existe naturellement d'autres menaces qui pourraient survenir dans l'environnement informatique direct de l'utilisateur d'une eid. Ces menaces concernent particulièrement la sécurité de l'appareil dans lequel sont intégrées les fonctions eid ou avec lequel des transactions sont effectuées. Il est de la responsabilité de l'idp de trouver des solutions sécurisées en collaboration avec les fabricants et les développeurs de systèmes d'exploitation. Dans ce domaine, l'industrie entreprend des efforts conséquents et le développement actuel d'un compartiment sécurisé intégré au matériel des appareils mobiles (Trusted Execution Environment [15]) permet d'associer sécurité des données et simplicité d'utilisation. Ce concept a le potentiel pour devenir une norme de facto dans un délai raisonnable, mais il faut également responsabiliser les utilisateurs et leur apprendre à protéger leurs systèmes et à prendre les précautions nécessaires. Il existe par ailleurs également des menaces pour les systèmes IAM de PU, mais celles-ci sont extérieures à la zone d'action des instances publiques du système eid. C'est pour cette raison qu'elles ne sont pas traitées de manière plus approfondie dans ce concept. Si la sécurité de tous les composants et des parties utilisatrices de l'écosystème eid est importante, il ne peut incomber à l'état de mettre en place des mesures de sécurité contre toutes les menaces à l'encontre de l'ensemble de l'écosystème eid. L'État doit se contenter de mettre en place des mesures de sécurité adaptées aux éléments qu'il exploite, et de définir des normes de sécurité comme base pour la reconnaissance publique des systèmes eid et des IdP. Il doit avoir pour objectif la mise en œuvre de mesures adaptées pour réduire à un risque résiduel acceptable les failles des systèmes eid reconnus publiquement qu'il peut influencer Risques Un risque est défini comme la probabilité qu'une attaque aboutisse en réalisant l'une des menaces cidessus, multipliée par le potentiel de dommages. Le tableau suivant qualifie les risques selon une analyse qui doit encore être considérée comme provisoire. Une analyse plus approfondie selon le «manuel de gestion des risques de la Confédération du 29 avril 2013» est seulement possible dans le cadre de l'élaboration du projet détaillé: 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 56/ 84

57 Tableau 8 Menaces et risques Menace Probabilité Potentiel de dommages Risque B1 Moyen Élevé Perte de la confidentialité des données personnelles d'identification: dommages faibles B2a / B2b Peu élevé Modéré Perte d'identité chez des parties utilisatrices: dommage moyen à élevé B3 Marginal Usurpation partielle d'identité et désaveu d'identité: dommage élevé B4 Faible Usurpation totale d'identité: dommage très élevé Faible Moyen Faible modéré Moyen Élevé B5a / B5b Marginal (Service d'identité public) réduit (IdP) Perte de données privées de beaucoup de personnes: dommage moyen à élevé Faible modéré L'architecture des systèmes eid reconnus publiquement est déjà conçue pour que les risques liés à l'état ou aux IdP reconnus par l'état soient limités. En comparaison, les risques de l'eid ne sont pas plus nombreux ou plus significatifs que ceux encourus lors de la délivrance de passeports et de cartes d'identité Mesures de sécurité Les protocoles pour l'utilisation des données personnelles d'identification doivent toujours comprendre les trois fonctions de protection suivantes: Pour assurer que seule la personne habilitée utilise l'eid: Niveau de sécurité «substantiel» pour l'authentification de la personne détentrice de l'eid reconnue publiquement, c'est-à-dire vérification de deux facteurs d'authentification. Assurer que seuls des attributs certifiés soient confirmés pour une eid et que les confirmations d'attributs soient liées à la bonne eid. L'intégrité des données est assurée par la certification publique des attributs auprès de l'idp. La confirmation d'attributs transmise directement ou indirectement par l'idp à une partie utilisatrice peut être vérifiée par la partie utilisatrice, soit par une authentification réussie de la personne avec son eid, soit par vérification des certificats. Pour assurer que l'eid ne soit émise par un IdP que sous une forme permettant à une partie utilisatrice de savoir à tout moment qui a vérifié les attributs d'une personne: Introduction de la licence de l'idp dans la confirmation et association de la confirmation à un identifiant unique de l'eid La garantie de l'intégrité des données eid et la divulgation des licences IdP pour les parties utilisatrices sont des missions spécifiques prises en charge par les IdP reconnus publiquement, et dont la réalisation sera vérifiée régulièrement par le bureau de vérification public (SIP). Le service IdP peut saisir et gérer d'autres attributs à partir d'autres sources. Il prend finalement en charge la garantie de tous les attributs qu'il a distribués ou confirmés. Il est également tenu de s'assurer que les attributs qu'il gère ne puissent être utilisés qu'avec l'accord de l'utilisateur habilité après une authentification réussie. Le service de cachet des attributs d'identité garantit uniquement l'intégrité des certifications d'attributs qu'il a livrées et l'identité de la personne habilitée lors de la livraison de la certification d'attributs à l'idp. L'identification de la personne, l'authentification pour l'accès au compte 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 57/ 84

58 d'identité et l'enregistrement d'une eid pour l'accès au compte d'identité relèvent par contre entièrement de la responsabilité de l'etat (service d'enregistrement public). Les responsabilités des différentes instances concernant la satisfaction des exigences de sécurité sont représentées dans la Figure 12. Prestation publique Prestation de l'idp Licence pour l'idp Intégrité des attributs publ. Service d'identité public (SIP) Certification d'attributs Fournisseur de services d'identité (IdP) Confirmation d'attributs Partie utilisatrice (PU) Authentifie la personne avec eid Authentifie la personne avec eid La personne enregistre l'eid La personne initialise l'eid auprès de l'idp Responsabilité SIP Responsabilité IdP Identification des personnes Authentification des personnes Figure 12 Domaines des responsabilités d'un système eid reconnu publiquement Bien entendu, les prescriptions émises dans la loi sur la protection des données doivent également être respectées. Il est nécessaire de garantir une base législative pour l'administration et la conservation des données personnelles par le SIP: dispositions de protection des données, exigence de garanties d'intégrité, délais de conservation des données et compétences des bureaux de vérification publics. Leur droit de regard sur le compte d'identité personnel permet aux personnes concernées de s'informer sur l'acquisition, la transmission et la conservation de leurs données personnelles d'identification, ainsi que sur le contrôle de ces données. L'Etat livre uniquement les certifications d'attributs sous une forme permettant exclusivement à l'idp bénéficiaire d'enregistrer et de vérifier l'exactitude des valeurs des attributs, qui ont été mises à sa disposition par la personne habilitée. Cette procédure garantit qu'aucune donnée personnelle ne soit divulguée par l'état à un tiers non autorisé. Du point de vue de la protection des données, il convient de distinguer les deux différentes eid mentionnées plus haut, avec ou sans identifiant univoque global: Une eid avec une solution d'authentification avec identifiant dépendant de la connexion, par exemple conformément aux spécifications d'un authentificateur FIDO (voir [25] et la section 10.3 en annexe), offre une protection élevée contre le profilage. Une eid avec un identifiant unique offre une gamme de solutions moins complètes, mais peut être plus facilement suivie par un service de profilage. Du point de vue de la protection des données, il est recommandé d'éviter de telles solutions eid. 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 58/ 84

59 7 Exigences législatives d'une notification 7.1 Réglementation eid de l'ue conformément au règlement eidas Aperçu du règlement eidas Adopté le 23 juillet 2014 par l'ue, le règlement eidas est entré en vigueur le 17 septembre Outre la réglementation et la certification des fournisseurs de la signature électronique et d'autres services de confiance sous la forme actuelle de la directive sur les signatures électroniques 10, le nouveau règlement contient également aux articles 6 ss. le nouveau thème spécifique de la notification et de la reconnaissance mutuelle des systèmes publics pour l'identification électronique (eid ou authentification). Le règlement eidas constitue la base juridique de l'utilisation transfrontalière de l'eid, qui est en phase pilote depuis plusieurs années avec les projets STORK et STORK2 [5]. Le règlement eidas devra fondamentalement être appliqué à compter du 1er juillet 2016, conjointement avec une pluralité de référentiels législatifs de mise en œuvre à un niveau plus approfondi (en d'autres termes: un acte d'exécution). Au contraire de l'ancienne directive sur les signatures électroniques, le nouveau règlement eidas est directement applicable pour tous les États membres de l'ue Principe de la reconnaissance mutuelle En règle générale, tous les États membres s'engagent à accepter, pour les services officiels qui exigent une eid nationale, toute identification électronique des systèmes nationaux d'identification électronique des autres États membres (article 6 du règlement eidas). Cela est également valable pour un État membre qui ne dispose pas d'un système d'identification électronique notifié auprès de l'ue. Toute personne citoyenne d'un pays membre de l'ue peut ainsi utiliser son eid nationale dans toute l'ue pour accéder à des services publics électroniques. Pour qu'un système national d'identification électronique puisse être notifié, il doit satisfaire aux conditions énoncées dans l'article 7 du règlement eidas (voir détails aux paragraphes et 7.3.3). Les moyens d'identification électronique reconnus ou notifiés figurent dans la liste publiée par la Commission européenne. Le principe de la reconnaissance obligatoire est essentiel et s'applique à des domaines à première vue insoupçonnés. Tous les services de cyberadministration (des niveaux inférieurs jusqu'au niveau communal) sont ainsi tenus d'accepter n'importe quelle eid notifiée par un état tiers. Si la Suisse intégrait le système de la reconnaissance mutuelle, tous les cantons et communes seraient dans l'obligation d'accepter ces identifications électroniques étrangères avec ses authentifications Procédure de notification La procédure de notification est décrite à l'article 9 du règlement eidas. L'État membre notifiant doit ensuite communiquer à la Commission diverses informations, comme notamment une description du système d'identification électronique, des informations sur le système de surveillance et sur la réglementation relative à la responsabilité et à l'/aux autorité(s) en charge du système d'identification électronique. Toute modification éventuelle de ces informations doit immédiatement et sans attendre être signalée (détails communiqués en annexe). 10 Directive 1999/93/CE du Parlement européen et du Conseil, du 13 décembre 1999, sur un cadre communautaire pour les signatures électroniques, JO L 13 du , p Konzept eid v095 - Informelle Konsultation Mai 15_f 59/ 84

60 7.2 Participation de la Suisse au système eidas de l'ue Pour participer au système d'identification électronique de l'ue, la Suisse devrait agréer un sinon plusieurs prestataires d'eid, mais également les accréditer (octroi d'une licence) comme étant des prestataires d'eid en conformité avec le règlement européen eidas (pour un certain niveau de garantie défini à l'article 8 du règlement eidas) et les contrôler par l'intermédiaire du SIP. Dès que les bases législatives internationales seraient opérationnelles (cf. à ce sujet les exposés du point suivant 7.2.2), la Suisse notifierait à l'ue l'ensemble du système eid, constitué des fournisseurs d'eid certifiés conformes au règlement eidas et de ses propres systèmes de certification et de surveillance Justifications d'une participation au dispositif de reconnaissance mutuelle Comme nous l'avons déjà mentionné (cf. point 2.2), la Suisse n'étant pas membre de l'union européenne, le règlement eidas n'est pas contraignant pour elle et les accords bilatéraux existants avec l'ue ne comportent non plus d'obligation d'adoption du règlement de l'ue. Compte tenu de l'étroitesse des rapports commerciaux et sociaux qu'entretient la Suisse avec la plupart des États membres de l'ue, il a été supposé dans les précédents projets d'eid que la Suisse avait tout intérêt à être intégrée dans le système européen pour l'interopérabilité de systèmes d'identification électronique. Cette intégration permettrait aux titulaires d'une eid suisse d'effectuer de manière simple des transactions avec des autorités étrangères, ce qui serait également valable dans l'autre sens pour les personnes étrangères avec leurs eid nationales et les autorités suisses. Même s'il reste actuellement encore à déterminer si, quand et comment la Suisse peut être intégrée dans ce système par un accord international (cf. à ce sujet les exposés du point suivant), le système suisse d'eid doit être conçu dès le début comme système pouvant être notifié Accord avec l'union européenne Pour que la Suisse (en tant qu'état tiers) puisse participer au système du règlement eidas, il lui faudrait négocier avec l'ue un accord qui pose les bases et précise les conditions d'une telle participation au système de reconnaissance mutuelle. Le présent concept présuppose que la Suisse prendra part au système eidas avec les mêmes droits et obligations applicables selon le règlement UE aux pays membres de l'ue. Comme cela a déjà été mentionné au chapitre 7.1.2, une telle participation de la Suisse engendrerait immédiatement des effets sur tous les niveaux administratifs, jusqu'au niveau communal. 7.3 Analyse de la législation Hypothèses Pour la présente analyse de la législation, on considèrera les deux hypothèses suivantes: La Suisse conclura avec l'ue un accord (dont l'orientation reste à définir) pour participer au système de reconnaissance mutuelle d'après le règlement eidas (cf. section 7.2). La signature de cet accord ne fait pas l'objet des présentes discussions; Le système national suisse d'eid comprendra plusieurs prestataires de moyens d'identification électronique «officiels», privés mais certifiés publiquement, comme cela est prévu à l'heure actuelle (cf. section 6). Selon le règlement eidas, il s'agirait donc de prestataires conformes à l'article 7, point a, alinéa iii. 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 60/ 84

61 7.3.2 Aperçu des exigences relatives à la notification d'après l'article 7 Un système d'identification électronique est susceptible de notification si toutes les conditions listées à l'article 7 du règlement eidas sont remplies (voir annexe). Comme mentionné plus haut, on considère que la Suisse adoptera un système eid pouvant être notifié tel que décrit au point a, alinéa iii du règlement eidas, avec des prestataires reconnus publiquement. Pour les autres exigences (décrites dans l'art. 7 du règlement eidas), nous avons distingué les quatre points suivants comme étant particulièrement importants pour la législation relative à l'identification électronique en Suisse: 1 Le système eid et les eid répondent aux exigences techniques Selon l'article 7 point c) du règlement eidas, l'ensemble du système et l'ensemble des moyens d'identification électronique (eid) doivent répondent aux exigences d'au moins un des niveaux de garantie prévus. 2 L'État veille à l'identification des personnes Selon l'article 7 point d) du règlement eidas, l'état notifiant veille à ce que les données personnelles d'identification soient attribuées à la personne physique ou morale visée au moment de la délivrance du moyen d'identification électronique. L'État membre notifiant est responsable en cas de dommage, en vertu de l'article 11, paragraphe 1 du règlement eidas. 3 La partie délivrant l'eid veille à l'attribution de l'eid à la personne visée Selon l'article 7 point e) du règlement eidas, la partie délivrant le moyen d'identification électronique veille à ce que le moyen d'identification électronique soit attribué à la personne visée conformément aux spécifications techniques. L'État membre notifiant est responsable en cas de dommage, en vertu de l'article 11, paragraphe 2 du règlement eidas. 4 L'État garantit une authentification en ligne à tout moment Selon l'article 7 point f) du règlement eidas, l'état membre notifiant veille à ce qu'une authentification en ligne de l'eid soit disponible pour tout «service de confiance» établi sur le territoire de l'ue. Celle-ci doit être gratuite pour le secteur public. Pour les parties utilisatrices du secteur privé, l'état membre ne peut imposer des émoluments (ou toutes autres conditions d'accès) prohibitifs. De nouveau, l'état membre notifiant est responsable en cas de dommage, en vertu de l'article 11, paragraphe 1 du règlement eidas. L'article 7 du règlement eidas cite encore d'autres exigences qu'il convient de prendre en compte en relation avec la notification, mais nous considérons que celles-ci n'ont d'incidence majeure sur la structuration du système suisse ou qu'elles doivent seulement être respectées pour la notification ultérieure. Pour cette raison, seules les quatre exigences énoncées ci-dessus seront examinées plus en détails pour déterminer les besoins législatifs en la matière Remarques d'ordre général pour l'application du règlement eidas en Suisse Contrairement aux États membres de l'ue pour lesquels le règlement s'appliquera automatiquement suite aux «actes d'exécution» correspondants (~ législation d'exécution), en Suisse, le règlement UE devrait faire l'objet d'une conversion en législation nationale. La structure pourrait être similaire à la structure existante de la mise en œuvre de la directive sur les signatures électroniques dans la législation suisse: Des dispositions au niveau législatif (probablement dans la loi sur l'eid ayant déjà été projetée) définissant les compétences et les responsabilités, en affectant en particulier les compétences nécessaires au Conseil fédéral pour qu'il puisse réglementer la matière. Un court règlement qui renvoie principalement aux dispositions pour la certification et aux actes d'exécution et aux normes édictés par l'ue. 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 61/ 84

62 Normes pour la/les certification(s) des IdP sur le plan du contenu et de la forme : le système eid et les eid répondent aux exigences techniques Selon l'article 7 point c) du règlement eidas, l'ensemble du système eid ainsi que les moyens d'identification électronique (eid) doivent répondre aux exigences d'au moins un des niveaux de garantie, comme le prévoient l'article 8 du règlement eidas et «l'acte d'exécution» correspondant, ou plus précisément, selon les futures spécifications de la législation d'exécution et des normes techniques. Figure 13 Configuration d'une certification SCSE Au sein du système eid suisse, ces exigences devront être communiquées aux émetteurs d'eid reconnues publiquement. D'un point de vue purement juridique, cela peut s'appliquer facilement dans le système eid prévu y compris en matière de responsabilité. Cependant, pour prouver le respect de la législation en vue d'une notification, il est sûrement nécessaire de certifier les fournisseurs et les produits avec les superstructures requises jusqu'aux déroulements d'audits périodiques, de manière comparable à une certification SCSE [6] selon la Figure 13. Seules les spécifications techniques applicables permettront de faire référence facilement et rapidement aux normes européennes et internationales correspondantes. Pour l'accès au compte d'identité public, seuls les deux premiers niveaux parmi les trois niveaux de garantie définis à l'article 8 du règlement eidas («substantiel» et «élevé») sont prévus. Ainsi, seuls les émetteurs d'eid qui respectent ces niveaux de garantie pourront être certifiés et reconnus publiquement. Cette restriction pour les eid suisses devrait également être envisageable dans un accord international, mais cela reste à élucider : l'état veille à l'identification des personnes Selon l'article 7 point d) du règlement eidas, l'état notifiant veille à ce que les données personnelles d'identification soient attribuées à la personne physique ou morale visée au moment de la délivrance du moyen d'identification électronique. L'État membre notifiant est responsable en cas de dommage, en vertu de l'article 11, paragraphe 1 du règlement eidas. Puisque selon le concept actuel d'eid, l'état ne délivre pas lui-même les eid, leur attribution doit être assurée par des mesures appropriées lors de l'enregistrement d'une eid sur un compte d'identité ce que garantit le schéma actuel représenté ci-dessus. L'eID étant enregistrée sur le compte d'identité de la personne visée lors d'un entretien personnel, l'association peut être assurée par une structure adaptée et sécurisée. Il suffirait cependant, au moment de la délivrance du moyen d'identification électronique, de transmettre une seule fois les données personnelles d'identification à l'émetteur d'eid 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 62/ 84

63 ou de les certifier (ou de réaliser ces opérations directement au bureau des passeports). À l'heure actuelle, il est prévu qu'une eid enregistrée donne au service de confiance public l'autorisation de certifier une nouvelle fois les données de l'eid, à l'initiative de l'utilisateur de l'émetteur d'eid demandeur. Il convient dans tous les cas d'étudier le mécanisme retenu sur le plan législatif, et de certifier sa mise en œuvre approprié. Ce second élément ne doit pas principalement être considéré pour des raisons d'ordre juridique mais plutôt pour prouver le respect des dispositions à l'ue lors de la notification. En outre, il faudra mettre en place une norme de responsabilité pour que, dans l'ensemble de l'ue, toute personne qui souffrirait d'un dommage en raison d'un manquement de l'état à ces obligations puisse poursuivre la Suisse en justice (en vertu de l'article 11, paragraphe 1 du règlement eidas). La question de la responsabilité doit néanmoins être règlementée dans l'éventuelle convention internationale : la partie délivrant l'eid veille à l'attribution de l'eid à la personne visée D'après l'article 7, point e) du règlement eidas, la partie délivrant le moyen d'identification électronique veille à ce que le moyen d'identification électronique soit attribué à la personne visée au point d) conformément aux spécifications techniques, aux normes et aux procédures pour le niveau de garantie concerné. Pour les questions de responsabilité relatives à l'article 7, point e) du règlement eidas, l'article 11, paragraphe 2 du règlement eidas prend effet. C'est ensuite la partie qui délivre le moyen d'identification électronique qui est responsable des dommages causés intentionnellement ou par négligence à toute personne physique ou morale. Sont également pris en compte les manquements de la partie aux obligations qui lui incombent dans une transaction transnationale. Selon notre conception actuelle de l'eid, ces obligations n'incombent pas seulement aux prestataires de moyens d'identification électronique privés mais également à l'idp émetteur. Seront appliquées les mêmes considérations que celles de l'ensemble des sections précédentes. Il convient de clarifier la définition des rôles dans la loi sur l'eid, de certifier le prestataire et le produit (à partir des dispositions applicables de l'ue) et, toujours dans la loi sur l'eid, d'attribuer la responsabilité à la partie délivrant le moyen d'identification électronique : l'état garantit une authentification en ligne disponible à tout moment Selon l'article 7 point f) du règlement eidas, l'état membre notifiant veille à ce qu'une authentification en ligne de l'eid soit disponible pour tout «service de confiance» établi sur le territoire de l'ue. Cette authentification doit être fournie gratuitement pour le secteur public. Les exigences techniques imposées aux parties utilisatrices pour l'authentification ne doivent pas être disproportionnées. De nouveau, l'état est responsable en cas de dommage en vertu de l'article 11, paragraphe 1 du règlement eidas. Ici, de façon très similaire à l'article 11 de la SCSE [6], les prestataires d'eid doivent garantir de proposer ce service en tout temps, gratuitement pour les services publics et selon certaines conditions pour toutes les autres parties utilisatrices. D'après le projet STORK, pour les eid des autres États, ce service se fait via un serveur proxy (PEPS) exploité par l'état. Dans les dispositions prévues par la loi, la responsabilité incomberait au prestataire mais, en dernier recours, elle incomberait de nouveau à l'état suisse, ce qui comme déjà mentionné précédemment au point doit être règlementé dans la convention internationale correspondante. 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 63/ 84

64 8 Mise en œuvre 8.1 Planification et organisation Les approches de solution antérieures avaient la particularité d'admettre que le renouvellement de la carte d'identité était étroitement lié à la mise à disposition d'un moyen d'identification électronique public, ce qui n'est plus le cas dans les propositions du présent concept. Dans une large mesure, les projets de renouvellement de la carte d'identité et le projet de mise en œuvre de la solution proposée ici peuvent être découplés et poursuivis séparément. Les risques liés aux projets s'en trouveront réduits et il sera possible de prévoir deux plannings différents et des dispositions différentes en matière de responsabilité. L'échéancier pour la mise en œuvre est fortement dépendant des prises de position politiques sur le thème de l'identité électronique reconnue publiquement et des révisions de la loi sur l'eid à partir de: 2015: approbation du concept, préparation des dispositions légales essentielles 2016: fin de la consultation, dispositions légales présentées au Parlement 2018: publication du cahier des charges de l'omc pour la planification de l'infrastructure du SIP 2019: attribution du marché, mise en œuvre de tests d'exploitation 2020: mise en place de la solution La responsabilité globale pour tous les processus, les TIC et les applications nécessaires dans le présent contexte incombe au DFJP (fedpol) car il existe de fortes synergies entre la procédure de demande de passeports suisses et de comptes d'identité. Il existe cependant d'étroites relations avec le projet prioritaire de la cyberadministration IAM (projet B2.06), de sorte que la répartition des responsabilités devra être examinée précisément dans la future phase pré-législative. À titre d'exemple, la responsabilité pour le développement et la réalisation du service de fédération et, par voie de conséquence, de l'interface UE, incombe ainsi au projet de «Fédération suisse d identités» (projet B2.06) sous la responsabilité du SECO. Il faut aussi noter qu'il faut en plus continuer à entretenir une étroite coordination avec les travaux déjà en cours dans le domaine e-santé (ehealth). La question de la responsabilité pour les comptes d'identité reliés aux eid reconnues publiquement a déjà été examinée, afin de déterminer si elle ne pouvait pas également incomber au Registre de l'état civil Infostar. En effet, Infostar est la principale source d'attributs d'identité et dispose d'une base de données globale des personnes. Selon les estimations de l'ofj, cette variante constitue cependant une atteinte sévère à la structure existante du système et aurait pour conséquence une réorganisation complète de l'ensemble des services des habitants. Le Service des étrangers, le Service des documents d'identité, le Service de contrôle des habitants et le Service de l'état civil, tous historiquement distincts et indépendants, ont été fusionnés en un seul «Service des habitants». Il a fallu rédiger une nouvelle conception complexe, ce qui a généré des dépenses disproportionnées et des coûts élevés. Pour les raisons mentionnées ci-dessus, cette variante doit être rejetée. Le Département fédéral des finances DFF (Office fédéral de l informatique et de la télécommunication BIT) et/ou le CSI-DFJP doivent être les prestataires de services pour les éléments de solution nécessaires «Enregistrement», «Octroi de licence» et «Cachet électronique». La responsabilité de mise en œuvre des modifications nécessaires au système d'information relatif aux documents d'identité (ISA) incombe au DFJP (CSI-DFJP). Le bénéficiaire des prestations est respectivement le DFJP, à moins qu'une autre solution soit plébiscitée dans le cadre du concept de financement. Les tâches d'envoi des lettres requises pour les identifiants et les codes PIN sont prévues pour l'office fédéral des constructions et de la logistique (fournisseur de passeports). La mise en place des bases légales nécessaires relève également de la responsabilité du DFJP (OFJ). La vérification régulière de la conformité 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 64/ 84

65 juridique des prestataires d'eid enregistrés dans l'iad peut uniquement être réalisée par des organismes d'évaluation du secteur privé, doivent encore être mandatés et qui seront accrédités par le SECO (SAS). 8.2 Coûts et investissement En principe, la solution choisie laisse au marché le soin d'établir les systèmes eid reconnus publiquement et de définir les services en ligne, les cas d'utilisation et les scénarios d'utilisation. Les opérateurs de marché déterminent et couvrent l'ensemble des dépenses et des profits qui s'y rapportent. La réalisation des composants de solution indispensables propres à la Confédération devrait engendrer des coûts et équivalents temps-plein supplémentaires pour la phase de mise en œuvre d'environ trois ans et pour les frais de fonctionnement. Les données relatives aux systèmes informatiques ont été estimées par le CSI-DFJP lors d'une phase extrêmement précoce du projet. Les estimations des coûts sont donc variables et doivent être précisées dans le concept détaillé. Tableau 9 Aperçu des coûts Bdc Éléments Coûts de mise en œuvre Coûts d'exploitation par an (à partir de 2019) 1 Application spécialisée du SIP - Service d'enregistrement public - Service de cachet des attributs d'identité - Service d'octroi de licences pour fournisseur de services d'identité - Web Front End du compte d'identité 2 Adaptation des applications existantes - Application spécialisée ISA - Service de demande via Internet 3 Réalisation du projet sur 3 ans - Ressources humaines (200% en supplément) - Prestations de service, communication, autres 4 Fonctionnement du service d'identité public - Ressources humaines (300% en supplément) - Prestations de services et autres investissements CHF CHF CHF 0 CHF (pas de coûts supplémentaires car pas de nouveaux éléments) CHF CHF (3 équivalents temps-plein incl.) 5 Évaluation actuelle des coûts totaux CHF CHF Remarque : les présentes données n'incluent pas les coûts pour les services de fédération nationaux et internationaux qui comprennent aussi la «notification» du schéma national eid vis-à-vis de l'ue, la mise en place et le fonctionnement des interfaces de l'ue (cf. chapitre 6.4.4), car ceux-ci tombent 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 65/ 84

66 sous la responsabilité du projet individuel «Fédération suisse d identités» (projet B2.06). Le financement et l'élaboration de la stratégie de communication sont prévus dans le cadre d'étroite collaboration avec le programme de cyberadministration suisse. Le crédit d'engagement prévu par l'arrêté du Conseil fédéral en date du ne couvre qu'en partie le financement. Un concept de financement révisé est pour cette raison prévu pour être présenté à l'automne 2015 au Conseil fédéral dans le cadre de la procédure de consultation planifiée, conjointement avec l'ébauche de loi. Suite aux nouvelles tâches pour le service d'identité public, le DFJP (fedpol) nécessite 3 équivalents temps-plein supplémentaires (au lieu de 2), qui devront faire l'objet d'une demande au Conseil fédéral dans le cadre des ressources globales. Toutes les affirmations relatives aux ressources et aux finances dépendent expressément de l'issue de la réflexion politique menée actuellement dans le cadre de la procédure de consultation. Pour les bureaux d'enregistrement cantonaux et les représentations suisses à l'étranger, on considère à l'heure actuelle qu'il ne devrait pas y avoir de coûts d'investissement supplémentaires. Il faut cependant prendre en compte des dépenses supplémentaires (frais de conseil) pour l'enregistrement d'eid, ce qui reste encore à déterminer de manière plus précise. Ces frais additionnels pourraient avoir des conséquences sur les ressources humaines des bureaux d'enregistrement et sur les émoluments. (cf. section 9.4.3). 8.3 Risques liés au projet Les principaux risques relatifs à l'eid sont d'une part la question du besoin réel dans la population, et d'autre part, celle de l'acceptation d'une solution eid concrète, reconnue publiquement. De nombreux États et entreprises privées ont déjà développé et mis en œuvre des systèmes eid à plusieurs reprises. Cependant, les écosystèmes eid concernés ont adopté l'eid avec réticence, voire l'ont parfois totalement rejetée. Il nous semble donc d'autant plus important que la solution ait une capacité à évoluer et puisse à tout moment (même après la phase de lancement) s'adapter aux nouveaux besoins de l'écosystème eid. C'est à nos yeux le seul moyen pour investir des ressources financières de façon ciblée et économique. C'est pourquoi, dans la solution prévue, l'état se contente de certifier les attributs d'identité et fait appel aux forces du marché pour proposer des solutions eid innovantes. L'État peut ainsi apporter sa contribution au développement de l'écosystème eid dans le domaine de l'authentification et l'identification sécurisées et interopérables. Il est indispensable que la mise en œuvre de systèmes eid reconnus publiquement soutenus par une base privée ne soit pas bridée par des exigences réglementaires trop strictes, car le marché des utilisateurs potentiels n'est pas en mesure d'assumer les coûts excessifs d'une reconnaissance publique. Un risque qui ne peut pas être entièrement exclu dans ce domaine est qu'un fournisseur arrive à atteindre une position de monopole et que sa puissance au sein du marché lui permette ensuite de dicter les prix. Bien que cela représente un petit dommage pour une personne individuelle, les principes d'économie de marché à la base du concept seraient ainsi faussés. La réussite globale de la solution dépend également en grande partie des autres acteurs de l'écosystème eid: s'il n'existait aucun besoin réel de services en ligne sécurisés, l'introduction d'une eid reconnue publiquement n'apporterait rien. Pour cette raison, il est important de suivre une politique de concertation étroite avec les protagonistes du programme de cyberadministration suisse et des IdP reconnus publiquement potentiels pendant la mise en œuvre du projet. Comme exposé au chapitre 2.4, la mise en œuvre d'un service national de fédération et d'une stratégie continue d'information représentent également des jalons incontournables pour le succès du système global. Le financement et l'élaboration de la stratégie d'information sont prévus dans le cadre d'étroite collaboration avec le programme de cyberadministration suisse. 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 66/ 84

67 9 Répercussions 9.1 Personnes de nationalité suisse Ce projet permettra aux citoyennes et citoyens suisses de s'identifier en ligne avec un support d'identification reconnu publiquement. Il s'agit là d'un dispositif plus sûr et reconnu par l'état pour l'authentification vis-à-vis des parties utilisatrices, mais également d'une preuve pour des données personnelles d'identification certifiées comme le nom de famille ou la nationalité. Il apportera une valeur ajoutée mesurable, à condition que l'écosystème eid offre des services en ligne attractifs (cf. également chapitre 4.2.1). Si un compte ou un dossier de citoyen devait être créé en Suisse par l'intermédiaire d'un portail Single Sign On (comme envisagé dans [37]), il faudrait y intégrer le compte d'identité. La réglementation et la mise en œuvre des eid étant orientées vers la protection et la sécurité des données, la sécurité et la protection de la vie privée lors des transactions en ligne se sont améliorées, notamment dans des domaines-clés comme le commerce et le paiement. Si la Suisse pouvait également notifier ses systèmes eid auprès de l'ue, il serait possible d'abolir les barrières (les «ruptures de média») des frontières nationales. Une eid sécurisée et largement acceptée favorise l'évolution de la Suisse vers une société d'information, comme le souhaite le Conseil fédéral. 9.2 Personnes de nationalité étrangère Dans le présent concept, la certification de données d'identification personnelle est restreinte aux personnes de nationalité suisse, car la Suisse peut uniquement certifier leur identité dans le cadre régalien. Le règlement correspondant de l'ue présuppose également la mise en œuvre et la notification d'un système eid national par chaque pays membre. La notification permettra la reconnaissance du système dans l'ensemble de l'ue, de sorte que les pays individuels ne doivent plus délivrer leur propre eid à d'autres citoyens de l'ue. Cet état de fait est uniquement valable pour la Suisse, si elle notifie son système eid à l'ue par l'intermédiaire d'une convention internationale. La notification n'offre en revanche aucune solution pour les personnes appartenant à un pays tiers. Le présent concept pourrait aussi être étendu à la population résidante étrangère sous la responsabilité de l'office fédéral des migrations (ODM), si cela correspondrait à une volonté politique majoritaire. Les données nécessaires pour le compte d'identité seraient issues du SYMIC et l'entretien personnel devrait se dérouler dans les offices des migrations. Les attributs du compte d'identité devraient en outre faire l'objet d'une affectation d'un degré de qualité (par ex. selon la norme de cyberadministration ech-0171 [35]), car ceux-ci ne peuvent pas tous être déterminés avec le même degré de qualité. Il faudra de plus initier préalablement des clarifications juridiques, d'une part, et consulter les instances d'exécution, d'autre part. Le fait de savoir si cette extension est possible et quand elle pourrait avoir lieu reste une question à éclaircir pour les raisons précitées. Cette restriction n'exclut cependant pas de manière générale la possibilité d'utilisation de l'eid reconnue publiquement pour les personnes étrangères, car elles peuvent aussi acquérir une telle eid chez un IdP et l'utiliser comme moyen d'identification. Elles ne sont seulement pas en mesure de fournir à des parties utilisatrices des confirmations d'attributs avec attributs d'identité certifiés. Les IdP et les parties utilisatrices peuvent par contre relever eux-mêmes des attributs d'identité non certifiés publiquement, comme ils le font déjà actuellement. 9.3 Économie privée À travers la mise à disposition électronique d'attributs d'identité certifiés publiquement, il est possible d'améliorer les procédures qui exigent actuellement un entretien personnel pour l'identification. Le 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 67/ 84

68 secteur privé peut proposer des services plus attractifs, car les délais et les coûts associés peuvent être réduits à la fois pour le prestataire et pour le client. Merci de bien vouloir vous référer à la section 4.2 pour des détails à ce sujet. 9.4 Autorités Généralités La «stratégie suisse de cyberadministration» [2] se fixe comme objectif que la population et l'économie puissent régler leurs affaires importantes avec les autorités par voie électronique. De leur côté, les autorités doivent moderniser leurs processus opérationnels et communiquer entre elles par voie électronique. La stratégie suisse de cyberadministration est une stratégie sectorielle de la «Stratégie pour une société de l'information en Suisse» [10]. Le projet prioritaire «B2.15 Identité électronique reconnue sans barrières sur le plan national et dans l espace de l Union européenne» (responsabilité Office général de la police fedpol) constitue un des vecteurs de mise en œuvre de la stratégie du Conseil fédéral. Le projet a de nombreux points de contact avec les projets prioritaires [4] «B1.06 Architecture de la cyberadministration suisse» (organisation UPIC), «B2.06 Services d identification et de gestion des droits d accès des participants à la cyberadministration» (SECO) et «B1.16 Gestion des connaissances juridiques pour la cyberadministration» (organisation OFJ) dans le domaine de la législation. De plus, il existe des relations avec de nombreux projets prioritaires comme «A1.13 Vote électronique» (organisation ChF), «A1.07 (a-h) Commande et obtention d'extraits de registres authentifiés, de certificats d'état civil, de copies de documents officiels importants et de décisions déterminant la procédure» (organisation OFJ) ou encore «A2.04 Prestations des services des automobiles» (organisation Services des automobiles). Une concertation étroite avec le domaine e-santé suisse (ehealth) est également très importante Confédération La Confédération doit assumer de nouvelles responsabilités avec la mise en œuvre de ce projet, et élaborer un cadre juridique pour l'utilisation et la diffusion de ces services sous forme d'une «loi sur l'eid» (cf. section 6.4.1). D'après les estimations de coûts provisoires (cf. section 8.2), la mise en œuvre du projet représente 6,3 Mio CHF et les frais d'exploitation, 2,1 Mio CHF par an, y compris les coûts associés aux 300 équivalents temps-plein pour les nouvelles fonctions du futur Service d'identité public. Les coûts de mise en œuvre et de fonctionnement peuvent seulement être financés partiellement par le crédit d'engagement prévu pour le renouvellement des passeports et des cartes d'identité. Un concept de financement révisé devra être présenté au Conseil fédéral dans le cadre de la consultation prévue. Toutes les affirmations relatives aux ressources et aux finances dépendent expressément de l'issue de la réflexion politique menée actuellement dans le cadre de la procédure de consultation. Il convient également de mentionner une fois encore explicitement les risques cités au chapitre 8.3. Un important facteur clé de succès est la mise au point d'un service de fédération entre les diverses solutions eid parallèlement au lancement d'eid reconnues publiquement. Ceci est l'objectif du projet géré par le SECO «Fédération suisse d identités» (projet B2.06). La solution IAM élaborée par UPIC pourrait être intégrée dans le présent concept eid en tant que système eid reconnu publiquement. 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 68/ 84

69 9.4.3 Cantons Les bureaux des passeports des cantons doivent assurer un nouveau service, à savoir la «demande d'un compte d'identité» (enregistrement). Une grande partie des activités concernées est presque totalement identique à celles liées à une demande de passeport, et de nombreuses personnes opteront probablement pour l'offre combinée «passeport + compte d'identité», plus avantageuse. Il faudra en plus procéder à l'enregistrement du numéro de mobile amené par la personne et lui proposer éventuellement une brève séance de conseil sur le thème eid. En fonction de la durée et de la fréquence des enregistrements, qui restent encore à définir, ces tâches pourraient entraîner un besoin supplémentaire en personnel dans les bureaux d'enregistrement. Pour calculer approximativement les frais administratifs, le concept estime que cela représentera en moyenne cinq minutes supplémentaires par personne. 9.5 Coûts Les investissements et dépenses de fonctionnement devront être compensés à moyen terme par des recettes permettant de couvrir les frais. Dans le cadre du concept de financement, il reste également à clarifier s'il est possible et souhaitable politiquement que la Confédération fournisse des fonds 11 pour financer la phase initiale du projet. Il est bien évidemment encore impossible de fournir une estimation définitive du montant réel des émoluments. Un calcul approximatif des coûts de projet (sans amortissement) est disponible dans le Tableau 10. Tableau 10 Estimation des émoluments Pos. Éléments 1 Identification et ouverture d'un compte d'identité (bureaux des passeports) Coût d'un enregistrement sans demande de passeport Coût d'un enregistrement avec demande de passeport 60 CHF 10 CHF 2 Services centraux (Confédération) 20 CHF 20 CHF 3 Coûts totaux (émoluments) 80 CHF 30 CHF Frais d'enregistrement : En partant du principe que les charges supplémentaires pour l'enregistrement et les prestations de conseils aux personnes dans un canton (dans le cadre d'une offre combinée «passeport et compte d'identité») représentent cinq minutes par personne, les cantons devraient être indemnisés à hauteur d'environ 10 CHF par personne. Les coûts supplémentaires annuels pour les Services centraux de la Confédération, de l'ordre de 2,1 Mio CHF, devraient être répercutés sur le nombre d'enregistrements annuels. À partir d'une estimation réalisée en Autriche [18] tablant sur environ pièces (env. 20% de toutes les personnes), on estime que l'etat devrait être dédommagé de 20 CHF par enregistrement (arrondi à 5 CHF). Aux frais des cantons s'ajoutent environ 30 CHF lorsque la demande d'un compte d'identité s'inscrit dans le cadre d'une offre combinée. Pour chaque enregistrement, les frais d'enregistrement devront être réglés tous les 5 ou 10 ans (pas de taxe annuelle). Ce chiffre n'inclut pas le coût de l'eid reconnue publiquement, que la personne devra se procurer elle-même. Ce coût sera déterminé par les prix du marché. Dans ce contexte, il existe 11 Selon la prise de position de l'administration fédérale des finances, en raison de la situation financière tendue, il convient de renoncer à un financement de la phase initiale du projet par la Confédération. Il faut donc aussi examiner d'autres modèles de financement dans le cadre des tâches consécutives. 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 69/ 84

70 déjà des modèles de prix sur le marché, pour lesquels la personne ne doit pas payer de frais supplémentaires pour son eid (par ex. Mobile ID). Frais d'octroi des licences : Les recettes des licences des IdP reconnus publiquement contribueront aux coûts liés à la gestion des licences, au fonctionnement du serveur de validation des licences et au support technique. Ces coûts se chiffrent à environ CHF par an. Les frais d'octroi des licences sont dus tous les ans (taxe annuelle). La discussion politique menée actuellement déterminera dans quelle mesure les coûts doivent être répercutés sur les IdP. La prise en charge des coûts permet de réduire les parts mentionnées au paragraphe «Émoluments d'enregistrement», ce qui serait raisonnable et acceptable. 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 70/ 84

71 10 Annexes Les exposés suivants sont destinés à approfondir les explications relatives à des aspects et des principes individuels de la solution proposée Extrait du règlement eidas Les articles 7 à 12 du règlement eidas définissent les mesures et les conditions-cadres pour une reconnaissance mutuelle des systèmes d'identification électronique dans l'union européenne. Un système d identification électronique peut être notifié en vertu de l article 7 du règlement eidas, si toutes les conditions suivantes sont remplies : a) Dans le cadre du système concerné, les moyens d identification électronique sont délivrés i) par l'état membre notifiant; ii) dans le cadre d un mandat de l'état membre notifiant; ou iii) indépendamment de l'état membre notifiant et sont reconnus par cet État membre; b) les moyens d identification électronique relevant du schéma d identification électronique peuvent être utilisés pour accéder au moins à un service qui est fourni par un organisme du secteur public et qui exige l identification électronique dans l État membre notifiant ; c) le schéma d identification électronique et les moyens d identification électronique délivrés dans ce cadre répondent aux exigences d au moins un des niveaux de garantie prévus dans l acte d exécution visé à l article 8 ; d) l'etat notifiant assure qu'au moment de la délivrance des moyen d'identification électronique dans le cadre du système concerné, des spécifications techniques, des normes et des procédures pour le niveau de sécurité correspondant, qui sont mentionnés dans l'acte d'exécution nommé dans l'article 8, les données personnelles d'identification, qui représentent de manière univoque la personne concernée, soient affectées à la personne physique ou morale nommée au numéro 1 de l'article 3; e) la partie, qui délivre les moyens d identification électronique dans le cadre du système concerné, assure, que le moyen d'identification électronique soit affecté à la personne nommée sous la lettre d en conformité avec les spécifications techniques, les normes et les procédures selon le niveau de sécurité correspondant mentionnées dans l'acte d'exécution nommé dans l'article 8; f) le pays membre notifiant assure, qu'un moyen d'identification en ligne soit disponible, de sorte que chaque partie utilisatrice située sur le territoire national d'un autre pays membre puisse confirmer les données d'identification personnelle réceptionnées sous forme électronique. Pour les parties utilisatrices autres que des organismes du secteur public, l Etat membre notifiant peut définir les conditions d accès à cette authentification. Cette authentification transfrontalière est fournie gratuitement lorsqu elle est effectuée en liaison avec un service en ligne fourni par un organisme du secteur public. Les États membres n imposent aucune exigence technique disproportionnée aux parties utilisatrices qui envisagent de procéder à cette authentification, lorsque de telles exigences empêchent ou entravent sensiblement l interopérabilité des schémas d identification électronique notifiés ; g) six mois au moins avant la notification en vertu de l article 9, paragraphe 1, l État membre notifiant fournit aux autres États membres aux fins de l obligation au titre de l article 12, paragraphe 5, une description de ce schéma conformément aux modalités de procédure établies par les actes d exécution visés à l article 12, paragraphe 6. h) le schéma d identification électronique satisfait aux exigences de l acte d exécution visé à l article 12, paragraphe 8. 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 71/ 84

72 En ce qui concerne la responsabilité des organismes participants, l'article 11 du règlement eidas prévoit les points suivants : 1. L État membre notifiant est responsable du dommage causé intentionnellement ou par négligence à toute personne physique ou morale en raison d un manquement aux obligations qui lui incombent en vertu de l article 7, points d) et f), dans le cas d une transaction transfrontalière. 2. La partie qui délivre le moyen d identification électronique est responsable du dommage causé intentionnellement ou par négligence à toute personne physique ou morale en raison d un manquement aux obligations qui lui incombent en vertu de l article 7, point e), dans le cas d une transaction transfrontalière. 3. La partie qui gère la procédure d authentification est responsable du dommage causé intentionnellement ou par négligence à toute personne physique ou morale pour ne pas avoir assuré la gestion correcte de l authentification visée à l article 7, point f), dans le cas d une transaction transfrontalière. 4. Les paragraphes 1, 2 et 3 s appliquent conformément aux dispositions nationales en matière de responsabilité. 5. Les paragraphes 1, 2 et 3 sont sans préjudice de la responsabilité incombant, au titre du droit national, aux parties à une transaction effectuée à l aide de moyens d identification électronique relevant du schéma d identification électronique notifié. Le règlement eidas définit également, à l'article 8, les niveaux de garantie «faible», «substantiel» et «élevé» des moyens d'identification électronique en se référant aux niveaux de garantie 2 à 4 («medium», «high», «very high») de la norme ISO 29115:2011. À l'article 12, le règlement stipule également que les schémas nationaux d identification électronique notifiés doivent être interopérables et qu'il doit être établi un cadre d interopérabilité à cette fin, comme cela a été prévu dans le projet-pilote européen STORK Authentification et identification Authentification L'authentification est le processus de base de l'écosystème eid qui apporte l'assurance qu'une partie utilisatrice communique avec une personne identifiée, et inversement 12. Dans le monde réel comme virtuel, les partenaires commerciaux ont besoin de garanties quant à l'identité et à l'authenticité de leur interlocuteur. Il faut donc accorder une attention toute particulière à la conception du système. L'authentification est réalisée lors d'une relation commerciale et doit par conséquent allier facilité d'utilisation, efficacité et flexibilité pour s'adapter aux exigences de sécurité. L'authentification comporte toujours un protocole de mesure (par ex. saisie d'un élément biométrique, vérification d'une information de la personne, contrôle de la présence d'un objet physique) qui permet d'établir une liaison entre la personne physique et sa représentation numérique (identifiant). L'authentification est ainsi confirmée vis-à-vis de la partie utilisatrice. Outre l'identifiant, qui n'a d'usage que dans un contexte spécifique (par ex. un nom d'utilisateur), une authentification confirmée ne délivre aucun autre attribut d'identité de la personne affectée. Elle peut donc être anonyme ou agir sous un pseudonyme: seules les parties utilisatrices savent qu'elles sont toujours en relation avec la même personne. Cependant, 12 Selon le règlement eidas de l'ue, le terme «authentification» et également utilisé pour les personnes morales et les données (citation: on entend par «authentification» un processus électronique qui permet de confirmer l'identification électronique d'une personne physique ou morale, ou l'origine et l'intégrité d'une donnée électronique.). 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 72/ 84

73 l'authentification est une condition préalable pour accéder à d'autres processus comme l'enregistrement d'attributs d'identité supplémentaires, la protection de transactions comme l'attestation de l'âge ou encore d'autres combinaisons complexes de ce type de processus comme la signature électronique qualifiée ou le vote électronique. Pour l'utilisation d'une eid pour l'authentification, il suffira d'utiliser la fonction d'authentification électronique de l'eid (authentificateur). L'objectif d'une authentification est d'obtenir la preuve électronique qu'il s'agit bien de la personne physique associée à l'identifiant. La présence physique de la personne est ainsi implicitement vérifiée. Le processus est très fréquemment utilisé et est réalisée à l'aide de la fonction d'identification du moyen d'identification électronique (eid) Identification L'identification avec des données personnelles d'identification supplémentaires est une extension de la fonction d'authentification et regroupe en plus le relevé ou la justification d'autres attributs d'identité de la personne. En principe, une identification avec des attributs d'identité reconnus publiquement a uniquement lieu au début d'un nouveau contact commercial pour que la partie utilisatrice puisse classer la personne dans son système et, au mieux, lui affecter les droits et les rôles corrects. Les données personnelles d'identification publiques de l'eid seront uniquement utilisées dans ce contexte beaucoup plus rare, mais devront tout de même être à jour et fiables. Dans ce contexte, les attributs d'identité associés à l'eid d'une personne seront également utilisés pour couvrir les exigences d'identification supplémentaires, et ponctuellement pour la protection d'une transaction lorsque cette dernière nécessite des attributs d'identité spécifiques, comme par exemple l'âge. La fiabilité des attributs d'identité doit être particulièrement élevée pour certaines opérations, du fait de leur caractère public. C'est par exemple toujours le cas lorsque la carte d'identité doit être présentée sur place dans le monde réel, comme pour l'ouverture d'un nouveau compte bancaire ou l'ouverture d'une carte SIM. L'objectif de l'identification est l'authentification et l'attestation des attributs d'identité d'une personne. En règle générale, le processus d'identification n'est requis que pour l'instauration d'une nouvelle relation commerciale, et a lieu à l'aide des attributs d'identité supplémentaires associés à l'eid et confirmées par celle-ci Fonction d'authentification dans une eid Le modèle de couverture totale d'une communication End-To-End diffusé actuellement par la quasitotalité des organismes de standardisation (eidas, FICAM, FIDO, GSMA, IDESG, NIST, GlobalPlatform, etc.) et déjà adopté par les principaux utilisateurs (banques) est issu du principe d'une authentification centrée sur l'utilisateur. Dans l'architecture de référence, représentée schématiquement sur la Figure 14, la personne dispose d'un appareil comportant une fonction sécurisée (souvent appelée «authentificateur») qui prouve à la partie utilisatrice que l'authentification s'est déroulée correctement. Pour que le participant puisse faire confiance à une telle preuve, il doit être certain qu'elle provient d'un appareil qu'il connait et qu'il a accepté comme critère de sécurité. L'appareil s'identifie grâce à son identifiant qui devient alors un attribut d'identité d'une personne. L'authentificateur contient également un élément qui détermine si une personne donnée (en temps normal, le détenteur et utilisateur de l'appareil) peut justifier de son identité avec les facteurs d'identification requis 13 (vérification). À l'avenir, des capteurs intelligents placés dans l'appareil de l'utilisateur devraient remplacer la confirmation active qu'une personne apporte 13 Sont considérés comme des facteurs d'authentification la connaissance d'un secret, les éléments biométriques ou la possession d'un objet particulier. 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 73/ 84

74 aujourd'hui via un mot de passe ou une connexion à un protocole défi-réponse. Ces capteurs pourront reconnaître la personne habilitée en utilisant plusieurs caractéristiques [12]. L'utilisateur se sert du mécanisme de vérification lorsqu'il doit s'authentifier pour accéder au portail d'accès d'une partie utilisatrice, par exemple un IdP ou pour accéder à son compte d'identité. Les attributs d'identité supplémentaires ne sont pas nécessaires pour ce type de processus d'authentification récurrent. Personne Partie utilisatrice Appareil utilisateur Portail d'accès Vérification (facteurs d'auth.) eid (authentificateur) Authentification (Crypto Credentials) Serveur IAM Figure 14 Fonction d'authentification d'une eid La base de l'authentification centrée sur utilisateur est un processus d'initialisation et d'enregistrement. Pour le processus d'initialisation, il faut établir une connexion explicite entre la personne et l'eid. Un authentificateur suffisamment sécurisé doit être installé sur l'appareil pour l'initialisation. En fonction du niveau de sécurité requis pour l'authentification, il convient de déterminer des possibles facteurs d'authentification autres que la possession de l'appareil (biométrie, mot de passe, code NIP, Smartcard, etc.) qui pourront attester de la sécurité de l'appareil utilisateur. L'initialisation a lieu lorsque les facteurs d'authentifications de la personne, qui serviront ensuite de référence pour une authentification ultérieure, ont été saisis. Pour enregistrer l'appareil comme eid auprès d'une partie utilisatrice, il est nécessaire de définir entre l'eid et la partie utilisatrice un canal de communication qui permette d'identifier chacun des deux partenaires de la communication, et de confirmer la réussite de l'authentification par un document d'identité numérique. L'identification d'une eid a lieu grâce à l'identifiant unique qui soit est identique pour toutes les parties, soit doit être redéfini en fonction de la connexion de chaque partie utilisatrice. Il peut par exemple se présenter sous la forme d'une clé dont seule la partie utilisatrice a connaissance Méthodes et technologies d'authentification Le modèle d'authentification centré sur l'utilisateur implique que les documents d'identité échangés pour authentification ne peuvent être évalués et vérifiés que par les deux parties impliquées (protection de la vie privée), et que les caractéristiques personnelles d'identification ne peuvent être remplacés que par des jetons cryptographiques, qui signifient que les facteurs d'authentification de la personne ont été vérifiés avec succès (protection des données). Jusqu'à présent, en mettant en œuvre cette exigence de façon cohérente, chaque organisation a développé et entretenu son propre système d'authentification [22]. Il en résulte une situation actuellement peu satisfaisante, qui impose à un utilisateur de services en ligne de maîtriser de multiples protocoles et procédés d'authentification, et de gérer une multitude de facteurs d'authentification. Bien souvent, la vérification des facteurs d'authentification est entièrement ou partiellement réalisée par le biais de mots de passe : non seulement cette tendance représente un risque croissant pour les personnes et les opérateurs de systèmes, mais elle rend également le dispositif peu pratique et coûteux [38]. 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 74/ 84

75 Face à ce constat insatisfaisant, plusieurs organisations et alliances se sont confrontées au problème de la simplification et de l'utilisation multiple de l'authentification. Leur réflexion a d'abord donné naissance à des services de fédération aux normes et aux architectures propres. Dans ce type d'architecture, l'idp authentifie une personne et répartit ensuite les justificatifs d'authentification et d'identité à différentes parties utilisatrices [39]. L'initiative industrielle Fast Identity Online Alliance (FIDO) est allée encore plus loin en propageant un modèle simplifié d'authentification (Figure 15) centrée sur l'utilisateur. Dans ce modèle, l'authentification est directement implémentée sur l'appareil de l'utilisateur sous forme d'un module standardisé et accrédité en matière de sécurité (authentificateur FIDO). Associé à une application d'authentification standardisée avec des services d'authentification correspondants également standardisés, ce module peut directement créer un canal privé et sécurisé et peut ainsi être immédiatement utilisé par une multitude de parties utilisatrices [25]. Appareil personnel Partie utilisatrice Application navigateur Découverte Enregistrement Portail en ligne de l'application Application d'authentification (sur SO) Couche d'abstraction Authentificateurs Vérification des facteurs d'auth. Authentification Confirmation Service d'authentification (protocole) Métadonnées pour authentification Figure 15 Authentification d'après la norme FIDO Un service d'authentification FIDO de n'importe quelle partie utilisatrice peut développer sur le terrain les mêmes protocoles d'authentification FIDO pour n'importe quel appareil, avec l'application d'authentification FIDO installée, sauf devoir disposer sur l'appareil des détails précis de la vérification de la personne (vérification des facteurs d'authentification saisis). Lors de l'enregistrement, le service d'authentification détermine seulement, à l'aide des métadonnées de l'authentificateur, à quel niveau de garantie l'eid peut exécuter une authentification (processus de découverte). La personne peut d'autre part justifier sa présence avec un seul ou seulement quelques facteurs d'identification, vis-à-vis de plusieurs parties utilisatrices distinctes. Un authentificateur FIDO relie la vérification des personnes à une clé d'authentification et certifie leur fiabilité par un certificat de confirmation qui ne peut être obtenu que par un authentificateur accrédité FIDO. Un authentificateur FIDO livre ensuite à chacune des parties utilisatrices une clé unique validée par le certificat, qui permet d'établir un canal entre l'application et le service d'authentification et prouve la vérification des facteurs d'authentification de la personne visée. Les partenaires de communication sont protégés contre les attaques de type «attaque de l'intercepteur» (MITM) et le profilage car chaque connexion contient une clé unique différente. Le certificat de confirmation est délivré par le fabriquant de l'eid et contient 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 75/ 84

76 toutes les informations sur la fiabilité de la vérification de la personne, de la protection de l'appareil et de l'organisme certifié (métadonnées). FIDO complète ainsi les initiatives (OATH, TCG) et les normes (PKCS#11, ISO 24727, ISO etc.) qui décrivent principalement les caractéristiques des authentificateurs au niveau matériel. FIDO complète également les services et les normes de fédération (OpenID, SAML, OAuth) qui ont pour objectif de passer d'une authentification par le biais de mécanismes sécurisés à une fonction d'authentification unique pour un plus grand nombre de parties utilisatrices. À l'heure actuelle, on ignore encore si ce sont les protocoles FIDO qui seront normalisés, mais l'architecture globale de l'authentification centrée sur l'utilisateur et interopérable est actuellement contestée [12] [38] [40] [22] [39] [41], ce qui pose les bases d'un concept d'eid qui arrive à point nommé Authentificateurs d'après les spécifications FIDO Schématiquement représenté sur la Figure 16, un authentificateur FIDO est un module sécurisé, intégré à un appareil d'utilisateur, capable de générer et de gérer des clés cryptographiques indépendantes pour chaque partie utilisatrice. Ces clés sont destinées à l'attestation de la présence et du fonctionnement correct de l'authentificateur. L'authentificateur a également une fonction interne de vérification qui sert à déterminer si les facteurs d'authentification d'une personne correspondent à ceux qui ont été renseignés lors de l'initialisation (secret, biométrie). Un authentificateur dispose également en option d'un écran sécurisé pour l'affichage des données de transactions. Vérification des facteurs d'auth. Authentificateur Clé de confirmation (certificat du fabriquant) Personne Affichage sécurisé Clé redéfinie en fonction de la connexion (identifiant) Figure 16 Authentificateurs FIDO Les clés générées permettent une connexion End-to-End sécurisée et privée entre l'authentificateur et le service d'authentification par les parties utilisatrices. Le certificat de confirmation du fabriquant confirme à la partie utilisatrice l'authenticité et le type de l'authentificateur en fournissant des informations sur la vérification des facteurs d'authentification et de la sécurité de l'authentificateur. Cette architecture modulaire pour un moyen d'authentification centré sur l'utilisateur peut aujourd'hui être installée sur de nombreux appareils, et beaucoup l'ont déjà intégrée. En général, un authentificateur sécurisé doit être intégré directement dans le matériel de l'appareil utilisateur. Les appareils permettant l'installation d'un authentificateur sont par exemple les smartphones disposant d'un TEE (Samsung S4, S5, S6, iphone 6, etc.), les Secure Elements (Javacards, Sticks) ou les ordinateurs équipés d'une puce TPM. Les authentificateurs sont habituellement mis à disposition directe par le fabriquant des appareils, et disposent, pour le modèle FIDO, d'interfaces standardisées via une «couche d'abstraction d'authentification» (Authenticator Abstraction Layer) pouvant être traitées par les parties utilisatrices indépendamment les unes des autres. L'interopérabilité est la différence principale entre un authentificateur FIDO et les jetons ou applications d'authentification propriétaires encore fréquemment utilisés. Grâce à des interfaces et protocoles standardisés, un seul et même authentificateur FIDO peut être utilisé par autant de parties utilisatrices que nécessaire pour l'authentification d'une personne. Si, comme de nombreux indiques portent à le 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 76/ 84

77 croire [41], ce concept se généralise, il ne pourra faire l'impasse sur une solution eid. La délivrance des eid étant affectée aux IdP, cette évolution s'intègre naturellement dans la logique du concept Niveau d'authentification Les niveaux de garantie d'une authentification sont définis dans la norme ISO/CEI 29115:2013 et se divisent en quatre degrés de confiance [33]: Tableau 11 Degrés de confiance selon la norme ISO Degré de confiance Description 1 Low (faible) Confiance limitée ou nulle en l'identité affirmée 2 Medium (moyen) Confiance intermédiaire en l'identité affirmée 3 High (Élevé) Confiance élevée en l'identité affirmée 4 Very high (Très élevé) Confiance très élevée en l'identité affirmée Le règlement eidas adopte les trois premiers niveaux les plus sûrs comme possibilités de réalisation d'un système eid notifiable, et les définit comme suit: «faible» (équivalent à Medium) «substantiel» (équivalent à High) «élevé» (équivalent à Very High) Niveau de sécurité pour la certification d'attributs Niveau d'authentification: élevé Niveau d'authentification: substantiel Niveau de sécurité pour la notification Niveau d'authentification: faible Niveau d'authentification: insuffisant Pas d'authentification suffisante Figure 17 Niveaux de sécurité de l'authentification Pour les niveaux 3 et 4, la norme ISO recommande une authentification multi-facteurs systématique. Une eid suisse reconnue publiquement doit permettre une authentification à un niveau de sécurité 3 («substantiel») ou 4 («élevé»). Cela ne signifie pourtant pas que l'utilisation de l'eid implique nécessairement un niveau de sécurité d'au moins 2 pour l'authentification : au cas par cas, une partie utilisatrice peut également accepter une authentification au niveau de sécurité «faible». Dans le système eid suisse, pour l'enregistrement auprès du Service d'enregistrement public et pour une certification d'attributs sur le compte d'identité, un niveau de sécurité «substantiel» est recommandé pour l'authentification. Une authentification avec code PIN et OTP via un second canal, comme elle est définie dans la méthode d'authentification initiale pour l'accès au compte d'identité, correspond à une authentification forte (2 facteurs) de niveau de sécurité «substantiel». Les niveaux de sécurité et leur zone d'acceptation sont représentés sur la Figure Konzept eid v095 - Informelle Konsultation Mai 15_f 77/ 84

78 10.4 Utilisation d'une eid avec attributs d'identité certifiés par l'état Une partie utilisatrice définit quel niveau de sécurité d'une eid est acceptable pour l'authentification et pour l'identification donnant accès à ses services à valeur ajoutée. La partie utilisatrice définit également le mode d'exploitation, l'utilisation de l'eid pour l'identification lors du premier enregistrement, l'utilisation de l'eid comme moyen d'authentification à chaque inscription ou, selon l'aménagement technologique de l'eid, l'utilisation de l'appareil porteur pour d'autres services de protection. Elle exploite un système IAM (système de gestion des identités et des accès) configuré pour admettre les eid autorisées et comprendre les fonctions de protection paramétrées. En règle générale, la partie utilisatrice conclut avec l'idp émetteur un accord contractuel pour l'usage d'une eid spécifique. L'accord dépend cependant du modèle d'entreprise de l'idp et n'est pas touché par ce concept; on peut également envisager des IdP utilisant des modèles de Licence Publique Générale. L'avantage principal pour la partie utilisatrice est l'uniformisation des interfaces techniques de toutes les eid reconnues publiquement: d'une part parce que les frais d'intégration qui lui incombent s'en trouvent réduits, d'autre part parce que le processus d'authentification est uniformisée pour la personne requérante. Enfin, cela signifie que toutes les eid reconnues publiquement fonctionnent de la même façon sur tous les portails. Il n'est donc même plus nécessaire de choisir sur le portail un bouton d'inscription correspondant à l'eid concernée Exemple d'utilisation L'exemple d'utilisation mentionné précédemment (cas 1 de la section 4.2.1) peut devenir encore plus concret grâce au présent concept (comparer également Figure 18): Heidi de Maienfeld est convaincue qu'une eid simplifie sa communication en ligne et commande donc à son fournisseur de services d'identité préféré (MyIdP) une eid pour son nouveau smartphone. Elle ouvre un compte chez MyIdP, choisit un nom d'utilisateur et communique ses données personnelles comprenant l'adresse de son domicile, ses moyens de paiement et son numéro de smartphone. Elle obtient ensuite l'accès à la boutique en ligne MyIdP et peut télécharger une application eid directement dans le compartiment sécurisé de son smartphone. MyIdP a préparé les mécanismes de sécurité requis avec le fabriquant du smartphone de sorte que le TEE du smartphone installe sans problème l'eid MyIdP. Heidi est ensuite priée de passer dans la zone sécurisée de son smartphone. Elle s'exécute en appuyant simplement sur l'icône en forme de bouclier. Elle ouvre l'application MyIdP-eID et lance le processus d'initialisation. Pour cela, elle applique successivement trois doigts contre le capteur d'empreinte digitale, puis saisit deux fois un code PIN à quatre caractères qu'elle a elle-même choisi. Son eid est alors initialisée. L'application de l'eid est à présent reliée automatiquement au serveur d'authentification du système IAM MyIdP, et installe la clé de sécurité pour établir une connexion sécurisée entre l'application eid du smartphone d'heidi et l'iam de MyIdP. Heidi est enregistrée auprès de MyIdP avec son smartphone comme porteuse de l'eid. Elle souhaite à présent recevoir les attributs d'identité confirmés pour son eid. MyIdP la renvoie vers le portail d'inscription du service d'enregistrement public local, où elle peut sélectionner une date de rendez-vous pour l'entretien personnel. Elle indique également le numéro de téléphone de son smartphone au cours de cette opération. Sur la même page, elle reçoit ensuite un message lui indiquant que le service d'enregistrement public va ouvrir pour elle un compte d'identité chez SIP et qu'elle doit apporter son smartphone associé au numéro de téléphone qu'elle a indiqué. Le jour du rendez-vous, Heidi s'annonce à la réception du bureau d'enregistrement et se rend directement dans la cabine pour apposer sa signature sur un support tactile et pour être prise en photo. Elle reçoit ensuite un SMS du SIP avec un OTP de test. Elle saisit l'otp sur le pavé numérique 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 78/ 84

79 prévu à cet effet et confirme ainsi l'exactitude du numéro indiqué antérieurement ainsi que son appartenance à son smartphone. Elle reçoit rapidement l'identifiant et le code PIN par lettre postale, ce qui lui permet de se connecter à son compte d'identité. Elle se connecte ensuite à son compte d'identité sur le portail Web du SIP avec le numéro de compte ID, s'authentifie avec le code PIN et reçoit ensuite sur son smartphone un SMS contenant l'otp qu'elle doit saisir comme second facteur d'authentification. Connectée à son compte d'identité, elle peut visualiser les attributs enregistrés et enregistrer l'eid- MyldP comme futur moyen d'authentification. À cet égard, elle est automatiquement connectée au portail MyldP et s'authentifie comme titulaire d'eid-myldp. Le serveur MyldP transmet en arrièreplan toutes les informations requises pour que l'eid-myldp de Heidi puisse être enregistrée et utilisée à l'avenir pour l'accès au compte d'identité. L'eID-MyldP devient ainsi le moyen d'authentification initial pour son compte d'identité. Heidi demande à présent des certifications publiques pour son nom, sa nationalité, sa date de naissance et les deux images (image du visage et image de la signature) qui doivent être envoyés à son MyldP. Elle reçoit alors un message sur l'affichage eid-myldp sur son smartphone avec un accusé de réception des attributs sélectionnés et un OTP, qu'elle saisit comme confirmation de commande dans le champ de réponse correspondant du client eid-myldp sur son smartphone. Le service de cachet des attributs d'identité du SIP établit un cachet de certification pour chaque attribut choisi et envoie ceux-ci avec l'identifiant de certification, qui a été envoyé préalablement par le MyldP avec les données pour l'enregistrement de l'eid, au MyldP. Le MyldP enregistre les données dans son IAM et est maintenant en mesure de délivrer des confirmations d'attributs pour les attributs certifiés d'heidi. Heidi se rend ensuite sur le site web de son opérateur de téléphonie et commande une carte SIM supplémentaire, car elle souhaite disposer d'un second numéro de téléphone. Elle enregistre son eid-myldp sur le compte chez son opérateur de téléphonie, ce qui lui permet immédiatement de s'identifier via le service de fédération de son MyldP. Le besoin pénible de se rappeler en permanence l'identifiant et le mot de passe n'est dorénavant plus nécessaire. Elle mandate encore son MyldP pour l'envoi des attributs certifiés publiquement nécessaires pour l'acquisition de la carte SIM, ce qui est réglé rapidement par le MyldP qui transmet le fichier de confirmation correspondant à l'opérateur de téléphonie. Pour des raisons de conformité, ce dernier demande une vérification de la confirmation du MyIdP et se connecte au service de validation du système IAM de MyldP. Celui-ci vérifie le certificat et valide la confirmation pour l'opérateur de téléphonie. Heidi reçoit ensuite la carte SIM par voie postale après la validation de la confirmation des attributs. L'ensemble du processus de préparation décrit jusqu'à la disponibilité opérationnelle de l'eid pour un accès récurrent à une PU est représenté sur la Figure 18 sous forme de cas d'application. Heidi de Maienfeld souhaite également ouvrir un nouveau compte bancaire. Pour effectuer cette opération, la banque est dans l'obligation légale de vérifier l'identité et la nationalité de ses nouveaux clients. À l'heure actuelle, tout nouveau client doit se rendre personnellement en agence et apporter ses documents d'identité au format original, dont des copies sont effectuées sur place. Il faut ensuite entre 1 et 7 jours pour que le client puisse utiliser son compte. Les attributs confirmés devraient simplifier et accélérer ce processus. Pour ouvrir un compte sur le navigateur de son smartphone, Heidi de Maienfeld s'identifie sur le portail en ligne de sa banque et remplit un formulaire en ligne avec les informations nécessaires à l'ouverture d'un compte. Le système IAM de la banque lui demande la confirmation certifiée publiquement des attributs d'identité civile signalés. Elle commande directement la confirmation demandée chez son MyldP depuis l'application, après s'être identifiée à l'aide de l'eid. Celui-ci envoie ensuite la confirmation à sa banque. L'établissement vérifie la véracité et l'authenticité de la confirmation, de la même façon que l'opérateur de téléphonie (comparer également Figure 19). 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 79/ 84

80 Référence 1. Acquisition d'une eid (Compte sur MyIdP, Initialisation eid) Personne App eid Authentification avec eid (fédérée via MyIdP) MyIdP Personne Vérification App eid 2. Enregistrement de l'eid sur le compte d'identité (choix des attributs pour certification) Authentification initiale (avec PIN+OTP) SIP Vérification Confirmation de transaction Personne App eid 3.Validation des attributs pour la PU (Confirmation d'attributs ) Authentification (fédérée via MyIdP) MyIdP Partie utilisatrice (PU) Figure 18 - Les trois étapes jusqu'à la disponibilité opérationnelle de l'eid compte est alors ouvert et des transactions peuvent immédiatement être effectuées. L'eID-MyldP est même acceptée par la banque comme moyen d'identification pour les services de banque en ligne sur ce compte. Elle doit uniquement effectuer un enregistrement de l'eid sur le serveur d'authentification, ce qui permet aussi de définir des clés et des justificatifs d'identité propres, car l'eid- MyldP prend en charge l'interopérabilité selon les spécifications FIDO. Le 1 Konzept eid v095 - Informelle Konsultation Mai 15_f 80/ 84