Clés de sécurité

FIDO est l’acronyme de Fast IDentity Online. Il s’agit de plusieurs normes et protocoles ouverts et libres de droits de l’Alliance FIDO pour une authentification plus sûre et plus conviviale sur Internet. Il existe plusieurs implémentations de FIDO, dont FIDO U2F (Universal Second Factor) et FIDO2, qui sont couramment utilisées dans les navigateurs web et les plateformes modernes. Les protocoles permettent une authentification à deux facteurs sans mot de passe et résistante au phishing, basée sur la cryptographie à clé publique.

Si vous souhaitez ou devez accéder à AGOV dans le cadre de votre activité professionnelle, mais que vous n’avez pas de smartphone, vous pouvez recourir à une clé de sécurité au lieu de passer par l’application AGOV Access. Cette règle s’applique également si votre smartphone ne prend pas en charge l’application AGOV Access (système d’exploitation inadéquat, appareil obsolète, dépourvu de dispositif de sécurité ou ayant fait l’objet de modifications non autorisées telles que le débridage).

Les clés de sécurité utilisées dans AGOV sont considérées comme une méthode d’authentification extrêmement sûre puisqu’elle requiert deux facteurs, à savoir une clé physique et un code PIN ou un processus de vérification biométrique. Nous recommandons à tous les utilisateurs de l’application AGOV Access d’ajouter une clé de sécurité à leur compte AGOV. Rendez-vous à cet effet sur le site . tVous pourrez ainsi accéder à AGOV même si vous perdez votre code de récupération ou votre smartphone, si celui-ci est défectueux ou si le changement d’appareil n’a pas été effectué correctement (il ne suffit pas de transférer les données de l’application. Veuillez consulter la marche à suivre sous Conseils pour les utilisateurs). Même si vous êtes en possession d’un code de récupération, les deux facteurs d’authentification supplémentaires sont utiles. En effet, en vous connectant seulement à l’aide de votre code de récupération, vous devrez répéter la procédure de vérification de l’identité dans AGOV.

AGOV impose des exigences strictes en matière de sécurité d’authentification - en particulier pour l’accès aux services en ligne des autorités nécessitant un niveau élevé de protection. Pour les connexions au niveau de confiance « élevé » (Level of Assurance 3, LOA3), des prescriptions obligatoires s’appliquent conformément à la directive TIC Si001 - Protection informatique de base dans l'administration fédérale

• Que signifie FIDO2 Niveau 2 (L2) et pourquoi est-ce une condition préalable ?
  Le niveau 2 de FIDO2 (L2) est un niveau de sécurité certifié qui impose des exigences supplémentaires en matière de protection des données d’authentification sensibles. Contrairement au niveau 1, les clés de sécurité conformes au niveau 2 doivent intégrer un élément de sécurité dédié (Secure Element). Celui-ci protège les données cryptographiques contre les attaques physiques et logicielles - même lorsque l’appareil terminal est compromis. Ce n’est que grâce à cette protection prouvée comme robuste qu’un authentificateur répond aux conditions d’utilisation dans le contexte de l’administration fédérale pour un niveau de confiance « élevé » (LOA3).
  
• Pourquoi une clé FIDO2 de niveau 1 ne suffit-elle pas ?
  Le niveau 1 de FIDO2 autorise également les authentificateurs purement logiciels ou les dispositifs ne disposant pas d’une protection matérielle spécifique. Ces derniers offrent une certaine protection de base, mais sans garantie de protection contre les attaques menées dans le même environnement système (par exemple sur un système d’exploitation compromis). Conformément aux directives TIC, AGOV exige explicitement une protection matérielle certifiée, telle que celle fournie par FIDO2 niveau 2 ou supérieur.
  
• Qu’en est-il des clés de sécurité open source sans certification ?
  Des clés de sécurité comme la Nitrokey 3A mini peuvent répondre techniquement à des standards de sécurité élevés. Toutefois, sans certification formelle, il manque la preuve obligatoire. Pour AGOV, la certification FIDO constitue une condition indispensable, car elle documente de manière transparente et uniforme la conformité aux exigences de sécurité. Non certifié ne signifie pas automatiquement non sécurisé - mais non certifié signifie : non évalué selon les critères obligatoires pour AGOV.
  

Zusammenfassung

oui, avec profil de protection renforcé

Critère	FIDO2 Niveau 1	FIDO2 Niveau 2 (exigé par AGOV)
Protection des données d’authentification	optionnelle / basée sur logiciel	Basée sur matériel (Secure Element)
Certification selon FIDO2	oui, niveau de base	oui, avec profil de protection renforcé
Autorisation dans AGOV	non	oui

Les Passkeys sont une méthode moderne et sécurisée de connexion sans mot de passe, reposant sur la conservation d’une clé cryptographique sur l’appareil.

Pour des raisons de sécurité et de conformité réglementaire, AGOV autorise uniquement les clés cryptographiques stockées localement dans une puce de sécurité* - par exemple sur une clé de sécurité FIDO2 ou directement sur l’appareil.

Les Passkeys synchronisées entre plusieurs appareils via des services cloud comme iCloud ou Google sont considérées comme moins fiables, car elles peuvent potentiellement être exportées. Afin de garantir à tout moment l’origine et l’intégrité des clés, AGOV accepte uniquement les clés liées à un matériel spécifique, qui ne peuvent être ni transférées, ni exportées, ni synchronisées. L’application AGOV access ainsi que l’application swiyu pour l’e-ID suisse répondent déjà entièrement à ces exigences.

Les utilisateurs finaux acquièrent eux-mêmes les clés de sécurité (FIDO2) dans le commerce électronique. Selon le fabricant et leurs caractéristiques (type de connexion, code PIN, biométrique), elles coûtent entre 20 et 120 francs.

Apple ne prend en charge les standards FIDO2/WebAuthn que dans la mesure où cela s’intègre à son propre écosystème.

En pratique, cela entraîne des incompatibilités ou des restrictions, en particulier avec du matériel ou des navigateurs tiers. Officiellement, Apple respecte les standards - mais pas avec la même ouverture ni profondeur que Microsoft ou Linux.

Recommandations pour l’usage quotidien, y compris AGOV :
Pour vous connecter à agov.ch avec une clé de sécurité FIDO2 sur un ordinateur macOS, nous vous recommandons d'utiliser Google Chrome (ou Microsoft Edge) sur votre Mac. Ces navigateurs sont les plus fiables pour supporter la technologie FIDO2/WebAuthn - en particulier en combinaison avec les clés de sécurité USB ou Touch ID. Firefox n'est pas recommandé car l'utilisation de FIDO2 sur macOS peut entraîner des restrictions ou des dysfonctionnements. Safari offre également un support limité.

Il est donc préférable d'utiliser Chrome pour l'enregistrement et la connexion avec FIDO2 sur agov.ch.

Toutes les clés de sécurité FIDO2 qui répondent aux critères de filtre suivants sont compatibles avec AGOV:

• Protocol = fido2
  
• Certification = FIDO_CERTIFIED_L2
  
• Key Protection = hardware
  

La liste suivante est disponible uniquement en anglais et les critères de filtre mentionnés ci-dessus doivent être définis par vous-même.

➪ FIDO MDS Explorer (opotonniee.github.io)

Avertissement:
Les clés de sécurité FIDO2 répertoriées devraient être compatibles avec AGOV mais n'ont pas été testées. Le bon fonctionnement des clés de sécurité compatibles FIDO2 non testées ne peut pas être garanti.