Main Page Navigation Content Contact Sitemap Search

Transformation du processus en vue de la suppression des jetons Vasco dans le CH-LOGIN

Sur cette page, les possibilités de réaménagement du processus RIO (distribution de jetons Vasco dans le domaine de la sécurité sociale de l'administration fédérale) sont présentées. Les réflexions sont transposables à d'autres unités administratives, même si les jetons Vasco sont envoyés par la poste (dans ce cas, les versions V2 et V3 conviennent). Le niveau de qualité d’authentification AGOVaq300 mentionné correspond au QoA50 d’eIAM, c’est-à-dire à une identité électronique substantiellement vérifiée au sens de LOA3 selon eCH-0170.

Veuillez noter que, bien que les variantes mentionnées ci-dessous s'appliquent généralement à la suppression des jetons Vasco à l'échelle de la Confédération (c'est-à-dire CH-LOGIN et A3), seul CH-LOGIN (et uniquement les nouveaux utilisateurs Vasco) est actuellement concerné par cette modification. Les applications fournies par A3 ne sont pour l'instant pas concernées. A3 devrait être désactivé en 2027. Les utilisateurs (nouveaux et existants) qui utilisent CH-LOGIN SANS Vasco, c'est-à-dire avec un nom d'utilisateur, un mot de passe et un SMS-mTAN (ou un authentificateur Google/Microsoft), ne subiront aucun changement technique (mais seulement un léger changement de design visuel) et pourront continuer à travailler normalement avec CH-LOGIN pour le moment (ou passer volontairement à AGOV).

Description des variantes pour l'abolition des jetons Vasco à l'échelle nationale.
Variantes concernant l'abolition des jetons Vasco au niveau fédéral.


Pour accéder à des données nécessitant une protection accrue ou pour des raisons liées aux processus métier, il est nécessaire que l’authentification de l’utilisateur réponde à trois critères de qualité :
  1. L’utilisateur utilise des facteurs d’authentification renforcés par cryptographie, appelés aussi credentials.
  2. L’identité réelle de l’utilisateur est vérifiée de manière substantielle, sur la base d’un document d’identité officiel avec photo et du visage de l’utilisateur.
  3. Il faut que le lien entre cette vérification substantielle de l’identité et le facteur de connexion cryptographiquement sécurisé soit fiable, c’est-à-dire que le facteur de connexion ait été intégré au processus de vérification d’identité.
Au sein de l’administration fédérale, il existe différents procédés de connexion avec des facteurs d’authentification variés, qui permettent d’atteindre ce niveau de qualité.
Ce niveau de qualité porte différentes appellations : « élevé » dans la spécification IKT Si001, QoA50 dans l’échelle de qualité eIAM, AGOVaq300 dans l’échelle AGOV et correspond approximativement au niveau 3 de la Level of Assurance (LoA3) du standard eCH-170.

Les procédés de connexion de l’administration fédérale pouvant atteindre le niveau LoA3 sont :

  1. FED-LOGIN pour les collaborateurs et affiliés,
  2. AGOV pour les non-collaborateurs (en remplacement de CH-LOGIN),
  3. et les connexions via le serveur dit « A3 ».
Les credentials utilisés dans ce contexte pour le niveau LoA3 sont la carte à puce (réservée aux collaborateurs et affiliés proches), les applications d’accès basées sur FIDO, les clés de sécurité physiques FIDO et, pour l’instant encore, les jetons Vasco.

Les jetons Vasco – aussi appelés One Time Passwords (OTP) – vont prochainement être abandonnés dans l’administration fédérale, tout comme le serveur A3.

Il est expliqué comment fonctionnent les procédures de vérification d'identité associées aux jetons Vasco - également appelées clarification d'identité - et comment elles peuvent être transférées vers d'autres procédures de vérification d'identité sans recours aux jetons Vasco.

Les jetons Vasco sont de petits dispositifs alimentés par pile, de la taille d’un briquet, affichant régulièrement un nouveau code à l’écran. Ce code est un mot de passe à usage unique (OTP), utilisé comme facteur de connexion.

Le processus de vérification d’identité autour des jetons Vasco repose sur la remise physique du jeton à une personne, dont l’identité est vérifiée par un contrôle de pièce d’identité officielle avec photo et une comparaison visuelle. Ce processus peut également être délégué à la Poste suisse.

Les jetons Vasco appartiennent au propriétaire de l’application, en l’occurrence l’administration fédérale, et sont remis à l’utilisateur final pour usage. Lorsque les jetons Vasco seront supprimés, ce processus de remise et de contrôle ne sera plus possible, car les utilisateurs devront désormais utiliser leurs propres facteurs de connexion, qu’il s’agisse de clés FIDO ou de téléphones mobiles avec une application d’accès - à ne pas confondre avec les applications d’authentification comme celles de Google ou Microsoft - ou encore de téléphones équipés de l’e-ID suisse.

Résumons le processus de vérification d’identité basé sur les jetons Vasco, qui est appelé à être supprimé. Dans cet exemple, nous partons d’un traitement physique sur place, également connu sous le nom de processus RIO. RIO signifie Registration Identification Officer).

L’utilisateur final se rend auprès d’un Registration Identification Officer, qui vérifie sa pièce d’identité avec photo, compare son visage, enregistre ses données, remet un jeton Vasco lié à un compte de connexion, et attribue les autorisations nécessaires. Des variantes existent, comme la délégation du processus à la Poste suisse, qui donne les mêmes résultats.

Les nouveaux processus d’identification sans jeton Vasco sont les suivants :


Variante 1 : « RIO classique »
Le processus le plus proche du processus RIO traditionnel basé sur Vasco est le même traitement sur place avec vérification de l'identité.

Cas de figure a) : l'utilisateur final à vérifier n'a pas encore de compte AGOV. Dans ce cas, il en ouvre un directement auprès du RIO. Dans l'idéal, le RIO fournit un jeton FIDO pour que l'utilisateur final ne doive pas en apporter un ou utiliser son téléphone portable comme jeton (l'utilisateur final peut par la suite toujours enregistrer son téléphone portable comme jeton supplémentaire dans AGOV). Le compte AGOV ainsi créé n'est pas encore vérifié. Le RIO vérifie donc ensuite les documents d'identité de l'utilisateur final, les scanne et les télécharge dans l'application RIO « AGOV counter ». Le compte AGOV correspondant est maintenant vérifié, c'est-à-dire clarifié de manière substantielle, désigné comme AGOVaq300 ou eIAM QoA50 ou eCH0170 LOA3 et le RIO peut, comme auparavant, attribuer les autorisations d'application (en dehors d'AGOV).

Cas de figure b) : L'utilisateur final dispose déjà d'un compte AGOV. C'est pourquoi le processus RIO est déclenché dans AGOV (ce qu'on appelle la vérification de l'identité au guichet) et les activités RIO se poursuivent comme dans le cas de figure a).

Il est important de noter qu'il n'y a pas de contrainte de smartphone, car il existe une alternative de smartphone, à savoir les « clés de sécurité physiques FIDO », qui sont soit obtenues par l'utilisateur final lui-même, soit émises par l'agent d'identification d'enregistrement. Alors qu'un jeton Vasco coûte 60 francs par an à l'office spécialisé, une clé FIDO coûte une seule fois une somme à deux chiffres, petite ou moyenne, voir à ce sujet .


Variante 2 : « RIO Federal Proof »
Si la visite RIO doit être virtualisée, l'utilisateur final et le Registration Identification Officer peuvent se rencontrer lors d'un appel vidéo et l'utilisateur final prouve son identité au Registration Identification Officer via l'outil en ligne Federal Proof et obtient l'activation des droits nécessaires. La procédure est documentée en détail sur .


Variante 3 : « Demande d’accès »
Dans cette variante, l'utilisateur doit toujours se présenter avec une identité AGOV vérifiée (LOA 3 alias AGOVaq300) (si ce n'est pas encore le cas, AGOV guide l'utilisateur directement à travers le Step-Up (identification vidéo)). Sur la base de cette identité AGOV vérifiée, l'utilisateur déclenche une demande d'accès dans eIAM.

Dans cette variante « demande d'accès », on se fie aux données d'identité d'AGOV, c'est-à-dire qu'il doit exister une identité AGOV clarifiée de manière substantielle au moins au niveau AGOVaq300 - ce qui doit être imposé par l'application cible. Bien entendu, en plus de l'identification vidéo et de la BmID de la Poste suisse, l'e-ID suisse via AGOV peut également être utilisée à cette fin. Lors du premier accès à l'application cible, l'utilisateur final voit un formulaire de demande en ligne qui est transmis, avec les données d'identité vérifiées, à la personne qui délivre les autorisations - par exemple le Registration Identification Officer. Une copie de la pièce d'identité n'est pas transmise à cette occasion, la copie de la pièce d'identité ayant été préalablement déposée auprès de la Chancellerie Fédérale par AGOVaq300 et pouvant y être délivrée sur ordre d'un ministère public suisse. Lors de l'utilisation de l'e-ID via AGOV, il n'y a pas de référence à une copie de la pièce d'identité auprès de la Chancellerie Fédérale, mais une référence aux enregistrements de la pièce d'identité auprès de Fedpol.


Variante 4 : « Invitation »
Cette variante fonctionne comme la troisième, mais l’utilisateur reçoit un lien d’invitation par e-mail avec un code d’onboarding. Ce code ne peut être activé qu’avec une identité AGOV vérifiée (AGOVaq300 ou supérieure), ce qui permet de savoir précisément qui l’a utilisé. Ce processus permet de préautoriser un utilisateur cible. Lors de l'utilisation du code, le système vérifie que l'utilisateur est bien en possession de l'adresse e-mail et qu'il n'a pas reçu le code de quelqu'un d'autre.

Pour les institutions souhaitant rester au plus proche de leur processus actuel basé sur Vasco et RIO, les variantes 1 (« RIO classique ») et 2 (« RIO Federal Proof ») sont les plus adaptées.