Les premiers succès du groupe de travail sur les déploiements gouvernementaux de l’Alliance FIDO ont été présentés au Authenticate Virtual Summit, y compris les déploiements dans sept pays différents.
Sous-titré « L’impératif d’une authentification forte pour les services gouvernementaux », l’événement a examiné les progrès réalisés pour intégrer l’authentification FIDO aux programmes d’identification numérique du gouvernement.
Michael Magrath de OneSpan et Karen Chang d’Egis Technology, coprésidents du groupe de travail de l’Alliance sur les déploiements gouvernementaux, ont examiné les déploiements FIDO à grande échelle parmi les gouvernements nord-américains, européens et asiatiques.
Le Service numérique canadien a déployé une paire de clés de sécurité matérielles pour empêcher l’accès non autorisé à tous les employés, pour sécuriser l’accès tout en fournissant une sauvegarde. Le CZNIC de la République tchèque, le registre DNS qui exploite également le fournisseur national d’identité numérique, le mojeID accrédité eIDAS, a enregistré 800 000 personnes pour une connexion facile basée sur FIDO2 aux services gouvernementaux. Le système est entré en pleine production en septembre.
La Suède a déployé un système d’identité numérique fédéré pour son système éducatif avec prise en charge de l’authentification via le protocole Universal Second Factor de FIDO. L’application UK National Health Services Login basée sur OpenID connect prend également en charge l’authentification FIDO. L’utilisation de mots de passe avec des mots de passe à usage unique (OTP) basés sur SMS a créé des obstacles à l’utilisation, a découvert NHS Digital, ce qui a incité à l’adoption de la biométrie pour les connexions via FIDO UAF. Le service américain Login.gov prend également en charge FIDO.
Le gouvernement coréen a atteint 14 millions d’utilisateurs avec un système qui permet l’authentification FIDO via la biométrie des empreintes digitales. En Thaïlande, le gouvernement fournit un site de référence pour aider les organisations à mettre en place une authentification multifacteur avec la technologie FIDO.
Plongée en profondeur de la politique
Un examen des changements récents dans la façon dont les gouvernements du monde entier effectuent l’authentification numérique à distance a été mené par Jeremy Grant de Venable LLP.
Grant a noté que l’authentification gouvernementale met davantage l’accent sur les normes de confidentialité et d’interopérabilité. Cela s’étend aux gouvernements qui ont récemment apporté des modifications réglementaires pour s’adapter à l’authentification de type FIDO.
Lorsqu’il a quitté son poste précédent au sein du groupe des identités de confiance du NIST en 2015, Grant a déclaré que l’authentification FIDO était à peine connue dans les cercles gouvernementaux. À l’époque, l’ICP et les mots de passe à usage unique étaient la méthode courante, mais FIDO devient largement préféré, dit-il, en se référant aux directives du NIST (en particulier SP 800-63-3) et de la NSA. Pour le niveau d’assurance d’identité 800-63 (IAL2), le NIST envisage d’exiger une résistance au phishing, note Grant. Le projet de stratégie d’OMB pour l’architecture de confiance zéro requiert également spécifiquement une MFA résistante au phishing, faisant référence à WebAuthn.
Les développements de l’authentification gouvernementale et de l’identification numérique en Amérique sont représentatifs, selon Grant, des tendances à travers le monde.
Concevoir des portefeuilles numériques de confiance
Les efforts du Canada pour créer des portefeuilles d’identification numérique équitables ont été présentés par Joni Brennan, présidente du Conseil canadien de l’identification et de l’authentification numériques (DIACC).
Les meilleures pratiques pour la conception de portefeuilles numériques sont encore en grande partie des choses que les gouvernements devraient faire, souligne Brennan, plutôt que des exigences pour répondre à une norme.
La vision qu’elle a présentée, tirée du cadre de confiance pancanadien, est basée sur le contrôle des utilisateurs et la protection de la vie privée. Le DIACC procède actuellement à un test alpha du cadre et prévoit d’introduire bientôt ses premières révisions, alors que l’organisation se dirige vers l’opérationnalisation du PCTF.
Le programme Voila Verify est le programme d’audit de la sécurité de l’information du DIACC, dans le cadre duquel les auditeurs utiliseront le PCTF comme base pour les évaluations. Le programme sera lancé début 2022.
Toute l’actualité en temps réel, est sur L’Entrepreneur
