FAQ de l'offre : Moyens d'identification électroniques

Pour gérer vos différents environnement d'intégration, il est possible d'enregistrer sur l'environnement bac à sable plusieurs URLs de redirection différentes

• des URLs de redirection incluant un wildcard à la fin, du type : https://nom-de-domaine.fr/redirection-uri/*
• des URLs en localhost
• des URLs en HTTP

En revanche, nous n'enregistrons qu'une seule URL de redirection pour l'environnement de production (en HTTPS et sans wildcard).

Si vous avez plusieurs sites clients à raccorder sur votre service, vous pouvez utiliser le paramètre state (champ libre échangé entre le FS et PSC) pour stocker des informations sur le site client initiant l'authentification, afin que votre serveur central puisse rediriger l'utilisateur authentifié vers son site d'origine.
 

Pro Santé Connect a implémenté la section sur la déconnexion en cours de spécification dans la norme OpenID Connect : https://openid.net/specs/openid-connect-session-1_0.html#RPLogout

Vous pouvez réaliser une déconnexion fonctionnelle en suivant les recommandations standards d'OpenID et notre documentation technique.

 

Pro Santé Connect gère plusieurs types de données "périssables" lors du déroulé d'une authentification par OpenID Connect. Chacune de ces données possède une durée de vie qui lui est propre, au delà de laquelle elle doit être régénérée. 

Le détail de ces durées de vie est fourni dans la Documentation Technique.

Des exemples de jetons sont publiés ici : Exemples de jetons.

Les moyens d'identification électronique de niveau substantiel eIDAS qui peuvent être utilisés pour identifier un usager sont ceux certifiés en France et/ou notifiés au niveau Européen.
En France, l'ANSSI publie la liste des moyens d'identification électronique de niveau substantiel eIDAS sur son site :  Produits et Services Qualifiés par l'ANSSI

Les autres moyens européens d'identification électronique de niveau substantiel notifiés sont listés sur : Overview of pre-notified and notified eID schemes under eIDAS - eID User Community -

Les moyens d'identification électronique français sont utilisables à travers FranceConnect, après contractualisation avec au moins un fournisseur d'identité électronique de niveau substantiel eIDAS et inscription auprès de la DINUM (voir FranceConnect - Devenez partenaires).

Oui, une application mobile sera mise à disposition (date de disponibilité indéterminée) des personnes disposant de cette nouvelle carte pour s'identifier en ligne avec FranceConnect.

L’identification électronique des automates ou appareils médicaux connectés (analyses, imagerie…) est considérée hors périmètre du fait des contraintes spécifiques de ces matériels.

Chaque entité est responsable de la réalisation de l'analyse de risques nécessaire au choix et à la spécification des modalités d'identification électronique sur ses services numériques. L'analyse de risque menée dans le cadre d'une AIPD peut se révéler insuffisante si elle ne prend pas en compte les exigences du référentiel d'identification électronique et/ou d'autres problématiques telles que la disponibilité des accès ou l'ergonomie pour les utilisateurs.

Les groupements hospitaliers de territoires (GHT) sont amenés à interconnecter leurs systèmes d'information.
Dans ce contexte, le référentiel d'identification électronique considère le GHT comme une seule entité :
- Dans le volet Acteurs de santé personne physique, l'accès d'un professionnel d'un GHT est considéré comme local dès lors qu'il est réalisé depuis le système d'information de l'un des établissements du GHT ;
- Dans le volet Acteurs de santé personne morale, un service numérique ouvert uniquement à des applications ou serveurs sous la responsabilité d’autres établissements du même GHT n’est pas considéré comme un service partagé.

La transmission d'un code OTP par SMS présente plusieurs vulnérabilités :
- interception des SMS sur le réseau téléphonique ;
- interception ou copie du SMS par une application malveillante sur le téléphone du destinataire ;
- transfert de la carte SIM destinatrice par un attaquant ("SIM swapping").
Ainsi l'OTP SMS ne constitue pas un facteur d'authentification sûr. Même associé à un mot de passe, il ne permet pas d'obtenir un moyen d'authentification fiable, et c'est pourquoi il a été abandonné dans le domaine bancaire pour les opérations sensibles.
Un argumentaire relatif aux facteurs d'authentification, et détaillant ce point, est mis à disposition par l'ANSSI : https://www.ssi.gouv.fr/guide/recommandations-relatives-a-lauthentifica…