Publié le 8 août 2025

Portefeuille swiyu : sécurité et liberté de choix pour les utilisateurs Android

Le portefeuille swiyu est un élément central de l’infrastructure de confiance. Il permet de demander, de conserver et de présenter l’e-ID au moyen d’un smartphone. Afin de garantir la sécurité de la procédure d’émission et la conservation sécurisée de l’e-ID, non seulement le portefeuille doit être sécurisé, mais également le système d’exploitation et le matériel du smartphone sur lequel est installé le portefeuille swiyu. Parallèlement, les utilisateurs doivent pouvoir bénéficier de la plus grande liberté possible (choix de l’appareil, du système d’exploitation et du canal de distribution des applications). En outre, en tant qu’exploitant de l’infrastructure de confiance, la Confédération souhaite rester aussi indépendante que possible afin de préserver, voire renforcer, sa souveraineté numérique. Ces exigences soulèvent les questions suivantes :

  • Sur quels smartphones le portefeuille swiyu peut-il être installé ?
  • Quels systèmes d’exploitation permettent d’utiliser le portefeuille swiyu ?
  • Par quels canaux de distribution (boutiques d’applications) le portefeuille swiyu peut-il être obtenu ?
  • Le portefeuille swiyu utilisé est-il bien celui qui a été publié par la Confédération ?

En Suisse, seules les applications disponibles dans l’App Store pour le système d’exploitation correspondant (iOS) peuvent être installées sur les smartphones Apple (iPhones).

Les smartphones Android offrent une plus grande liberté : il existe différents fabricants d’appareils, différentes versions du système d’exploitation Android et, en plus de l’App Store « Play Store » utilisé par Google, il existe d’autres mécanismes pour obtenir une application. À l’origine, il était prévu de proposer le portefeuille swiyu uniquement via le Google Play Store et d’utiliser le service « Play Integrity » fourni par Google. Play Integrity est un service qui garantit, entre autres, que l’application est bien la version originale issue du Play Store. Ce mécanisme est toutefois critiqué sous différents angles :

  • Protection des données : l’utilisation du service peut entraîner la collecte de données supplémentaires ;
  • Souveraineté numérique : la Confédération est dépendante du service correspondant ;
  • Liberté de choix : le portefeuille ne peut pas être installé sur les systèmes d’exploitation ou par les utilisateurs qui n’utilisent pas les services Google Play.

Des analyses approfondies ont montré que les mesures suivantes permettent de garantir que le portefeuille swiyu fonctionne sur un appareil Android fiable sans utiliser « Play Integrity » :

  • Afin d’empêcher toute modification du système d’exploitation, le bootloader doit être verrouillé et son statut doit être soit vérifié, soit signé avec une empreinte digitale fiable (auto-signée) ;
  • Afin de garantir que le système d’exploitation est considéré comme sûr et fiable, la version du système et son niveau de correctifs (patch-level) doivent répondre aux exigences de sécurité minimales ;
  • La vérification de la clé matérielle doit être valide (les clés d’attestation et les clés racines ne doivent pas avoir été révoquées). Cela garantit que les propriétés de l’appareil (état du bootloader, version du système d’exploitation, etc.) ont été confirmées par un composant matériel considéré comme sûr. Le même mécanisme est utilisé pour s’assurer que l’e-ID est liée à une clé matérielle ;
  • La signature du fichier APK (Android package kit) utilisé correspond à la version fournie par la Confédération. Cela garantit que le logiciel utilisé est bien fourni par la Confédération et n’a pas été modifié.

Afin de permettre le téléchargement de l’application sans passer par le Play Store, le portefeuille swiyu est également mis à disposition des utilisateurs Android sous forme de fichier APK sur un canal de distribution alternatif, en plus du Google Play Store.

De plus amples informations à ce sujet seront publiées sur GitHub. L’objectif est de mettre en œuvre l’approche décrite avant le lancement de l’e-ID productive en version Public Beta, afin de disposer de suffisamment de temps pour tester et valider cette approche. Toute discussion complémentaire est la bienvenue sur GitHub : https://github.com/swiyu-admin-ch.