Quand on utilise un service en ligne, courrier electronique, réseau social, on doit prouver qui l’on est, mot de passe, etc.
Les principes de l'authentification
Proxies, antivirus, pare-feux firewalls… Renforcer le mécanisme de l’authentification : preuve de vérification d’identité.
identification
-identification :communiquer son identité pour se différencier des autres, nom, prenom, adresse email… Décliner son identité
authentification
-authentification : vérifier l’identité en fournissant des preuves : présenter la carte d’identité… Ou en ligne, le mot de passe : on est la seule personne à connaître le mot de passe. Prouver son identité.
On s’identifie lors d'une première phase, puis ensuite on s’authentifie lors d'une seconde phase.
Introduction
Avec la multiplication des services en ligne (messagerie, sites marchands, hébergement applications web, ou de documents, réseaux sociaux, etc.), nous devons aujourd’hui gérer de nombreux mots de passe. En obtenant le mot de passe d’une personne, l’attaquant prend possession du moyen d’accéder à des services et informations utiles. Un véritable sésame pour une personne malveillante !
OBJECTIF DE L'AUTHENTIFICATION
Pour commencer cette unité, revoyons ensemble quelques principes préalables.
Lorsque vous vous connectez sur un service, il vous est demandé de vous authentifier. Pour cela on vous demande généralement de communiquer un nom d'utilisateur (identité) et un mot de passe.
L’authentification est une étape de contrôle indispensable puisqu’elle vise à vérifier l’identité communiquée par un utilisateur lors de sa connexion sur un service.
Le principe d'authentification est une brique essentielle pour permettre la mise en place des mécanismes de sécurité des services en ligne.
C'est le cas notamment du contrôle des accès, qui permet de gérer les autorisations pour accéder à vos données en s'appuyant sur l'identité authentifiée.
Pour accéder à vos données, deux principes différents sont ainsi mis en œuvre : le principe d'authentification et le principe d'autorisation.
Par exemple, lorsque vous avez saisi votre identifiant et votre mot de passe sur votre service de messagerie en ligne (principe d'authentification), vous pouvez consulter vos propres messages mais pas ceux reçus par d'autres utilisateurs (principe d'autorisation).
Et inversement, ces autres utilisateurs ne peuvent pas consulter vos messages.
OBJECTIFS
Le principe d'authentification est également utilisé pour assurer l'imputabilité (c’est-à-dire pour apporter la preuve de qui a fait quoi) et la traçabilité des actions (c’est-à-dire conserver l'historique des actions).
Ainsi, lorsque vous télé-déclarez vos impôts en ligne par exemple, l'imputabilité permet de faire le lien entre votre déclaration et votre identité authentifiée. La traçabilité, quant à elle, permet de connaître l'heure à laquelle vous avez soumis votre déclaration d'impôts.
Exemple : M. Martin Dupont, Numéro de lot, Numéro fiscal, Date de dépôt, 17 mai 2015, 17:52:33
Imputabilité
Relier de manière certaine une action à son auteur. On parle aussi de non répudiation, c'est à dire qu'un auteur ne peut pas nier avoir fait telle action. On prouve ainsi que l'auteur a réalisé les faits.
Traçabilité
Conserver l'historique d'une action.
Au-delà du contrôle d’accès, le principe d’authentification permet d’assurer plusieurs contrôles comme l'imputabilité (apporter la preuve de qui a fait quoi) et la traçabilité des actions (conserver l'historique des actions).
FACTEURS D'AUTHENTIFICATION
OBJECTIFS CONNAISSANCE POSSESSION APPARTENANCE
L'authentification consiste à apporter la preuve de son identité mais il existe plusieurs façons de la prouver. Celles-ci se répartissent en plusieurs catégories : on parle de facteurs d'authentification.
Les différents facteurs sont la connaissance, la possession ou encore les caractéristiques biométriques.
Les facteurs de connaissance sont aujourd’hui la catégorie la plus répandue. Cette catégorie regroupe les preuves correspondant à « ce que je connais ».
Ces preuves peuvent être par exemple :
- Un mot de passe ;
- Un code PIN de carte à puce (ex : un code de carte bancaire) ;
- La réponse à une question secrète et connue de vous seul(e) ;
- Un schéma de déverrouillage (ex : déverrouillage des smartphones) ;
Soyez vigilant lorsque vous définissez des mots de passe.
Vous devez faire attention à définir des mots de passe complexes (dont on parlera dans l’unité 3 de ce module), et à vous assurer que les réponses à vos questions secrètes ne sont pas trivialement retrouvables.
En effet, si vous choisissez comme question secrète « Quel est le nom de jeune-fille de ma mère ? » la réponse peut être très facile à trouver par un attaquant, le risque de découverte de votre mot de passe sera donc plus grand.
La deuxième catégorie regroupe les facteurs de possession, c’est-à-dire les preuves qui correspondent à « ce que je possède ». Dans nos activités professionnelles, il peut s’agir de :
- Un téléphone portable pas cher sans abonnement permet d'envoyer un code à usage unique envoyé en wifi ; Ou par sms aussi
- Une carte à puce (ex : carte bancaire, passeport électronique, carte vitale) ;
- Un badge, une clé USB de sécurité ; - Un générateur de mot de passe à usage unique (ex : certaines banques fournissent un boîtier pour valider des opérations bancaires comme
les virements) ;
- etc.
Enfin, la troisième catégorie regroupe les preuves qui correspondent à « ce que je suis ».
Il s’agit d’éléments biométriques (ou inhérents) tels que :
- Une empreinte digitale ;
- Une empreinte rétinienne ;
- La structure de la main ;
- La structure du visage ;
- La voix;
- etc.
L'avantage de cette méthode est que l'utilisateur a toujours sur lui ses "codes d'authentification" et
ne peut pas les perdre ou les oublier.
Cependant, à l’inverse d’un facteur de connaissance ou de possession, les éléments biométriques sont fixes, ce qui peut poser des problèmes vis à vis de la vie privée.
CONNAISSANCE POSSESSION APPARTENANCE
Cet article reflète exclusivement l'opinion de ses auteurs et n’engage en aucune façon Consultingit
Voilà, j'espère que ça vous a plu. Vos commentaires/remarques sont les bienvenus
ou contactez-nous?