Authentification

L'authentification est la procédure visant à déterminer si une personne ou une chose est effectivement la personne ou la chose qu'elle est censée être.

Logiquement, l'authentification précède l'autorisation, même si les deux semblent souvent liées. Généralement utilisés l'un pour l'autre, les deux termes décrivent pourtant des processus distincts.

Le processus d'authentification compare les informations d'identification fournies à celles des utilisateurs autorisés, enregistrées dans une base de données stockée sur le système d'exploitation local ou dans un serveur d'authentification. Si les informations sont identiques, le processus aboutit et l'utilisateur se voit autoriser l'accès. Les autorisations et les dossiers renvoyés déterminent l'environnement visible et les interactions possibles pour cet utilisateur, y compris ses horaires d'accès et le volume d'espace de stockage alloué.

Les deux processus (l'octroi de droits par l'administrateur et la validation des autorisations du compte utilisateur pour accéder aux ressources) sont désignés sous le terme d'autorisation. Les privilèges et préférences attribués au compte autorisé dépendent des autorisations de l'utilisateur stockées localement ou sur un serveur d'authentification. L'administrateur définit les paramètres pour toutes les variables d'environnement.

L'authentification de l'utilisateur a lieu dans la plupart des interactions homme-machine, à l'exception de celles liées aux comptes invités, aux comptes à connexion automatique et aux bornes interactives. Généralement, un utilisateur saisit ou choisit un identifiant et fournit son mot de passe pour accéder au système. L'authentification de l'utilisateur autorise les interactions homme-machine dans les systèmes d'exploitation et les applications, mais aussi sur les réseaux câblés et sans fil, pour permettre l'accès aux systèmes, applications et ressources du réseau ou connectés à Internet.

Les machines doivent elles aussi autoriser leurs actions automatisées au sein d'un réseau. Les services de sauvegarde en ligne, les systèmes de mise à jour et d'application de correctifs et les systèmes de surveillance à distance, par exemple en télémédecine et dans les technologies de réseau intelligent, recourent tous à l'authentification sécurisée : pour toute interaction, ils vérifient qu'il s'agit du système autorisé et non d'un pirate.

L'authentification de la machine s'apparente à celle des utilisateurs avec identifiant et mot de passe, à la différence que les informations d'identification sont envoyées par la machine en question. Celle-ci peut également recourir à des certificats numériques émis et validés par une autorité de certification (CA, Certificate Authority) dans le cadre d'une infrastructure à clé publique, afin de valider son identité lors des échanges d'informations sur Internet. Cela s'apparente en quelque sorte à un mot de passe numérique.

Avec l'essor du nombre d'appareils connectés, la fiabilité de l'authentification des machines devient essentielle à la sécurité des communications dans les environnements domotiques et en réseau. Dans le scénario de l'Internet des objets qui devient aujourd'hui une réalité, presque tout objet ou toute entité imaginable est adressable et peut échanger des données sur un réseau. Il est important de comprendre que chaque point d'accès constitue une porte d'entrée possible. Les appareils en réseau ont tous besoin d'une forte authentification de la machine. De plus, même si leur activité est habituellement restreinte, il convient d'en limiter les droits d'accès, de façon à réduire au minimum les interactions possibles en cas de piratage.

Dans les réseaux informatiques privés et publics, notamment Internet, l'authentification implique couramment l'utilisation d'un identifiant de connexion (nom d'utilisateur) et d'un mot de passe. L'utilisateur qui connaît les informations de connexion est réputé authentique. Chaque utilisateur commence par s'inscrire (ou est inscrit par une autre personne, comme un administrateur système) avec un mot de passe attribué ou choisi. A chaque utilisation suivante, l'utilisateur doit fournir le mot de passe précédemment déclaré. Toutefois, la sécurité que fournit l'authentification par mot de passe est jugée trop faible pour les systèmes renfermant des données sensibles.

Les noms d'utilisateurs combinent souvent l'initiale du prénom et le nom de la personne, ce qui les rend faciles à deviner. En l'absence de contraintes, les utilisateurs créent souvent des mots de passe faibles. Cependant, même s'ils sont forts, les risques de vol, de divulgation accidentelle ou d'oubli existent. C'est pourquoi les sites marchands et de nombreuses transactions exigent un processus d'authentification plus strict.

On peut dans une certaine mesure compenser les faiblesses de l'authentification par mot de passe en forçant le choix de noms d'utilisateurs et de mots de passe plus intelligents avec des règles de longueur et de complexité, imposant par exemple l'utilisation de lettres capitales et de symboles. Quoi qu'il en soit, les authentifications par mot de passe et par connaissances (KBA, Knowledge-Based Authentication) s'avèrent plus vulnérables que les systèmes qui s'appuient sur plusieurs méthodes indépendantes.

Un facteur d'authentification est une catégorie de données d'authentification qui sert à vérifier l'identité. On dénombre trois grandes catégories : quelque chose que l'utilisateur connaît (facteur mémoriel), quelque chose qu'il possède (facteur matériel) et quelque chose qui est propre à sa personne (facteur corporel).

• Facteurs mémoriels : cette catégorie de données d'authentification se compose des informations que l'utilisateur connaît, par exemple un code confidentiel, un nom d'utilisateur, un mot de passe ou la réponse à une question secrète.
• Facteurs matériels : cette catégorie s'appuie sur des objets que l'utilisateur possède. Il s'agit généralement d'un dispositif matériel, comme un jeton de sécurité ou un téléphone mobile utilisé conjointement à un jeton logiciel.
• Facteurs corporels : cette catégorie d'informations d'authentification d'un utilisateur est formée des éléments constitutifs de la personne en question sous forme de données biométriques.

Le lieu où se trouvent l'utilisateur et l'heure en cours sont parfois considérés comme les quatrième et cinquième facteurs de l'authentification. L'omniprésence des smartphones facilite l'authentification multifacteur des utilisateurs. Dotés pour la plupart d'un GPS, les smartphones permettent en effet de confirmer le lieu de la connexion avec une fiabilité acceptable. Des mesures de sécurité moindres s'appuient sur la validation de l'adresse MAC comme origine de la connexion ou sur des vérifications de présence physique à l'aide de cartes ou d'autres facteurs matériels.

D'usage courant, l'expression authentification forte n'a pas véritablement de définition normalisée. Généralement, toute méthode qui vérifie l'identité d'un utilisateur ou d'un appareil est assez stricte pour assurer la sécurité du système qu'elle protège peut être considérée comme une authentification forte.

Le concept d'authentification forte désigne souvent l'authentification à deux facteurs (2FA) ou multifacteur (MFA, Multi-Factor Authentication), probablement parce que l'authentification forte revêt souvent cette dernière forme. Dans le domaine du chiffrement, l'authentification forte désigne un système à plusieurs questions/réponses secrètes. Toutefois, puisqu'il fait appel à plusieurs instances d'un même facteur, le facteur mémoriel, un tel système rentre dans la catégorie de l'authentification à un seul facteur (SFA, Single-Factor Authentication), quelle que soit sa robustesse.

Dans certains environnements, tout système qui s'abstient de transmettre le mot de passe au cours du processus de vérification est considéré comme fort. Selon la définition de la Banque centrale européenne, la sécurité forte combine au moins deux facteurs d'authentification indépendants l'un de l'autre, qui doivent contenir un élément non réutilisable et difficile à reproduire ou à voler sur Internet.

Si l'authentification forte n'est pas obligatoirement multifacteur, les processus d'authentification à plusieurs facteurs sont désormais courants pour les connexions aux systèmes et pour les transactions au sein de systèmes à haut niveau de sécurité.

Les méthodes d'authentification à deux (2FA) et à trois (3FA) facteurs deviennent monnaie courante ; les systèmes à quatre (4FA), voire à cinq (5FA) facteurs sont employés dans certaines installations ultra-haute sécurité. Le recours à plusieurs facteurs renforce la sécurité, car il est peu probable qu'un pirate arrive à accéder à tous les éléments requis pour l'authentification. Chaque facteur supplémentaire augmente le niveau de sécurité du système et réduit le risque d'intrusion.

Sources de cette définitions.