Principe de l’authentification
Introduction au principe de l’authentification
Le principe de l’authentification est devenu primordial de nos jours. Avec la multiplication des services en ligne (messagerie, site marchands, hébergement de documents, réseaux sociaux, etc.), nous devons aujourd’hui gérer de nombreux mots de passe.
En obtenant le mot de passe d’une personne, l’attaquant prend possession de moyens d’accéder à des services et informations utiles. Un véritable sésame pour une personne malveillante !
Comment les choisir ? Comment les retenir ? Quels sont les risques en cas de vol de mot de passe et que faire ? Dans cette unité, nous allons tenter de répondre à quelques-unes de ces question et de vous donner quelques bonnes pratiques à adopter.
Objectif de l’authentification
Pour commencer cette unité, revoyons ensemble quelques principes préalables.
Lorsque vous vous connectez sur un service, il vous est demandé de vous authentifier. Pour cela on vous demande généralement de communiquer un nom d’utilisateur (identité) et un mot de passe.
L’authentification est une étape de contrôle indispensable puisqu’elle vise à vérifier l’identifiée communiquée par un utilisateur lors de sa connexion sur un service.
Définition et principe de l’authentification
Le principe d’authentification est une brique essentielle pour permettre la mise ne place de mécanismes de sécurité des services en ligne.
C’est le cas notamment du contrôle des accès, qui permet de gérer les autorisations pour accéder à vos données en appuyant sur l’identité authentifiée.
Pour accéder à vos données, deux principes différents sont ainsi mis en œuvre : le principe d’authentification et le principe d’autorisation.
Par exemple, lorsque vous avez saisi votre identifiant et votre mot de passe sur votre service de messagerie en ligne (principe d’authentification), vous pouvez consulter vos propres messages mais pas ceux reçus par d’autres utilisateurs (principe d’autorisation), et inversement, ces autres utilisateurs ne peuvent pas consulter vos messages.
Objectif
Le principe d’authentification est également utilisé pour assurer l’imputabilité (c’est-à-dire pour apporter la preuve de qui a fait quoi et la traçabilité des actions (c’est-à-dire conserver l’historique des actions.
Ainsi, lorsque vous télé-déclarez vos impôts en ligne par exemple, l’imputabilité permet de faire le lien entre votre déclaration et votre identité authentifiée. La traçabilité, quant à elle, permet de connaitre l’heure à laquelle vous avez soumis votre déclaration d’impôts.
Facteurs d’authentification
L’authentification consiste à apporter la preuve de son identité mais il existe plusieurs façons de la prouver. Celles-ci se répartissent en plusieurs catégories : on parle de facteurs d’authentification.
Les différents facteurs sont la connaissance, la procession ou encore les caractéristiques biométriques.
Connaissance
Les facteurs de connaissance sont aujourd’hui la catégories la plus répandue. Cette catégorie regroupe les preuves correspondant à « ce que je connais ».
Ces preuves peuvent être par exemple :
- Un mot de passe
- Un code PIN de carte à puce (exemple : un code de carte bancaire)
- La réponse à une question secrète et connue de vous seul(e)
- Un schéma de déverrouillage (exemple : déverrouillage de smartphones)
Soyez vigilant lorsque vous définissez des mots de passe.
Vous devez faire attention à définir des mot de passe complexes (dont on parlera dans l’unité 3 de ce module), et à vous assurer que les réponses à vos questions secrètes ne sont pas trivialement retrouvables. En effet, si vous choisissez comme question secrète « Quel est le nom de jeune-fille de ma mère ? » la réponse peut être très facile à trouver par un attaquant, le risque de découverte de votre mot de passe sera donc plus grand.
Possession
La deuxième catégorie regroupe les facteurs de possession, c’est-à-dire les preuves qui correspondent à « ce que je possède ».
Dans nos activités professionnelles, il peut s’agir de :
- Un téléphone portable ‘exemple : un code à usage unique envoyé par SMS)
- Une carte à puce (exemple : carte bancaire, passeport électronique, carte vitale)
- Un badge, une clef USB de sécurité
- Un générateur de mot de passe à usage unique (exemple : certaines banques fournissent un boitier Enfin pour valider des opérations bancaires comme les virements)
- Etc.
Appartenance
Enfin, la troisième catégorie regroupe les preuves qui correspondent à « ce que je suis ».
Il s’agit d’éléments biométriques (ou inhérents) tels que :
- Une empreinte digitale
- Une empreinte rétinienne
- La structure de la main
- La structure du visage
- La voix
- Etc.
L’avantage de cette méthode est que l’utilisateur a toujours sur lui ses « code » d’authentification » et ne peut pas les perdre ou les oublier. Cependant, à l’inverse d’un facteur de connaissance ou de processions, les éléments biométriques sont fixes, ce qui peut poser des problèmes vis-à-vis de la vie privée.
Les types d’authentification
Principe de l’Authentification simple
L’authentification électronique par identifiant et mot de passe met en œuvre un unique facteur d’authentification, à savoir le mot de passe qui rentre dans la catégorie des facteurs de connaissances : on parle alors d’authentification simple.
Authentification forte
Lorsque le mécanisme d’authentification met en œuvre plusieurs facteurs d’authentification, on parle alors d’authentification forte.
L’authentification forte met en jeu différents types de facteurs d’authentification comme la connaissance associée à la possession. Ce type d’authentification est souvent utilisé pour se protéger des faiblesses pouvant être liées aux mots de passe.
Aujourd’hui, il est en effet assez répandu de pouvoir activer un deuxième facteur d’authentification pour accéder à sa messagerie électronique et de devoir saisir un code reçu par SMS après avoir entré son mot de passe.
Rappelez-vous que l’authentification consiste à apporter la preuve de son identité. il existe de nombreuses façons de de la prouver. c’est moyen sont connus sous le nom de facteurs d’authentification.
Limites des facteurs d’authentification
Le principe de l’authentification par la biométrie
De toutes les méthodes d’identification vu ensemble, aujourd’hui la biométrie est sans doute la méthode la plus prometteuse, mais aussi la plus délicate à mettre en œuvre pour plusieurs raisons.
Limites de la biométrie comme principe d’authentification
Il existe toutefois plusieurs limites à la biométrie. Tout d’abord, la biométrie coûte cher et nécessitent de lourds moyens pour être mise en place. Ensuite, elle pose des problèmes sur l’aspect juridique du fait de stocker les caractéristiques morphologiques des personnes. En effet, ses bases de données sont rapprochées de celles utilisées par la police ils sont donc soumis à des lois très strictes.
Notez également que certaines techniques d’authentification biométrique sont plus susceptibles d’être contourner que d’autres.
Par exemple, les techniques courantes de reconnaissance de visage peuvent être mises à mal par une simple photo et c’est sans compter sur les éventuels problèmes d’accès qui pourraient survenir avec une voix enrouée ou encore des mains brûlées…
L’un des axes de recherche de la biométrie porte donc sur la multi-modalité, c’est à dire la combinaison de plusieurs méthodes d’identification par voie biométrique.
Là encore les coûts restent aujourd’hui un facteur limitant pour sa mise en place.
Il est important de noter que ce système connaît également quelques dérive à la croisée entre eux les facteurs de possession et biométriques.
En Belgique par exemple, certains employés ont accepté de se faire implanter des puces sous la peau. Notons toutefois que ce type de solution a peu de chances de voir le jour en France puisqu’elles sont, entre autres, contraires à l’application du règlement général sur la protection des données personnelles (RGPD).
Les risques liés au mot de passe
Le mot de passe est aujourd’hui le mode d’authentification le plus répandu. En effet, c’est le mode d’identification le plus simple à mettre en place sur nos services quotidiens. Mais le mot de passe n’est pas exempt de risques. Bien au contraire, de nombreux types d’attaques sur les mots de passe existent.
Divulgation
Même s’il n’élimine pas l’ensemble des risques, le principe d’authentification permet toutefois de réduire les risques d’usurpation d’identité.
Les risques peuvent varier en fonction du type d’authentification et la nature des preuves apportées. En particulier, un mot de passe est un élément secret que vous seul devez connaître car il conditionner l’accès aux données et services en ligne.
Le risque principal lié à son utilisation est donc sa divulgation à un tiers qui pourrait en faire un usage malveillant. Les causes de la divulgation peuvent être multiples, de la négligence à la malveillance.
Négligence
On parle de divulgation par négligence dans les cases suivantes :
- Utilisation d’un mot de passe faible (exemple : 0000, 123456, motdepasse)
- Inscription du mot de passe sur un support accessible à un tiers (post-it sous le clavier, tableau blanc)
- Diffusion à un tiers (collègue, amis, opérateur de service informatique, mot de passe envoyer par e-mail, etc.) oralement ou par écrit (papier, mail, etc.).
- Authentification sur un service n’utilisant pas de protocole sécurisé tel que HTTPS, IMAPS, POP3S, etc.
- Utilisation d’un ordinateur ou d’un smartphone qui ne soit pas de confiance et potentiellement infecté (cybercafé, ordinateurs en libre accès dans un hôtel, etc.)
- Mot de passe enregistrer sur le navigateur internet sans protection
Malveillance
La divulgation de mot de passe peut également faire suite à un acte de malveillance.
Il peut s’agir :
- D’une notification sur un service illégitime (hameçonnage où phishing, dont on parlera dans une équipe de ce module),
- D’une attaque par ingénierie sociale (utilisation de vos données personnelles pour vous piéger)
- D’une attaque par brute de force ou de la divulgation d’une base de données de mot de passe d’un service mal sécurisé
Gardez en tête que lorsque votre mot de passe a été divulgué, il perd son caractère confidentiel.
Un individu malveillant peut alors usurper votre identité sur un service en ligne et effectuer des actions en votre nom.
Les conséquences varient en fonction du type de services impactés et l’objectif des individus malveillants et des cyberattaques :
- Compromission de message personnel de votre messagerie électronique
- Destruction de données
- Publication de message et photo préjudiciable sur vos réseaux sociaux
- Achats sur des sites de vente en ligne (certains sites proposent en effet de conserver votre numéro de carte bancaire)
- virements bancaires sur le site de votre banque
- etc.
One thought on “Principe de l’authentification”