Accueil
Think
Thèmes
L'authentification
Publication: le 18 juin 2024
Contributeur : Matthew Kosinski
Dans un système informatique, l’authentification (en abrégé : « auth ») est le processus qui permet de vérifier qu’un utilisateur est bien la personne qu’il prétend être. La plupart des systèmes d’authentification s’appuient sur des facteurs d’authentification, qui sont des objets physiques (une carte magnétique), des caractéristiques (une empreinte digitale) ou des éléments d’information (un code PIN) que seul l’utilisateur possède.
Envisagez un scénario d’authentification courant : fournir un identifiant et un mot de passe d’utilisateur pour se connecter à un compte de messagerie. Lorsque l’utilisateur saisit son identifiant d’utilisateur (qui dans ce cas est probablement son adresse e-mail), il dit au système de messagerie « Voici qui je suis ».
Mais cela ne suffit pas pour vérifier l’identité de l’utilisateur final. Tout le monde peut saisir l’identifiant d’utilisateur de son choix, en particulier lorsque l’identifiant d’un utilisateur est public, par exemple une adresse e-mail. Pour prouver qu’il est bien le propriétaire de cette adresse e-mail, l’utilisateur saisit son mot de passe, une information secrète que personne d’autre ne possède (du moins en théorie). Le système de messagerie détermine alors que cet utilisateur est le véritable titulaire du compte et le laisse entrer.
Les processus d’authentification peuvent également confirmer l’identité d’utilisateurs non humains comme des serveurs, des applications web et d’autres machines et workloads.
L’authentification est un élément fondamental de la stratégie de sécurité des informations. Elle est particulièrement importante dans la gestion des identités et des accès (IAM), la discipline de cybersécurité qui concerne la manière dont les utilisateurs accèdent aux ressources numériques. L’authentification permet aux organisations de réserver l’accès au réseau aux utilisateurs légitimes et constitue la première étape de l’application des autorisations individuelles des utilisateurs.
Aujourd’hui, les identités des utilisateurs sont les principales cibles des acteurs malveillants. Selon l’IBM X-Force Threat Intelligence Index, le détournement de comptes utilisateur valides est le moyen le plus courant pour les pirates de s’introduire dans les réseaux et représente 30 % des cyberattaques. Les pirates informatiques volent des identifiants puis se font passer pour des utilisateurs légitimes, ce qui leur permet de contourner les défenses du réseau pour installer des logiciels malveillants et voler des données.
Pour lutter contre ces attaques basées sur l’identité, de nombreuses organisations abandonnent les méthodes d’authentification exclusivement basées sur les mots de passe. Elles adoptent à la place l’authentification à étapes, l’authentification adaptative et d’autres systèmes d’authentification forts dans lesquels les identifiants des utilisateurs sont plus difficiles à voler ou à falsifier.
L’authentification et l’autorisation sont des processus liés mais distincts. L’authentification vérifie l’identité d’un utilisateur, tandis que l’autorisation accorde à l’utilisateur vérifié le niveau d’accès approprié à une ressource.
On peut considérer que l’authentification et l’autorisation répondent à deux questions complémentaires :
- Authentification : qui êtes-vous ?
- Autorisation : qu’avez-vous le droit de faire dans ce système ?
L’authentification est généralement une condition préalable à l’autorisation. Par exemple, lorsqu’un administrateur réseau se connecte à un système sécurisé, il doit prouver sa qualité d’administrateur en fournissant les bons facteurs d’authentification. Ce n’est qu’à ce moment-là que le système d’IAM autorisera l’utilisateur à effectuer des actions administratives telles que l’ajout ou la suppression d’autres utilisateurs.
Découvrez pourquoi les entreprises qui recherchent des solutions d’authentification matures, évolutives et sécurisées doivent se tourner vers IBM.
À un niveau général, l’authentification est basée sur l’échange d’identifiants utilisateur, également appelés facteurs d’authentification. Un utilisateur communique ses identifiants au système d’authentification. Si elles correspondent à celles que le système a en mémoire, le système authentifie l’utilisateur.
Pour aller plus loin, on peut diviser le processus d’authentification en plusieurs étapes :
- Tout d’abord, un nouvel utilisateur doit créer un compte dans un système d’authentification. Lors de la création de ce compte, l’utilisateur enregistre un ensemble de facteurs d’authentification, allant de simples mots de passe à des jetons physiques de sécurité et à des empreintes digitales. (Pour plus d’informations, consultez la section « Facteurs d’authentification »).
Ces facteurs doivent être des éléments que seul l’utilisateur possède ou connaît. Ainsi, le système d’authentification peut être raisonnablement sûr que si une personne peut fournir ces facteurs, elle doit être l’utilisateur.
- Le système d’authentification stocke les identifiants de l’utilisateur dans un répertoire ou une base de données, où ils sont associés à l’ID de l’utilisateur et à d’autres attributs importants.
Pour des raisons de sécurité, les systèmes d’authentification ne stockent généralement pas les identifiants sous forme de texte brut. Ils stockent plutôt des versions hachées ou cryptées, qui sont moins exploitables pour les éventuels pirates qui entreraient en leur possession.
- Lorsque l’utilisateur souhaite se connecter au système, il fournit son identifiant d’utilisateur et les facteurs d’authentification qu’il a enregistrés. Le système d’authentification vérifie l’entrée du répertoire pour trouver cet ID utilisateur afin de voir si ses identifiants correspondent aux identifiants enregistrés dans le répertoire. Si c’est le cas, le système d’authentification vérifie l’identité de l’utilisateur.
Ce que l’utilisateur vérifié peut ensuite faire dépend du processus d’autorisation, qui est distinct du processus d’authentification, mais lié à lui.
Bien que cet exemple suppose un utilisateur humain, l’authentification est généralement la même pour les utilisateurs non humains. Par exemple, lorsqu’un développeur connecte une application à une interface de programmation des applications (API) pour la première fois, l’API peut générer une clé d’API. La clé est une valeur secrète que seules l’API et l’application connaissent. Ensuite, chaque fois que l’application fait un appel à cette API, elle doit montrer la clé pour prouver l’authenticité de l’appel.
Il existe quatre types de facteurs d’authentification que les utilisateurs peuvent utiliser pour prouver leur identité :
Les facteurs de connaissance sont des informations que l’utilisateur est le seul à connaître (en théorie) : les mots de passe, les codes PIN et les réponses aux questions de sécurité. Bien que les facteurs de connaissance soient courants, ce sont également les facteurs les plus faciles à voler ou à déchiffrer.
Les facteurs de possession sont des choses que l’utilisateur possède. Bien que certains utilisateurs disposent de jetons matériels de sécurité conçus uniquement pour servir de facteurs de possession, de nombreuses personnes utilisent simplement leurs appareils mobiles.
Par exemple, un utilisateur peut installer une application d’authentification qui génère des mots de passe à usage unique (« one-time password » ou OTP). Ces mots de passe expirent après une seule utilisation. Les utilisateurs peuvent également recevoir des OTP par SMS.
Les machines et les workloads utilisent souvent des certificats numériques comme facteurs de possession (ils sont émis par des tiers de confiance).
Les facteurs d’inhérence sont des traits physiques propres à un utilisateur. Cette catégorie comprend les méthodes d’authentification biométrique telles que la reconnaissance faciale et l’analyse des empreintes digitales.
Les facteurs comportementaux sont des modèles de comportement, tels que la plage d’adresses IP typique d’une personne, ses heures d’activité et sa vitesse moyenne de saisie.
Les schémas d’authentification adaptative utilisent souvent des facteurs comportementaux pour évaluer le niveau de risque d’un utilisateur. (Pour plus d’informations, voir « Types d’authentification ».)
En général, chaque application, site web ou toute autre ressource a son propre système IAM pour gérer l’authentification des utilisateurs. Avec la transformation numérique et la prolifération des applications d’entreprise et grand public, ce système fragmenté est devenu fastidieux et peu pratique.
Les organisations ont du mal à suivre les utilisateurs et à appliquer des politiques d’accès cohérentes sur l’ensemble du réseau. Les utilisateurs adoptent de mauvaises habitudes de sécurité, telles que l’utilisation de mots de passe simples ou la réutilisation des identifiants d’un système à l’autre.
En réponse, de nombreuses organisations mettent en œuvre des approches plus unifiées de l’identité, où un système unique peut authentifier les utilisateurs pour différentes applications et différents actifs.
- La connexion unique(SSO) est un système d’authentification qui permet aux utilisateurs de se connecter une seule fois à l’aide d’un seul jeu d’identifiants et d’accéder à plusieurs applications au sein d’un domaine spécifique.
- L’architecture d’identités fédérées est un accord d’authentification plus large dans lequel un système peut authentifier des utilisateurs pour un autre. Les connexions sociales, telles que l’utilisation d’un compte Google pour se connecter à un autre site web, sont une forme courante d’identité fédérée.
- L’orchestration des identités supprime l’identité et l’authentification des systèmes individuels, et traite ainsi l’identité comme une couche réseau à part entière. Les solutions d’orchestration des identités introduisent une couche d’intégration, appelée « tissu d’identité », qui permet aux organisations de créer des systèmes d’authentification personnalisés pouvant intégrer n’importe quelle application et n’importe quel actif.
Les systèmes d’authentification utilisent des schémas d’authentification différents. Parmi les types les plus courants, on trouve :
- L’authentification à facteur unique
- L’authentification à étapes et l’authentification à deux facteurs
- L’authentification adaptative
- Authentification sans mot de passe
Dans un processus d’authentification à facteur unique (« single-factor authentication » ou SFA), les utilisateurs ne doivent fournir qu’un seul facteur d’authentification pour prouver leur identité. Le plus souvent, les systèmes SFA reposent sur des combinaisons de nom d’utilisateur et de mot de passe.
La SFA est considérée comme le type d’authentification le moins sécurisé, car les pirates ont besoin de voler un seul identifiant pour prendre le contrôle du compte d’un utilisateur. La Cybersecurity and Infrastructure Agency (CISA) des Etats-Unis décourage officiellement la SFA et la qualifie de « mauvaise pratique ».
Les méthodes d’authentification à étapes (MFA) nécessitent au moins deux facteurs d’au moins deux types différents. La MFA est considérée comme plus forte que la SFA, car les pirates doivent voler plusieurs identifiants pour prendre le contrôle des comptes utilisateur. Les systèmes MFA ont également tendance à utiliser des identifiants beaucoup plus difficiles à voler que les mots de passe.
L’authentification à deux facteurs (2FA) est un type d’authentification multifacteur qui utilise précisément deux facteurs d’authentification. Il s’agit probablement de la forme d’authentification multifacteur la plus courante aujourd’hui. Par exemple, lorsqu’un site web demande aux utilisateurs de saisir à la fois un mot de passe et un code qui est envoyé par SMS à leur téléphone, il s’agit d’un système 2FA.
Parfois appelés systèmes d’authentification basée sur les risques, les systèmes d’authentification adaptatifs utilisent l’intelligence artificielle (IA) et le machine learning (ML) pour analyser le comportement des utilisateurs et calculer le niveau de risque. Les systèmes d’authentification adaptatifs modifient de façon dynamique les exigences d’authentification en fonction du risque que présente le comportement de l’utilisateur à un moment donné.
Par exemple, si quelqu’un se connecte à un compte à partir de son appareil et de son emplacement habituels, il peut ne devoir saisir que son mot de passe. Si ce même utilisateur se connecte à partir d’un nouvel appareil ou tente d’accéder à des données sensibles, le système d’authentification adaptatif peut demander plus de facteurs avant de l’autoriser à continuer.
L’authentification sans mot de passe est un système d’authentification qui n’utilise pas de mots de passe ni d’autres facteurs de connaissance. Par exemple, la norme d’authentification Fast Identity Online 2 (FIDO2) remplace les mots de passe par des clés d’accès basées sur la cryptographie à clé publique.
Sous FIDO2, un utilisateur enregistre son appareil pour agir en tant qu’authentificateur auprès d’une application, d’un site web ou d’un autre service. Lors de l’enregistrement, une paire de clés (publique-privée) est créée. La clé publique est partagée avec le service et la clé privée est conservée sur l’appareil de l’utilisateur.
Lorsque l’utilisateur souhaite se connecter au service, le service envoie un défi à son appareil. L’utilisateur répond en saisissant un code PIN, en scannant son empreinte digitale ou en effectuant une autre action. Cette action permet à l’appareil d’utiliser la clé privée pour signer le défi et prouver l’identité de l’utilisateur.
Les organisations adoptent de plus en plus l’authentification sans mot de passe pour se défendre contre les voleurs d’identifiants, qui ont tendance à se concentrer sur les facteurs de connaissance parce qu’ils sont faciles à voler.
- Le langage SAML (« Security Assertion Markup Language ») est une norme ouverte qui permet aux applications et aux services de partager des informations d’authentification des utilisateurs par le biais de messages XML. De nombreux systèmes SSO utilisent des vérifications SAML pour authentifier les utilisateurs auprès des applications intégrées.
- OAuth et OpenID Connect (OIDC) : OAuth est un protocole d’autorisation basé sur un jeton qui permet aux utilisateurs d’accorder à une application l’accès aux données d’une autre application sans partager les identifiants entre ces applications. Par exemple, lorsqu’un utilisateur permet à un site de réseau social d’importer ses contacts e-mail, ce processus utilise souvent le protocole OAuth.
OAuth n’est pas un protocole d’authentification, mais il peut être combiné avec OpenID Connect (OIDC), une couche d’identité qui repose sur le protocole OAuth. L’OIDC ajoute des jetons d’identification aux jetons d’autorisation d’OAuth. Ces jetons d’identification peuvent authentifier un utilisateur et contenir des informations sur ses attributs.
- Kerberos est un système d’authentification basé sur des tickets couramment utilisé dans les domaines Microsoft Active Directory. Les utilisateurs et les services s’authentifient auprès d’un centre de distribution de clés centralisé, qui leur délivre des tickets leur permettant de s’authentifier les uns auprès des autres et d’accéder à d’autres ressources du même domaine.
À mesure que les contrôles de cybersécurité deviennent plus efficaces, les acteurs malveillants apprennent à les contourner au lieu de les attaquer de front. Des processus d’authentification forts peuvent aider à stopper les cyberattaques basées sur l’identité, dans lesquelles les pirates volent des comptes d’utilisateurs et abusent de leurs privilèges valides pour passer les défenses du réseau et faire des dégâts.
Les attaques basées sur l’identité sont le vecteur d’attaque initial le plus courant selon l’X-Force Threat Intelligence Index, et les acteurs malveillants ont de nombreuses tactiques pour voler des identifiants. Les mots de passe des utilisateurs, y compris les mots de passe forts, sont faciles à déchiffrer lors d’attaques par force brute, où les pirates utilisent des bots et des scripts pour tester systématiquement tous les mots de passe possibles jusqu’à ce que le bon soit trouvé.
Les acteurs malveillants peuvent utiliser des tactiques d’ingénierie sociale pour inciter les cibles à divulguer leurs mots de passe. Ils peuvent employer des méthodes plus directes, comme les attaques de type « homme au milieu » ou l’installation de logiciels espions sur les appareils des victimes. Les pirates informatiques peuvent également acheter des identifiants sur le dark web, où d’autres pirates vendent les données de compte qu’ils ont volées lors de violations précédentes.
Pourtant, de nombreuses organisations utilisent encore des systèmes d’authentification inefficaces. Selon l’indice X-Force Threat Intelligence, les échecs d’identification et d’authentification sont les deuxièmes risques les plus fréquemment observés en matière de sécurité des applications web.
Des processus d’authentification forts peuvent contribuer à protéger les comptes des utilisateurs (et les systèmes auxquels ils ont accès) en empêchant les pirates de voler des identifiants et de se faire passer pour des utilisateurs légitimes.
Par exemple, l’authentification à étapes (MFA) oblige les pirates à voler plusieurs facteurs d’authentification, y compris des dispositifs physiques ou même des données biométriques, pour usurper l’identité d’un utilisateur. De même, les systèmes d’authentification adaptatifs peuvent détecter si les utilisateurs ont un comportement risqué et leur poser des défis d’authentification supplémentaires avant de les autoriser à continuer. Cela peut aider à bloquer les attaquants qui tentent d’abuser de comptes volés.
Les systèmes d’authentification peuvent également servir à d’autres fins que la sécurisation des comptes d’utilisateurs individuels :
- Contrôle des accès – Pour appliquer des politiques d’accès granulaires et contrôler ce que les utilisateurs font dans leurs réseaux, les organisations ont besoin d’un moyen de déterminer qui est qui dans leurs systèmes. L’authentification permet aux organisations de réserver l’accès au réseau aux seuls utilisateurs légitimes, de s’assurer que chaque utilisateur dispose des privilèges appropriés et d’attribuer l’activité à des utilisateurs spécifiques.
- Conformité réglementaire – De nombreuses réglementations relatives à la sécurité des données et à la confidentialité exigent des politiques de contrôle d’accès strictes et un suivi complet de l’activité des utilisateurs. Certaines réglementations, telles que la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS), exigent spécifiquement l’utilisation de systèmes MFA.1
- Sécurité assistée par l’IA – Alors que les acteurs malveillants utilisent des outils d’IA pour mener des cyberattaques sophistiquées, des mesures d’authentification fortes peuvent aider à contrecarrer les menaces, même avancées. Par exemple, des escrocs peuvent utiliser l’IA générative pour créer des messages d’hameçonnage convaincants et voler davantage de mots de passe, mais les systèmes d’authentification adaptatifs peuvent aider à attraper ces escrocs lorsqu’ils tentent d’abuser des privilèges de leur compte.
Protégez et gérez les identités des clients, du personnel et des comptes à privilèges dans le cloud hybride en intégrant l’IA.
Une gestion des identités et des accès complète, sécurisée et conforme pour les entreprises modernes.
Protection anti-fraude transparente basée sur des faits et gestion des accès utilisateur
Préparez-vous aux violations en comprenant leurs causes et les facteurs qui augmentent ou réduisent les coûts.
Découvrez comment l’environnement de la sécurité actuel évolue, comment faire face aux défis de l’IA générative et comment tirer pleinement parti de sa résilience.
La gestion des identités et des accès (IAM) est la discipline de la cybersécurité qui concerne la manière dont les utilisateurs accèdent aux ressources numériques et de ce qu’ils peuvent en faire.
Notes de bas de page
1 « PCI DSS: v4.0 ». Conseil des normes de sécurité (« Security Standards Council »), mars 2023 (lien externe à ibm.com).