Qu’est-ce que l’authentification ?

Envisagez un scénario d’authentification courant : fournir un identifiant et un mot de passe d’utilisateur pour se connecter à un compte de messagerie. Lorsque l’utilisateur saisit son identifiant d’utilisateur (qui dans ce cas est probablement son adresse e-mail), il dit au système de messagerie « Voici qui je suis ».

Mais cela ne suffit pas pour vérifier l’identité de l’utilisateur final. Tout le monde peut saisir l’identifiant d’utilisateur de son choix, en particulier lorsque l’identifiant d’un utilisateur est public, par exemple une adresse e-mail. Pour prouver qu’il est bien le propriétaire de cette adresse e-mail, l’utilisateur saisit son mot de passe, une information secrète que personne d’autre ne possède (du moins en théorie). Le système de messagerie détermine alors que cet utilisateur est le véritable titulaire du compte et le laisse entrer.

Les processus d’authentification peuvent également confirmer l’identité d’utilisateurs non humains comme des serveurs, des applications web et d’autres machines et workloads.

L’authentification est un élément fondamental de la stratégie de sécurité des informations. Elle est particulièrement importante dans la gestion des identités et des accès (IAM), la discipline de cybersécurité qui concerne la manière dont les utilisateurs accèdent aux ressources numériques. L’authentification permet aux organisations de réserver l’accès au réseau aux utilisateurs légitimes et constitue la première étape de l’application des autorisations individuelles des utilisateurs.

Aujourd’hui, les identités des utilisateurs sont les principales cibles des acteurs malveillants. Selon l’ IBM X-Force Threat Intelligence Index, le détournement de comptes utilisateur valides est un des moyens les plus courants pour les pirates de s’introduire dans les réseaux et représente 30 % des cyberattaques. Les pirates informatiques volent des identifiants puis se font passer pour des utilisateurs légitimes, ce qui leur permet de contourner les défenses du réseau pour installer des logiciels malveillants et voler des données.

Pour lutter contre ces attaques basées sur l’identité, de nombreuses organisations abandonnent les méthodes d’authentification exclusivement basées sur les mots de passe. Elles adoptent plutôt l’authentification à étapes, l’authentification adaptative et d’autres systèmes d’authentification robustes, où les identifiants des utilisateurs sont plus difficiles à dérober ou à contrefaire.

L’authentification et l’autorisation sont des processus liés mais distincts. L’authentification vérifie l’identité d’un utilisateur, tandis que l’autorisation accorde à l’utilisateur vérifié le niveau d’accès approprié à une ressource.

On peut considérer que l’authentification et l’autorisation répondent à deux questions complémentaires :

• Authentification : qui êtes-vous ?
  
• Autorisation : qu’avez-vous le droit de faire dans ce système ?

L’authentification est généralement une condition préalable à l’autorisation. Par exemple, lorsqu’un administrateur réseau se connecte à un système sécurisé, il doit prouver sa qualité d’administrateur en fournissant les bons facteurs d’authentification. Ce n’est qu’à ce moment-là que le système d’IAM autorise l’utilisateur à effectuer des actions administratives telles que l’ajout ou la suppression d’autres utilisateurs.

À un niveau général, l’authentification est basée sur l’échange d’identifiants utilisateur, également appelés facteurs d’authentification. Un utilisateur communique ses identifiants au système d’authentification. Si elles correspondent à celles que le système a en mémoire, le système authentifie l’utilisateur.

Pour aller plus loin, on peut diviser le processus d’authentification en plusieurs étapes :

1. Tout d’abord, un nouvel utilisateur doit créer un compte dans un système d’authentification. Lors de la création de ce compte, l’utilisateur enregistre un ensemble de facteurs d’authentification, allant de simples mots de passe à des jetons physiques de sécurité et à des empreintes digitales. (Pour plus d’informations, consultez la section « Facteurs d’authentification »).
   
   Ces facteurs doivent être des éléments que seul l’utilisateur possède ou connaît. Ainsi, le système d’authentification peut être raisonnablement sûr que si une personne peut fournir ces facteurs, elle doit être l’utilisateur.
   
   
2. Le système d’authentification stocke les identifiants de l’utilisateur dans un répertoire ou une base de données, où ils sont associés à l’ID de l’utilisateur et à d’autres attributs importants.
   
   Pour des raisons de sécurité, les systèmes d’authentification ne stockent généralement pas les identifiants sous forme de texte brut. Ils stockent plutôt des versions hachées ou cryptées, qui sont moins exploitables pour les éventuels pirates qui entreraient en leur possession.
   
   
3. Lorsque l’utilisateur souhaite se connecter au système, il fournit son identifiant d’utilisateur et les facteurs d’authentification qu’il a enregistrés. Le système d’authentification vérifie l’entrée du répertoire pour trouver cet ID utilisateur afin de voir si ses identifiants correspondent aux identifiants enregistrés dans le répertoire. Si c’est le cas, le système d’authentification vérifie l’identité de l’utilisateur.
   
   Ce que l’utilisateur vérifié peut ensuite faire dépend du processus d’autorisation, qui est distinct du processus d’authentification, mais lié à lui.

Bien que cet exemple suppose un utilisateur humain, l’authentification est généralement la même pour les utilisateurs non humains. Par exemple, lorsqu’un développeur connecte une application à une interface de programmation des applications (API) pour la première fois, l’API peut générer une clé d’API. La clé est une valeur secrète que seules l’API et l’application connaissent. Ensuite, chaque fois que l’application fait un appel à cette API, elle doit montrer la clé pour prouver l’authenticité de l’appel.

Il existe quatre types de facteurs d’authentification que les utilisateurs peuvent utiliser pour prouver leur identité :

En général, chaque application, site web ou toute autre ressource a son propre système IAM pour gérer l’authentification des utilisateurs. Avec la transformation numérique et la prolifération des applications d’entreprise et grand public, ce système fragmenté est devenu fastidieux et peu pratique.

Les organisations ont du mal à suivre les utilisateurs et à appliquer des politiques d’accès cohérentes sur l’ensemble du réseau. Les utilisateurs adoptent de mauvaises habitudes de sécurité, telles que l’utilisation de mots de passe simples ou la réutilisation des identifiants d’un système à l’autre.

En réponse, de nombreuses entreprises mettent en œuvre des approches plus unifiées de l’identité, où un système unique peut authentifier les utilisateurs pour diverses applications et divers actifs.

• Connexion unique (SSO) : un système d'authentification qui permet aux utilisateurs de se connecter une seule fois à l'aide d'un seul ensemble d'identifiants et d'accéder à plusieurs applications au sein d'un domaine spécifique.

• L’architecture d’identités fédérées est un accord d’authentification plus large dans lequel un système peut authentifier des utilisateurs pour un autre. Les connexions sociales, telles que l’utilisation d’un compte Google pour se connecter à un autre site web, sont une forme courante d’identité fédérée.

• Identity Orchestration supprime l’identité et l’authentification des systèmes individuels, traitant ainsi les identités comme une couche de réseau à part entière. Les solutions d'Identity Orchestration introduisent une couche d’intégration, appelée la structure d’identité, qui permet aux entreprises de créer des systèmes d’authentification personnalisés pouvant intégrer n’importe quelle application et n’importe quel actif.

Les systèmes d’authentification utilisent des schémas d’authentification différents. Parmi les types les plus courants, on trouve :

• L’authentification à facteur unique
• L’authentification à étapes et l’authentification à deux facteurs
• L’authentification adaptative
• Authentification sans mot de passe

Dans un processus d’authentification à facteur unique (« single-factor authentication » ou SFA), les utilisateurs ne doivent fournir qu’un seul facteur d’authentification pour prouver leur identité. Le plus souvent, les systèmes SFA reposent sur des combinaisons de nom d’utilisateur et de mot de passe.

La SFA est considérée comme le type d’authentification le moins sécurisé, car les pirates ont besoin de voler un seul identifiant pour prendre le contrôle du compte d’un utilisateur. La Cybersecurity and Infrastructure Agency (CISA) des Etats-Unis décourage officiellement la SFA et la qualifie de « mauvaise pratique ».

Les méthodes d’authentification à étapes (MFA) nécessitent au moins deux facteurs d’au moins deux types différents. La MFA est considérée comme plus forte que la SFA, car les pirates doivent voler plusieurs identifiants pour prendre le contrôle des comptes utilisateur. Les systèmes MFA ont également tendance à utiliser des identifiants beaucoup plus difficiles à voler que les mots de passe.

L'authentification à deux facteurs (2FA) est un type d’authentification multifacteur qui utilise précisément deux facteurs d’authentification. Il s’agit probablement de la forme d’authentification multifacteur la plus courante aujourd’hui. Par exemple, lorsqu’un site Web demande aux utilisateurs de saisir à la fois un mot de passe et un code qui est envoyé par SMS à leur téléphone, il s’agit d’un système 2FA.

Parfois appelés systèmes d’authentification basée sur les risques, les systèmes d’authentification adaptatifs utilisent l’intelligence artificielle (IA) et le machine learning (ML) pour analyser le comportement des utilisateurs et calculer le niveau de risque. Les systèmes d’authentification adaptatifs modifient de façon dynamique les exigences d’authentification en fonction du risque que présente le comportement de l’utilisateur à un moment donné.

Par exemple, si quelqu’un se connecte à un compte à partir de son appareil et de son emplacement habituels, il peut ne devoir saisir que son mot de passe. Si cet utilisateur se connecte depuis un nouvel appareil ou tente d'accéder à des données sensibles, le système d'authentification adaptative peut demander des facteurs d'authentification supplémentaires avant de lui permettre de poursuivre.

L’authentification sans mot de passe est un système d’authentification qui n’utilise pas de mots de passe ni d’autres facteurs de connaissance. Par exemple, la norme d’authentification Fast Identity Online 2 (FIDO2) remplace les mots de passe par des clés d’accès basées sur la cryptographie à clé publique.

Sous FIDO2, un utilisateur enregistre son appareil pour agir en tant qu’authentificateur auprès d’une application, d’un site web ou d’un autre service. Lors de l’enregistrement, une paire de clés (publique-privée) est créée. La clé publique est partagée avec le service et la clé privée est conservée sur l’appareil de l’utilisateur.

Lorsque l’utilisateur souhaite se connecter au service, le service envoie un défi à son appareil. L’utilisateur répond en saisissant un code PIN, en scannant son empreinte digitale ou en effectuant une autre action. Cette action permet à l’appareil d’utiliser la clé privée pour signer le défi et prouver l’identité de l’utilisateur.

Les organisations adoptent de plus en plus l’authentification sans mot de passe pour se défendre contre les voleurs d’identifiants, qui ont tendance à se concentrer sur les facteurs de connaissance parce qu’ils sont faciles à voler.

• Le langage SAML (« Security Assertion Markup Language ») est une norme ouverte qui permet aux applications et aux services de partager des informations d’authentification des utilisateurs par le biais de messages XML. De nombreux systèmes SSO utilisent des vérifications SAML pour authentifier les utilisateurs auprès des applications intégrées.
  
  
• OAuth et OpenID Connect (OIDC) : OAuth est un protocole d’autorisation basé sur un jeton qui permet aux utilisateurs d’accorder à une application l’accès aux données d’une autre application sans partager les identifiants entre ces applications. Par exemple, lorsqu’un utilisateur permet à un site de réseau social d’importer ses contacts e-mail, ce processus utilise souvent le protocole OAuth.
  
  OAuth n’est pas un protocole d’authentification, mais il peut être combiné avec OpenID Connect (OIDC), une couche d’identité qui repose sur le protocole OAuth. L’OIDC ajoute des jetons d’identification aux jetons d’autorisation d’OAuth. Ces jetons d’identification peuvent authentifier un utilisateur et contenir des informations sur ses attributs.
  
  
• Kerberos est un système d’authentification basé sur des tickets couramment utilisé dans les domaines Microsoft Active Directory. Les utilisateurs et les services s’authentifient auprès d’un centre de distribution de clés centralisé, qui leur délivre des tickets leur permettant de s’authentifier les uns auprès des autres et d’accéder à d’autres ressources du même domaine.

À mesure que les contrôles de cybersécurité deviennent plus efficaces, les acteurs malveillants apprennent à les contourner au lieu de les attaquer de front. Des processus d’authentification forts peuvent aider à stopper les cyberattaques basées sur l’identité, dans lesquelles les pirates volent des comptes d’utilisateurs et abusent de leurs privilèges valides pour passer les défenses du réseau et faire des dégâts.

Les attaques basées sur l’identité sont l’un des deux vecteurs d’attaque initiaux les plus courants selon le X-Force Threat Intelligence Index, et les acteurs de la menace disposent de nombreuses tactiques pour voler des identifiants. Les mots de passe des utilisateurs, y compris les mots de passe forts, sont faciles à déchiffrer lors d’attaques par force brute, où les pirates utilisent des bots et des scripts pour tester systématiquement tous les mots de passe possibles jusqu’à ce que le bon soit trouvé.

Les acteurs malveillants peuvent utiliser des tactiques d’ingénierie sociale pour inciter les cibles à divulguer leurs mots de passe. Ils peuvent employer des méthodes plus directes, comme les attaques de type « homme au milieu » ou l’installation de logiciels espions sur les appareils des victimes. Les pirates informatiques peuvent également acheter des identifiants sur le dark web, où d’autres pirates vendent les données de compte qu’ils ont volées lors de violations précédentes.

Pourtant, de nombreuses organisations utilisent encore des systèmes d’authentification inefficaces. Selon l’indice X-Force Threat Intelligence, les échecs d’identification et d’authentification sont les deuxièmes risques les plus fréquemment observés en matière de sécurité des applications web.

Des processus d’authentification forts peuvent contribuer à protéger les comptes des utilisateurs (et les systèmes auxquels ils ont accès) en empêchant les pirates de voler des identifiants et de se faire passer pour des utilisateurs légitimes.

Par exemple, l’authentification à étapes (MFA) oblige les pirates à voler plusieurs facteurs d’authentification, y compris des dispositifs physiques ou même des données biométriques, pour usurper l’identité d’un utilisateur. De même, les systèmes d’authentification adaptatifs peuvent détecter si les utilisateurs ont un comportement risqué et leur poser des défis d’authentification supplémentaires avant de les autoriser à continuer. Cela peut aider à bloquer les tentatives d'attaquants d'exploiter des comptes volés.

En renforçant la cybersécurité, l'authentification peut également apporter des avantages supplémentaires. Par exemple, une étude de l’IBM Institute for Business Value a révélé que 66 % des dirigeants d’exploitation considèrent la cybersécurité comme un facteur de revenus.

Les systèmes d’authentification peuvent également servir à d’autres fins que la sécurisation des comptes d’utilisateurs individuels :

• Contrôle des accès – Pour appliquer des politiques d’accès granulaires et contrôler ce que les utilisateurs font dans leurs réseaux, les organisations ont besoin d’un moyen de déterminer qui est qui dans leurs systèmes. L’authentification permet aux organisations de réserver l’accès au réseau aux seuls utilisateurs légitimes, de s’assurer que chaque utilisateur dispose des privilèges appropriés et d’attribuer l’activité à des utilisateurs spécifiques.
  
  
• Conformité réglementaire – De nombreuses réglementations relatives à la sécurité des données et à la confidentialité exigent des politiques de contrôle d’accès strictes et un suivi complet de l’activité des utilisateurs. Certaines réglementations, telles que la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS), exigent spécifiquement l’utilisation de systèmes MFA.¹
  
  
• Sécurité assistée par l’IA – Alors que les acteurs malveillants utilisent des outils d’IA pour mener des cyberattaques sophistiquées, des mesures d’authentification fortes peuvent aider à contrecarrer les menaces, même avancées. Par exemple, des escrocs peuvent utiliser l’IA générative pour créer des messages d’hameçonnage convaincants et voler davantage de mots de passe, mais les systèmes d’authentification adaptatifs peuvent aider à attraper ces escrocs lorsqu’ils tentent d’abuser des privilèges de leur compte.