Authentification

Court et simple

Pour utiliser un programme, je dois me connecter. Il existe différentes possibilités pour prouver mon identité :

• Avec un secret (par exemple un mot de passe)
• Avec un objet (par exemple un téléphone portable)
• Avec quelque chose de personnel (par exemple une empreinte digitale)

Le plus sûr est d'utiliser deux de ces éléments ensemble.

Authentification et autorisation

En principe, lors d'une procédure de connexion, l'utilisateur est associé à son profil. Il est vérifié que la personne est bien celle qu'elle prétend être (« authentification ») et si elle est autorisée à accéder à la ressource souhaitée (« autorisation »).

L'autorisation est vérifiée par le logiciel que l'utilisateur souhaite utiliser et n'est donc pas traitée plus en détail ici

Pour authentifier la personne, il existe différentes stratégies qui s'appuient sur différents facteurs :

• Connaissance : quelque chose que l'utilisateur sait
• Possession : quelque chose que l'utilisateur possède
• Propriétés inhérentes : quelque chose que l'utilisateur est

(www.cloudflare.com/de-de/learning/access-management/what-is-multi-factor-authentication)

Lorsque plusieurs de ces facteurs sont combinés, on parle d'authentification à deux facteurs (2FA) ou d' authentification multifactorielle (MFA). Cette combinaison permet d'augmenter considérablement la sécurité, car il est très difficile pour les pirates informatiques d'accéder à tous les facteurs.

Exemple : un mot de passe est intercepté par phishing. Ce type d'attaque est généralement mené par des acteurs géographiquement éloignés, pour qui il est très difficile de se procurer un objet physique.

Facteurs

« Connaissance »

La méthode de connexion classique avec nom d'utilisateur et mot de passe repose sur le concept selon lequel une personne sait quelque chose que personne d'autre ne sait.

Cette méthode de connexion est facile à mettre en œuvre, mais elle est potentiellement très peu sûre et peu conviviale pour diverses raisons:

• Les mots de passe courts et faciles à mémoriser peuvent être devinés par ingénierie sociale ou par essais successifs (force brute).
• Les mots de passe longs sont difficiles à deviner, mais difficiles à mémoriser. Ils sont alors souvent notés ou stockés de manière non sécurisée. .
• Le mot de passe est transmis via Internet et stocké chez le prestataire de services. En tant qu'utilisateurs, nous n'avons aucun contrôle sur la sécurité de la transmission et du stockage du mot de passe.
• Les mots de passe sont vulnérables aux attaques de phishing, car un pirate informatique peut relativement facile s'emparer de ces informations sans avoir besoin d'autres informations.

Tous ces points font perdre de vue l'objectif initial, à savoir que le mot de passe ne doit être connu que d'une seule personne.

Une idée fausse très répandue consiste à croire que les mots de passe sont plus sûrs lorsque le jeu de caractères utilisé est aussi large que possible, c'est-à-dire lorsqu'il comprend des lettres majuscules et minuscules, des chiffres et des caractères spéciaux. Ce n'est pas faux en soi, mais la longueur du mot de passe est un facteur bien plus important.
Voir également XKCD : Password Strength .

« Possession »

Pour les raisons susmentionnées, il est souvent judicieux d'ajouter un autre facteur au facteur « connaissance ». On utilise souvent pour cela le facteur « possession ». Lors de l'authentification, on vérifie si l'utilisateur dispose d' un **objet physique ** qui ne peut pas être copié.

Les "applications d'authentification" installées sur un smartphone ou les codes SMS ou e-mail sont couramment utilisés. Cela permet de s'assurer que l'utilisateur a accès au smartphone enregistré (application d'authentification ou SMS) ou à la boîte mail. Les SMS et les e-mails sont moins sûrs, car un pirate informatique peut potentiellement avoir accès à la boîte mail ou avoir volé le numéro de téléphone.

Une autre méthode consiste à utiliser des « tokens hardware ». Il s'agit de petits appareils qui ressemblent à une clé USB et qui doivent être insérés dans l'ordinateur à des fins d'authentification. Ils sont très sûrs, car les données qui y sont stockées ne peuvent pas être lues, ce qui garantit que le jeton n'existe qu'une seule fois. De tels tokens sont proposés par différents fabricants.

Clés d'accès

Les clés d'accès sont une variante du facteur "possession". Elles sont destinées à remplacer les mots de passe et à rendre le processus d'authentification à la fois plus sûr et plus simple.

Pour cela, une clé publique et une clé privée sont créées lors de la création du compte utilisateur. La clé privée reste sur l'appareil de l'utilisateur et la clé publique est téléchargée chez le fournisseur. Lors de la connexion, l' utilisateur prouve à l'aide d' un procédé cryptographique qu'il est en possession de la clé privée. Le fournisseur peut le vérifier à l'aide de la clé publique.

Afin d'empêcher les pirates informatiques qui se sont emparés de l'appareil contenant la clé d'accès de se connecter également, les clés d'accès sont associées à un facteur supplémentaire, par exemple un code PIN (facteur « connaissance ») ou une empreinte digitale (facteur « caractéristiques inhérentes »).

( cf. [www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Passkeys/passkeys-anmelden-ohne-passwort_node.html](https://www.bsi.bund.de/DE/ Thèmes/Consommateurs/Informations et recommandations/Recommandations en matière de cybersécurité/Protection des comptes/Passkeys/passkeys-anmelden-ohne-passwort_node.html))

« Caractéristiques inhérentes »

Il s'agit d'une caractéristique physique du corps, comme le visage ou une empreinte digitale. Ces fonctionnalités sont déjà proposées par de nombreux smartphones modernes.

Il existe également des tokens hardware qui disposent en plus d'un scanner d'empreintes digitales, par exemple ceux de Yubico.

( cf. www.cloudflare.com/de-de/learning/access-management/what-is-multi-factor-authentication)