Qu'est-ce que l'authentification ?

L'authentification est le processus de vérification de l'identité. Elle nécessite l'utilisation de mots de passe, de jetons matériels ou d'un certain nombre d'autres méthodes.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir l'authentification
  • Décrire quand l'authentification est utilisée et comment elle fonctionne
  • Identifier les différents types d'authentification

Copier le lien de l'article

Qu'est-ce que l'authentification ?

En cybersécurité, l'authentification est le processus de vérification de l'identité de quelqu'un ou de quelque chose. L'authentification se fait généralement par la vérification d'un mot de passe, d'un jeton matériel ou d'un autre élément d'information prouvant l'identité. Tout comme le personnel d'une compagnie aérienne vérifie le passeport ou la carte d'identité d'une personne lorsqu'elle monte à bord d'un avion, les systèmes informatiques doivent s'assurer qu'une personne est bien celle qu'elle prétend être. Dans un aéroport, ce processus d'authentification permet de s'assurer que seules les personnes munies d'un billet montent dans l'avion ; pour les systèmes numériques, il garantit que les données sont consultées et utilisées par les bonnes personnes.

L'authentification ne s'applique pas seulement à la vérification des utilisateurs humains. Les systèmes informatiques doivent également vérifier les serveurs, les logiciels, les API, et les autres ordinateurs pour s'assurer que ils sont bien ceux qu'ils « prétendent être ».

Comment l'authentification est-elle utilisée dans un contexte de sécurité ?

L'authentification est un élément important de la gestion des identités et des accès (IAM), qui détermine qui peut consulter les données et ce qu'il peut en faire. Mais elle s'applique également à de nombreux autres domaines de la sécurité, notamment :

  • TLS : la quasi-totalité des grands sites Web actuels prennent en charge le protocole TLS (Transport Layer Security). TLS, entre autres fonctions, authentifie l'identité d'un serveur web afin de garantir que les appareils des utilisateurs ne chargent pas de faux sites web.
  • API : la plupart des applications web modernes reposent sur des API pour fonctionner. Les API correctement sécurisées authentifient les deux points d'extrémité de l'intégration de l'API afin d'empêcher les attaques dirigées vers ces API.
  • Courriel : les courriels sont authentifiés à l'aide d'un processus appelé DomainKey Identified Mail (DKIM). DKIM permet de s'assurer que les messages électroniques proviennent de serveurs autorisés à utiliser le domaine (par exemple @cloudflare.com) d'où provient le message. Les messages électroniques non authentifiés sont susceptibles de se retrouver dans les dossiers de spam.

Comment fonctionne l'authentification ?

Étant donné qu'un ordinateur ne peut pas « reconnaître » une personne ou un autre ordinateur comme le fait un humain, le processus d'authentification repose sur des critères objectifs qu'un ordinateur peut mesurer. Un type de critère objectif consiste à vérifier une qualité connue de la personne ou de l'ordinateur en question. Un autre type consiste à utiliser une technologie appelée cryptographie à clé publique pour prouver l'identité.

Vérification de l'identité via des facteurs d'authentification

Ce type d'authentification consiste à vérifier une caractéristique mesurable de l'identité par rapport à un enregistrement numérique correspondant. Les caractéristiques qu'un système d'authentification vérifie sont appelées « facteurs ». Trois facteurs d'authentification courants sont largement utilisés aujourd'hui :

1. Quelque chose que la personne connaît

Ce facteur d'authentification vérifie un élément de connaissance secret que seule la personne réelle devrait posséder. Une combinaison de nom d'utilisateur et de mot de passe est l'exemple classique de ce facteur. Les questions de sécurité et les codes PIN en sont également des exemples.

2. Quelque chose que la personne a

Ce facteur d'authentification vérifie si la personne possède un objet physique qui lui a été remis ou dont elle est connue. De nombreuses personnes utilisent quotidiennement ce facteur d'authentification : elles vivent dans une maison ou un appartement qu'elles peuvent déverrouiller avec une clé métallique. La possession de cette clé prouve donc qu'ils sont autorisés à entrer dans les lieux, et leur permet de le faire.

Dans les systèmes numériques, ce facteur d'authentification ne repose pas sur une bonne vieille serrure et une bonne vieille clé. Mais il utilise un principe similaire en vérifiant la présence d'un jeton physique. Il existe deux types de jetons : les jetons souples et les jetons rigides.

Jetons logiciels : un jeton logiciel consiste à vérifier la possession d'un appareil, comme un smartphone, en envoyant un code à cet appareil et en demandant à l'utilisateur de le saisir. Le code peut être envoyé sous forme de message texte ou par le biais d'une application qui génère des codes aléatoires.

Jetons durs : un jeton dur est un petit objet physique qui se connecte à un ordinateur ou à un appareil mobile via Bluetooth, un port USB ou un autre port. Les utilisateurs doivent brancher ce jeton sur leur appareil pour vérifier leur identité.

Certains experts en sécurité considèrent que les jetons rigides sont plus sûrs que les jetons souples. Un pirate pourrait intercepter à distance un code en route vers le téléphone d'un utilisateur et utiliser ce code pour se faire passer pour l'utilisateur. Mais il est beaucoup plus difficile de voler un jeton dur : l'attaquant doit accéder physiquement au jeton pour le faire.

3. Quelque chose que la personne est

Ce facteur d'authentification évalue les qualités intrinsèques d'une personne. Dans la vie réelle, les gens le font tout le temps - deux amis peuvent se reconnaître à leur apparence ou à leur façon de parler, par exemple. Un ordinateur pourrait faire de même en scannant le visage ou la rétine d'une personne, en vérifiant l'empreinte de son pouce, en mesurant les fréquences de sa voix ou en vérifiant les résultats d'une analyse de sang (bien que ce dernier cas soit plus rare).

Facteurs d'authentification supplémentaires

Certains membres de l'industrie de la sécurité ont proposé ou utilisé des facteurs d'authentification supplémentaires en plus des trois principaux facteurs énumérés ci-dessus. Deux de ces facteurs supplémentaires sont location (où se trouve un utilisateur) et time (quand il accède au système).

Vérification de l'identité par des certificats numériques

Outre l'utilisation des facteurs d'authentification décrits ci-dessus, les entités connues et de confiance peuvent également se voir délivrer des certificats numériques. Un certificat numérique est un petit fichier numérique qui contient des informations permettant de vérifier l'identité, tout comme une carte d'identité contient des informations permettant de vérifier l'identité d'une personne dans la vie réelle.

Les certificats numériques reçoivent une signature numérique pour prouver leur authenticité de la part de l'autorité qui les émet, tout comme un passeport, une carte d'identité ou une pièce de monnaie en papier peuvent avoir un filigrane prouvant qu'ils ne sont pas contrefaits.

Un certificat numérique contient également une chaîne de valeurs aléatoires appelée clé publique. La clé publique correspond à une clé privée qui est stockée séparément. L'entité qui possède le certificat peut signer numériquement des données avec ces clés pour prouver qu'elle possède la clé privée et qu'elle est donc authentique.

Actuellement, les certificats numériques ne sont pas souvent utilisés pour vérifier l'identité des personnes. Mais la plupart des gens utilisent des certificats numériques tous les jours sans s'en rendre compte.

Lorsqu'une personne charge un site Web qui utilise HTTPS, la version sécurisée de HTTP, le protocole TLS utilise le certificat numérique du site Web (appelé certificat SSL ou certificat TLS) pour authentifier le site Web. DKIM, qui authentifie les expéditeurs de courrier électronique, est un autre exemple de technologie qui utilise cette méthode au lieu de vérifier les facteurs d'authentification. DKIM aide les fournisseurs de courrier électronique à trier et à bloquer les courriers indésirables.

Qu'est-ce que l'authentification multifacteur (MFA) ?

Authentification multifactorielle (AMF) est le processus qui consiste à vérifier l'identité d'une personne en contrôlant deux facteurs d'authentification ou plus, plutôt qu'un seul. L'AMF est un type d'authentification plus fort que l'authentification à un seul facteur, car il est beaucoup plus difficile de falsifier deux de ces facteurs que d'en falsifier un seul.

Un attaquant pourrait être en mesure de voler le nom d'utilisateur et le mot de passe de Bob (peut-être par le biais d'une attaque de phishing). Mais si Bob doit également scanner son visage, l'attaquant ne pourra pas falsifier l'identité de Bob, puisque son visage ne ressemble pas à celui de Bob. Ou, si Bob doit brancher un jeton dur sur son ordinateur en plus de la saisie de son mot de passe, l'attaquant devra également voler ce jeton. Bien que possible, un tel vol est beaucoup plus difficile, ce qui rend la prise de contrôle du compte moins probable.

Pour une véritable AMF, il faut vérifier des facteurs distincts. L'évaluation de plusieurs instances d'un même facteur ne constitue pas une AMF. Par exemple, si une application demande à un utilisateur de saisir un mot de passe et de répondre à des questions de sécurité pour s'authentifier, il s'agit toujours d'une authentification à un seul facteur. La saisie du mot de passe et les questions de sécurité évaluent toutes deux le facteur « something you know ».

En raison de la sécurité accrue qu'elle offre, la MFA est un principe fondamental de la sécurité de Zero Trust, un modèle de sécurité qui exige la vérification de l'identité de chaque utilisateur et de chaque appareil qui accède à un réseau privé.

Qu'est-ce que l'authentification à deux facteurs (2FA) ?

L'authentification à deux facteurs (2FA) est le nom donné à l'AMF lorsque deux facteurs exactement sont utilisés. Le type le plus courant d'authentification à deux facteurs est « quelque chose que vous savez » + « quelque chose que vous avez ». Par exemple, en plus de saisir leurs mots de passe, de nombreuses personnes se font envoyer des codes sur leur téléphone avant de pouvoir accéder à leurs comptes bancaires (un exemple de la version « soft token » de ce facteur).

Aujourd'hui, de nombreuses entreprises utilisent le 2FA afin de réduire l'impact des attaques de phishing. Par exemple, Google a pu éliminer les attaques de prise de contrôle de compte en utilisant 2FA avec des jetons durs pour l'authentification.

Quelle est la différence entre l'authentification et l'autorisation ?

Alors que l'authentification vise à vérifier l'identité, l'autorisation concerne les permissions, c'est-à-dire ce qu'une personne est autorisée à faire une fois qu'elle a obtenu l'accès à un système ou à une ressource protégée.

Supposons que Bob travaille dans le service marketing de son entreprise. Il saisit son mot de passe, scanne son visage et insère son jeton dur pour se connecter au réseau de son entreprise. À ce stade, l'authentification est terminée.

Après s'être connecté, Bob n'a pas accès à tous les fichiers de données en possession de l'entreprise. L'autorisation détermine ce que Bob peut et ne peut pas voir. En tant que spécialiste du marketing, il est autorisé à voir certaines données, comme la liste des clients potentiels à qui l'entreprise enverra des messages de marketing, mais pas d'autres données, comme la base de code principale de l'entreprise ou la liste des salaires des employés.

Consultez notre article sur l'authentification vs. l'autorisation pour en savoir plus.

Qu'est-ce que l'authentification unique (SSO) ?

Les employés des entreprises modernes doivent s'authentifier auprès de nombreuses applications différentes basées sur le cloud. Cela oblige ces employés à établir de nombreux ensembles de facteurs d'authentification - un ensemble pour chaque application - et crée des problèmes de sécurité potentiels :

  • Une application dont la sécurité est faible pourrait permettre à un attaquant de compromettre cette application, puis de se déplacer latéralement, de compromettre les autres comptes d'application de l'utilisateur et de s'étendre au reste de l'organisation.
  • Le fait de demander aux utilisateurs de se connecter à plusieurs applications les incite à ne plus suivre les bonnes pratiques de sécurité. Un utilisateur peut commencer à utiliser des mots de passe faibles ou le même mot de passe pour chaque application, car il peut être difficile de mémoriser plusieurs mots de passe aléatoires à 16 chiffres.

Single sign-on (SSO) est un service qui permet aux utilisateurs de s'authentifier une seule fois. Les utilisateurs se connectent au service SSO, qui transmet ensuite cette authentification à chaque application en envoyant un message d'authentification numérique à chacune d'entre elles selon les besoins.

Le SSO donne également aux équipes informatiques un point unique pour appliquer les politiques de sécurité. Toutes les applications ne prennent pas en charge le 2FA, mais si le service SSO le prend en charge, le 2FA peut être utilisé de toute façon. Les équipes informatiques peuvent également imposer des exigences en matière de longueur et de complexité des mots de passe par le biais d'un service SSO, ce qui évite aux utilisateurs d'avoir à se souvenir de plusieurs mots de passe.

Qu'est-ce que le langage SAML (Security Assertion Markup Language) ?

Les messages d'authentification SSO utilisent un protocole appelé Security Assertion Markup Language (SAML). SAML est une méthode standardisée pour indiquer aux applications externes qu'un utilisateur est bien celui qu'il prétend être.

Un message authentifiant un utilisateur est appelé « assertion SAML ». Lorsqu'une application reçoit une assertion SAML pour un utilisateur, elle n'a pas besoin d'authentifier l'utilisateur par elle-même, car elle sait que le service SSO l'a déjà fait.

SAML vs. OpenID Connect (OIDC)

OpenID Connect (OIDC) est un autre protocole d'authentification qui est de plus en plus utilisé par les fournisseurs de SSO. Le fonctionnement d'OIDC est similaire à celui de SAML, mais le format des données est différent, entre autres distinctions. Alors que SAML formate les données via XML, OIDC utilise JSON.

Comment la plateforme Zero Trust de Cloudflare contribue-t-elle à une authentification efficace ?

Cloudflare propose une plateforme de confiance zéro qui fonctionne avec tous les principaux fournisseurs de SSO. Une fois que les utilisateurs s'authentifient auprès de leur service SSO, Cloudflare applique des contrôles d'accès cohérents sur les applications en cloud et sur site. Pour en savoir plus sur cette plateforme, qui comprend l'isolation du navigateur, une passerelle web sécurisée , le filtrage DNS, et d'autres fonctionnalités Zero Trust, consultez la page produit.

Service commercial