L'authentification est le processus de vérification de l'identité. Elle nécessite l'utilisation de mots de passe, de jetons matériels ou d'un certain nombre d'autres méthodes.
Cet article s'articule autour des points suivants :
Contenu associé
Authentification à deux facteurs
Authentification multifacteur
Qu'est-ce que le SSO ?
Qu'est-ce que l'lAM ?
Identité
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
En cybersécurité, l'authentification est le processus de vérification de l'identité de quelqu'un ou de quelque chose. L'authentification se fait généralement par la vérification d'un mot de passe, d'un jeton matériel ou d'un autre élément d'information prouvant l'identité. Tout comme le personnel d'une compagnie aérienne vérifie le passeport ou la carte d'identité d'une personne lorsqu'elle monte à bord d'un avion, les systèmes informatiques doivent s'assurer qu'une personne est bien celle qu'elle prétend être. Dans un aéroport, ce processus d'authentification permet de s'assurer que seules les personnes munies d'un billet montent dans l'avion ; pour les systèmes numériques, il garantit que les données sont consultées et utilisées par les bonnes personnes.
L'authentification ne s'applique pas seulement à la vérification des utilisateurs humains. Les systèmes informatiques doivent également vérifier les serveurs, les logiciels, les API, et les autres ordinateurs pour s'assurer que ils sont bien ceux qu'ils « prétendent être ».
L'authentification est un élément important de la gestion des identités et des accès (IAM), qui détermine qui peut consulter les données et ce qu'il peut en faire. Mais elle s'applique également à de nombreux autres domaines de la sécurité, notamment :
Étant donné qu'un ordinateur ne peut pas « reconnaître » une personne ou un autre ordinateur comme le fait un humain, le processus d'authentification repose sur des critères objectifs qu'un ordinateur peut mesurer. Un type de critère objectif consiste à vérifier une qualité connue de la personne ou de l'ordinateur en question. Un autre type consiste à utiliser une technologie appelée cryptographie à clé publique pour prouver l'identité.
Ce type d'authentification consiste à vérifier une caractéristique mesurable de l'identité par rapport à un enregistrement numérique correspondant. Les caractéristiques qu'un système d'authentification vérifie sont appelées « facteurs ». Trois facteurs d'authentification courants sont largement utilisés aujourd'hui :
1. Quelque chose que la personne connaît
Ce facteur d'authentification vérifie un élément de connaissance secret que seule la personne réelle devrait posséder. Une combinaison de nom d'utilisateur et de mot de passe est l'exemple classique de ce facteur. Les questions de sécurité et les codes PIN en sont également des exemples.
2. Quelque chose que la personne a
Ce facteur d'authentification vérifie si la personne possède un objet physique qui lui a été remis ou dont elle est connue. De nombreuses personnes utilisent quotidiennement ce facteur d'authentification : elles vivent dans une maison ou un appartement qu'elles peuvent déverrouiller avec une clé métallique. La possession de cette clé prouve donc qu'ils sont autorisés à entrer dans les lieux, et leur permet de le faire.
Dans les systèmes numériques, ce facteur d'authentification ne repose pas sur une combinaison « à l'ancienne » utilisant une serrure et une clé. Cependant, il utilise un principe similaire, consistant à vérifier la présence d'un jeton physique. Il existe deux types de jetons : les jetons logiciels et les jetons matériels.
Jetons logiciels : un jeton logiciel consiste à vérifier la possession d'un appareil, comme un smartphone, en envoyant un code à cet appareil et en demandant à l'utilisateur de le saisir. Le code peut être envoyé sous forme de message texte ou par le biais d'une application qui génère des codes aléatoires.
Jetons durs : un jeton dur est un petit objet physique qui se connecte à un ordinateur ou à un appareil mobile via Bluetooth, un port USB ou un autre port. Les utilisateurs doivent brancher ce jeton sur leur appareil pour vérifier leur identité.
Certains experts en sécurité considèrent que les jetons rigides sont plus sûrs que les jetons souples. Un pirate pourrait intercepter à distance un code en route vers le téléphone d'un utilisateur et utiliser ce code pour se faire passer pour l'utilisateur. Mais il est beaucoup plus difficile de voler un jeton dur : l'attaquant doit accéder physiquement au jeton pour le faire.
3. Quelque chose que la personne est
Ce facteur d'authentification évalue les qualités intrinsèques d'une personne. Dans la vie réelle, les gens le font tout le temps - deux amis peuvent se reconnaître à leur apparence ou à leur façon de parler, par exemple. Un ordinateur pourrait faire de même en scannant le visage ou la rétine d'une personne, en vérifiant l'empreinte de son pouce, en mesurant les fréquences de sa voix ou en vérifiant les résultats d'une analyse de sang (bien que ce dernier cas soit plus rare).
Facteurs d'authentification supplémentaires
Certains membres de l'industrie de la sécurité ont proposé ou utilisé des facteurs d'authentification supplémentaires en plus des trois principaux facteurs énumérés ci-dessus. Deux de ces facteurs supplémentaires sont location (où se trouve un utilisateur) et time (quand il accède au système).
Outre l'utilisation des facteurs d'authentification décrits ci-dessus, les entités connues et de confiance peuvent également se voir délivrer des certificats numériques. Un certificat numérique est un petit fichier numérique qui contient des informations permettant de vérifier l'identité, tout comme une carte d'identité contient des informations permettant de vérifier l'identité d'une personne dans la vie réelle.
Les certificats numériques reçoivent une signature numérique pour prouver leur authenticité de la part de l'autorité qui les émet, tout comme un passeport, une carte d'identité ou une pièce de monnaie en papier peuvent avoir un filigrane prouvant qu'ils ne sont pas contrefaits.
Un certificat numérique contient également une chaîne de valeurs aléatoires appelée clé publique. La clé publique correspond à une clé privée qui est stockée séparément. L'entité qui possède le certificat peut signer numériquement des données avec ces clés pour prouver qu'elle possède la clé privée et qu'elle est donc authentique.
Actuellement, les certificats numériques ne sont pas souvent utilisés pour vérifier l'identité des personnes. Mais la plupart des gens utilisent des certificats numériques tous les jours sans s'en rendre compte.
Lorsqu'une personne charge un site Web qui utilise HTTPS, la version sécurisée de HTTP, le protocole TLS utilise le certificat numérique du site Web (appelé certificat SSL ou certificat TLS) pour authentifier le site Web. DKIM, qui authentifie les expéditeurs de courrier électronique, est un autre exemple de technologie qui utilise cette méthode au lieu de vérifier les facteurs d'authentification. DKIM aide les fournisseurs de courrier électronique à trier et à bloquer les courriers indésirables.
Authentification multifactorielle (AMF) est le processus qui consiste à vérifier l'identité d'une personne en contrôlant deux facteurs d'authentification ou plus, plutôt qu'un seul. L'AMF est un type d'authentification plus fort que l'authentification à un seul facteur, car il est beaucoup plus difficile de falsifier deux de ces facteurs que d'en falsifier un seul.
Un attaquant pourrait être en mesure de voler le nom d'utilisateur et le mot de passe de Bob (peut-être par le biais d'une attaque de phishing). Mais si Bob doit également scanner son visage, l'attaquant ne pourra pas falsifier l'identité de Bob, puisque son visage ne ressemble pas à celui de Bob. Ou, si Bob doit brancher un jeton dur sur son ordinateur en plus de la saisie de son mot de passe, l'attaquant devra également voler ce jeton. Bien que possible, un tel vol est beaucoup plus difficile, ce qui rend la prise de contrôle du compte moins probable.
Pour une véritable AMF, il faut vérifier des facteurs distincts. L'évaluation de plusieurs instances d'un même facteur ne constitue pas une AMF. Par exemple, si une application demande à un utilisateur de saisir un mot de passe et de répondre à des questions de sécurité pour s'authentifier, il s'agit toujours d'une authentification à un seul facteur. La saisie du mot de passe et les questions de sécurité évaluent toutes deux le facteur « something you know ».
En raison de la sécurité accrue qu'elle offre, la MFA est un principe fondamental de la sécurité de Zero Trust, un modèle de sécurité qui exige la vérification de l'identité de chaque utilisateur et de chaque appareil qui accède à un réseau privé.
L'authentification à deux facteurs (2FA) est le nom donné à l'AMF lorsque deux facteurs exactement sont utilisés. Le type le plus courant d'authentification à deux facteurs est « quelque chose que vous savez » + « quelque chose que vous avez ». Par exemple, en plus de saisir leurs mots de passe, de nombreuses personnes se font envoyer des codes sur leur téléphone avant de pouvoir accéder à leurs comptes bancaires (un exemple de la version « soft token » de ce facteur).
Aujourd'hui, de nombreuses entreprises utilisent l'authentification à deux facteurs pour limiter les répercussions des attaques de phishing. Par exemple, Google a pu éliminer les attaques par usurpation de compte en utilisant l'authentification à deux facteurs avec des jetons physiques pour l'authentification.
Alors que l'authentification vise à vérifier l'identité, l'autorisation concerne les permissions, c'est-à-dire ce qu'une personne est autorisée à faire une fois qu'elle a obtenu l'accès à un système ou à une ressource protégée.
Supposons que Bob travaille dans le service marketing de son entreprise. Il saisit son mot de passe, scanne son visage et insère son jeton dur pour se connecter au réseau de son entreprise. À ce stade, l'authentification est terminée.
Après s'être connecté, Bob n'a pas accès à tous les fichiers de données en possession de l'entreprise. L'autorisation détermine ce que Bob peut et ne peut pas voir. En tant que spécialiste du marketing, il est autorisé à voir certaines données, comme la liste des clients potentiels à qui l'entreprise enverra des messages de marketing, mais pas d'autres données, comme la base de code principale de l'entreprise ou la liste des salaires des employés.
Consultez notre article sur l'authentification vs. l'autorisation pour en savoir plus.
Les employés des entreprises modernes doivent s'authentifier auprès de nombreuses applications différentes basées sur le cloud. Cela oblige ces employés à établir de nombreux ensembles de facteurs d'authentification - un ensemble pour chaque application - et crée des problèmes de sécurité potentiels :
Single sign-on (SSO) est un service qui permet aux utilisateurs de s'authentifier une seule fois. Les utilisateurs se connectent au service SSO, qui transmet ensuite cette authentification à chaque application en envoyant un message d'authentification numérique à chacune d'entre elles selon les besoins.
Le SSO donne également aux équipes informatiques un point unique pour appliquer les politiques de sécurité. Toutes les applications ne prennent pas en charge le 2FA, mais si le service SSO le prend en charge, le 2FA peut être utilisé de toute façon. Les équipes informatiques peuvent également imposer des exigences en matière de longueur et de complexité des mots de passe par le biais d'un service SSO, ce qui évite aux utilisateurs d'avoir à se souvenir de plusieurs mots de passe.
Les messages d'authentification SSO utilisent un protocole appelé Security Assertion Markup Language (SAML). SAML est une méthode standardisée pour indiquer aux applications externes qu'un utilisateur est bien celui qu'il prétend être.
Un message authentifiant un utilisateur est appelé « assertion SAML ». Lorsqu'une application reçoit une assertion SAML pour un utilisateur, elle n'a pas besoin d'authentifier l'utilisateur par elle-même, car elle sait que le service SSO l'a déjà fait.
OpenID Connect (OIDC) est un autre protocole d'authentification qui est de plus en plus utilisé par les fournisseurs de SSO. Le fonctionnement d'OIDC est similaire à celui de SAML, mais le format des données est différent, entre autres distinctions. Alors que SAML formate les données via XML, OIDC utilise JSON.
Cloudflare propose une plateforme de confiance zéro qui fonctionne avec tous les principaux fournisseurs de SSO. Une fois que les utilisateurs s'authentifient auprès de leur service SSO, Cloudflare applique des contrôles d'accès cohérents sur les applications en cloud et sur site. Pour en savoir plus sur cette plateforme, qui comprend l'isolation du navigateur, une passerelle web sécurisée , le filtrage DNS, et d'autres fonctionnalités Zero Trust, consultez la page produit.