Chapitre 3 L'AUTHENTIFICATION

1.13 3.1. INTRODUCTION

L'Authentification est la vérification d'informations relatives à une personne ou à un processus informatique. L'authentification complète le processus d'identification dans le sens où l'authentification permet de prouver une identité déclarée. Dans un serveur, un processus de contrôle valide l'identité et après authentification, donne l'accès aux données, applications, bases de données, fichiers ou sites Internet. Dans le cas contraire, l'accès est refusé.

L'authentification peut se faire de multiples manières, et notamment par la vérification de :

« Ce que je sais », un mot de passe par exemple,

« Ce que je sais faire », une signature manuscrite sur écran tactile/digital (de type PDA),

« Ce que je suis », une caractéristique physique comme une empreinte digitale,

« Ce que je possède », une carte à puce par exemple.

Le choix de telle ou telle technique dépend en grande partie de l'usage que l'on souhaite en faire : authentification de l'expéditeur d'un email, authentification d'un utilisateur qui se connecte à distance, authentification d'un administrateur au système, authentification des parties lors d'une transaction de B2B (Business to Business), etc.

La combinaison de plusieurs de ces méthodes (aussi appelées facteurs d'authentification) permet de renforcer le processus d'authentification, on parle alors d'authentification forte.

Les techniques d'authentification les plus usitées sont, de loin, les mots de passe mais aussi, de plus en plus, les Certificats de clés publiques.

1.14 3.2. METHODES COURANTES D'AUTHENTIFICATION

3.2.1. Mots de passe

Les mots de passe pris dans leur ensemble sont le moyen d'authentification le plus répandu à ce jour. On distingue deux catégories : les mots de passe statiques et les mots de passe Dynamiques.

Les mots de passe statiques sont des mots de passe qui restent identiques pour plusieurs connexions sur un même compte. Ce type de mot de passe est couramment rencontré sous Windows NT ou Unix. Cette technique d'authentification est la plus utilisée dans les entreprises mais aussi la moins robuste. En fait, les Entreprises devraient restreindre l'usage des mots de passe statiques à une authentification locale d'un utilisateur car les attaques qui permettent de capturer un mot de passe qui circule sur un réseau sont nombreuses et faciles à mettre en pratique.

Pour pallier les faiblesses de l'usage des mots de passe statiques, sont apparues des solutions d'authentification combinant deux facteurs (« ce que je possède » et « ce que je sais ») afin d'obtenir une authentification Forte. Les mots de passe sont obtenus par des Générateurs de mots de passe activés à l'aide d'un code d'identification personnel ou PIN (Personal Identification Number). La mise en place d'un tel mécanisme d'authentification forte rend la capture du mot de passe en cours d'aucune utilité puisque, dès que le mot de passe dynamique a été utilisé, celui-ci devient caduc. Parmi ces mots de passe à usage unique - One Time Password (OTP) en Anglais - on trouve notamment le programme SKEY dont la sécurité repose sur une fonction à sens unique et qui permet de générer un mot de passe différent pour chaque nouvelle connexion. En version logicielle, ces générateurs de mots de passe dynamiques utilisent certains composants du PC, comme le microprocesseur, le CPU ou l'Horloge interne (on parle alors de méthode d'authentification en mode synchrone dépendant du temps). Que le mot de passe à usage unique soit obtenu à partir d'un générateur matériel ou logiciel, l'utilisateur est authentifié de manière forte grâce à la vérification du mot de passe dynamique par un serveur appelé serveur d'authentification.

Afin d'éviter aux utilisateurs de retenir de nombreux mots de passe, il est possible de mettre en place un outil qui rende l'authentification de l'utilisateur unique pour chaque session : le Single Sign On (SSO).

Notons toutefois que la mise en place d'un SSO ne renforce en aucun cas la robustesse du processus de contrôle d'accès au SI, il sert juste de point d'entrée unique au SI : c'est une mesure pratique pour les utilisateurs. Par conséquent, si ce point d'entrée venait à céder à la suite d'une malveillance, d'un disfonctionnement ou d'une attaque venant d'Internet, cela pourrait avoir des conséquences désastreuses pour la sécurité du SI de l'entreprise. Il est donc souhaitable de coupler le contrôle d'accès des utilisateurs au système d'information via un serveur SSO à une méthode d'authentification forte comme un mot de passe Jetable (i.e. mot de passe à usage unique), des certificats X.509 ou des systèmes biométriques, suivant le niveau de risque des informations auxquelles l'utilisateur nécessite un accès.

Par ailleurs, l'authentification peut aussi reposer sur un protocole d'authentification réseau, le protocole Kerberos, qui permet de sécuriser les mots de passe statiques lorsqu'ils sont transmis sur le réseau. Ce protocole, créé par le Massachusetts Institute of Technology (MIT), utilise la cryptographie à clés publiques.