Authentification

Authentification (AuthN)

Alors que la gestion des identités et des accès (GIA) commence par l’identification, l’authentification est la deuxième étape. L’authentification, souvent désignée par un synonyme international tel que « AuthN », est l’un des processus de sécurité dans le cadre de la gestion des Accès. Mais que signifie exactement l’authentification dans ce contexte ? Et quelle est la différence avec un concept connexe comme l’autorisation ? Lisez la suite trouver les réponses.

Qu’est-ce que l’authentification ?

L’authentification est un élément clé du système de gestion des identités et des accès (GIA), et fait référence aux processus et mécanismes utilisés pour vérifier l’identité d’un utilisateur, d’une application ou d’un appareil. En d’autres termes on se pose la question suivante : L’utilisateur, l’application ou l’appareil est-il vraiment celui ou ce qu’il prétend être ? Un système d’authentification compare l’identité numérique fournie avec les caractéristiques d’authenticité et les données déjà connues par vous. L’authentification est la deuxième étape du processus de sécurité dans le process de gestion des accès.

Presque chaque internaute est confronté quotidiennement à l’authentification. Prenons par exemple la connexion à votre compte Google ou Outlook professionnel ou personnel. Après avoir saisi votre nom d’utilisateur ou e-mail (identification), Google et Microsoft demandent un mot de passe. L’utilisateur le saisit ensuite. Si le mot de passe saisi correspond au mot de passe enregistré, le système suppose que vous êtes le véritable utilisateur et l’authentification est réussie.

Quels sont les facteurs d’authentification les plus courants ?

Il existe différents facteurs d’authentification, également appelés « credentials », chacun ayant ses propres avantages et inconvénients. Ils peuvent être classés en quelque chose que vous savez, avez, êtes ou faites. Parmi les plus importants et les plus courants, on trouve:

  • Mots de passe : C’est le facteur d’authentification le plus courant, où un utilisateur fournit un nom d’utilisateur et un mot de passe pour accéder à un système ou service. Si un utilisateur connaît la bonne combinaison secrète de lettres, de chiffres et/ou de symboles, le système suppose que l’identité numérique est valide et donne accès à l’utilisateur. Il est important que le mot de passe ne soit pas trop simple et évident, et donc difficile à deviner.
  • Code à usage unique : C’est un facteur de vérification où vous, en tant qu’utilisateur, recevez par exemple via SMS ou application d’authentification un code à usage unique que vous devez saisir pour vous connecter. Il est courant que ces codes aient une durée de validité limitée et ne puissent pas être utilisés plusieurs fois.
  • Caractéristiques biométriques:  C’est un type de credential qui vérifie un utilisateur sur la base de facteurs physiques, ou ce que vous êtes, tels qu’une analyse de l’iris, la reconnaissance faciale ou l’empreinte digitale. Pensez par exemple au FaceID sur iPhone.

Qu’est-ce que l’authentification forte ?

Les hackers deviennent de plus en plus astucieux et professionnels, amenant de plus en plus d’organisations et de fournisseurs de logiciels à exiger une authentification forte. L’utilisateur doit ici passer non pas une, mais plusieurs étapes d’authentification. Pour que l’authentification forte soit réellement plus sécurisée que les formes traditionnelles d’authentification, il est important d’utiliser une combinaison de différents types de facteurs. Appliquer deux mots de passe ne rend pas nécessairement le processus de connexion plus sûr. Ils peuvent en effet être tous deux piratés ou devinés. Combinez un code PIN SMS avec une application d’authentification et quelqu’un avec un téléphone volé peut toujours obtenir un accès inapproprié. Cependant, en combinant des facteurs d’authentification complètement différents, vous réduisez les chances que quelqu’un accède de manière non autorisée à des données, applications et systèmes.

Dans sa totalité, nous pouvons distinguer les formes suivantes d’authentification, dont les deux dernières tombent sous la catégorie « authentification forte » :

  • Authentification à un seul facteur : C’est la forme la plus simple, mais aussi la moins sécurisée d’authentification. L’utilisateur doit fournir un seul élément, ou « facteur », pour vérifier son identité. C’est généralement un mot de passe, mais cela peut aussi être quelque chose comme un code à usage unique récupérable via une application d’authentification.
  • Authentification à deux facteurs : Cette forme d’authentification est en forte croissance et nécessite de l’utilisateur de fournir deux preuves pour vérifier son identité. C’est souvent une combinaison de quelque chose que l’utilisateur connaît (comme un mot de passe) et quelque chose que l’utilisateur possède (comme une carte d’accès ou un code à usage unique envoyé à son téléphone).
  • Authentification Multi-Facteurs : Il s’agit d’un type d’authentification où l’utilisateur doit fournir plus de deux preuves pour vérifier son identité. Cela peut être, par exemple, une combinaison de quelque chose que l’utilisateur sait, quelque chose qu’il possède, et quelque chose qu’il est (comme un facteur biométrique tel qu’une empreinte digitale ou une reconnaissance de l’iris).

Quelle est la différence entre l’authentification et l’autorisation ?

L’authentification est souvent mentionnée en même temps que l’autorisation. Bien que les deux termes aient certainement des points communs et fassent tous deux partie du processus de GIA, ils ne signifient pas la même chose.

Nous pouvons clarifier la différence entre l’authentification et l’autorisation à l’aide d’une analogie. Imaginez qu’une équipe de nettoyage passe en dehors des heures de bureau pour nettoyer votre bâtiment ou bureau d’entreprise. La carte d’identité que les nettoyeurs montrent au gardien représente l’authentification qui leur permet d’entrer dans le bâtiment, semblable aux identifiants que les utilisateurs utilisent pour se connecter à un système numérique.

L’autorisation concerne où l’équipe de nettoyage peut aller dans le bâtiment et ce qu’elle peut faire. Le gardien peut par exemple leur permettre de déplacer temporairement des objets pour nettoyer tous les coins du bureau. Cependant, ils ne sont pas autorisés à entrer dans la salle des serveurs ou à utiliser l’équipement de l’entreprise pour vérifier leurs e-mails.

Le gardien dans l’exemple ci-dessus représente le système de GIA qui est responsable à la fois de l’authentification et de l’autorisation. En résumé, la différence entre l’authentification et l’autorisation dans un contexte de GIA est la suivante :

  • L’authentification vérifie l’identité d’un utilisateur à l’aide d’un nom d’utilisateur, d’un mot de passe et/ou d’autres facteurs d’authentification.
  • L’autorisation détermine à quelles parties protégées d’une application ou d’un système l’utilisateur obtient ensuite l’accès.

L’authentification concerne donc la vérification de l’identité, tandis que l’autorisation concerne l’octroi d’accès à l’information et l’exécution d’actions.