L'authentification peut sembler un concept très compliqué, mais est en fait assez simple : il s’agit d’une façon de montrer que vous êtes qui vous prétendez être. Dans le monde hors ligne, ce processus est simple et universel. La plupart des pays ont des procédures bien documentées par lesquelles vous pouvez obtenir un passeport qui prouve votre identité où que vous alliez dans le monde. Dans le monde de l'informatique en revanche, il n'y a pas un seul document que vous pouvez utiliser pour prouver votre identité où que vous alliez. Par conséquent, la plupart des sites Web et des services utilisent des techniques légèrement différentes.
Dans mon article précédent sur les quatre « A » de la gestion des comptes, nous avons discuté de l'authentification par rapport à l'autorisation, le contrôle d'accès et l'enregistrement des audits. L'établissement d'une bonne authentification est une première étape essentielle avant de pouvoir exécuter les trois autres fonctions de gestion de compte. En effet, si vous ne savez pas qui est quelqu'un, vous ne pouvez pas savoir à quelles ressources ou quels services il a droit d'accéder, ni identifier les mesures qu'il a prises.
Faire vos preuves en ligne
Lorsque vous voulez montrer que quelqu'un est la personne qu'il prétend être, vous devez trouver quelque chose d'unique et d'immuable en lui. Pour ce faire, vous pouvez faire certaines choses. Dans les films ou les émissions de télévision, s'il y a un doute sur l'identité d'une personne, le chemin habituel s’apparente à celui-ci :
- Demander à la personne de vérifier un élément d'information qu'une seule personne pourrait connaître, ou
- Lui demandez d'exposer une babiole qu'une seule personne porterait, ou
- Vérifier si la personne présente une caractéristique notable qui lui est propre.
Des options similaires sont disponibles pour la vérification des utilisateurs en ligne. Ces trois méthodes de base sont regroupées comme étant des « facteurs d'authentification ». Individuellement, ces facteurs sont connus sous le nom de :
- Facteur mémoriel – Ce que vous savez
Il s'agit d'une information qui n'est (idéalement) connue que de la personne dont l'identité est vérifiée et de la personne ou du processus qui la vérifie.
- Facteur matériel ou de possession - Ce que vous avez
C'est quelque chose qu'une personne ou une organisation dont vous avez eu l’approbation vous a donné et qui peut être utilisé pour vérifier votre identité.
- Facteur corporel ou d'existence - Ce que vous êtes
Ce sont des choses qui font partie de qui vous êtes et qui, typiquement, qui ne changeront jamais.
Les trois premiers facteurs d'authentification
Parmi les éléments couramment utilisés comme facteurs mémoriels, on compte notamment les mots de passe, les phrases de passe, les mots de passe, les codes d'accès ou les NIP (acronyme signifiant Numéro d’identification personnel). Beaucoup de gens ne se rendent peut-être pas compte que les « questions secrètes », que certains sites Web vous font configurer en plus de votre mot de passe, appartiennent aussi à cette catégorie.
La plupart d'entre nous disposons d’au moins un « facteur matériel » dans notre portefeuille, souvent davantage. Bien que votre permis de conduire ou votre carte d'identité du gouvernement appartiennent clairement à ce groupe, c’est aussi le cas de vos cartes de paiement. Voilà pourquoi vous êtes parfois autorisé à les utiliser comme pièce d'identité de base.
Cette carte de crédit ou de débit dans votre portefeuille ne sert pas uniquement à démontrer que vous avez été jugé apte à rembourser vos dettes; elle permet également de confirmer que votre institution financière a vérifié votre identité.
Mais les cartes d'identité et les cartes de paiement ne constitue pas la seule forme des facteurs matériels ou de possession. Tout ce qui peut être lié uniquement à vous peut être utile. Pensons par exemple à une adresse électronique, un appareil mobile ou un numéro de téléphone. Des codes clés temporaires peuvent être générés par des sites en ligne et vous être envoyés par SMS, par appel vocal ou par courriel, pour vous permettre d’inscrire vos identifiants de connexion.
Dernier mais non le moindre, le facteur corporel ou d’existence. Autrefois confiné aux romans d’espionnage, ce facteur d'authentification est désormais accessible à la plupart des gens via nos smartphones ou ordinateurs portables. Les scanners d'empreintes digitales, l'exemple le plus courant, sont destinés à vérifier le motif unique sur le bout de vos doigts. Certains téléphones intelligents sont maintenant équipés de scanners d'iris, qui recherchent les taches et les colorations uniques de vos yeux. La US Customs and Border Patrol teste actuellement des scanners de reconnaissance faciale afin d'automatiser la vérification des pièces d'identité avec photo. [NDLT : Cet article est une traduction d’un article publié en 2016. Plusieurs articles plus récemment publiés peuvent compléter l’information présente ici].
Quand un seul ne suffit pas
« L'utilisation de plus d'un facteur pour vérifier les propriétaires de compte est une option qui gagne en popularité. »
Aujourd’hui, la plupart d'entre nous connaissent quelqu'un dont le compte en ligne a été piraté. Une authentification se contentant d’utiliser le nom d'utilisateur et le mot de passe peut constituer un casse-tête en matière de sécurité bien des gens. Les chercheurs sont donc toujours à l’affût pour trouver de nouveaux moyens d'authentifier les utilisateurs rapidement et en toute sécurité. L'utilisation de plus d'un facteur pour vérifier les propriétaires de compte est une option qui gagne en popularité.
La connexion avec deux facteurs d'authentification est appelée « authentification à deux facteurs » ou « vérification en deux étapes » (2FA ou TFA en abrégé). Si un processus de connexion a activé 2FA, même si les utilisateurs fournissent leurs identifiants (accidentellement ou intentionnellement), leurs comptes peuvent toujours être protégés si l'attaquant n'a pas également accès au second facteur.
Autres facteurs pour l'avenir
Une autre méthode pour améliorer la sécurité de l'authentification consiste à trouver de nouveaux facteurs. Il y en a d'autres que vous utilisez peut-être déjà sans le savoir :
- Facteur de localisation - Où vous vous trouvez
- Facteur comportemental - Ce que vous faites
Cela peut sembler un peu étrange, car les gens voyagent et leur comportement change avec le temps. Et vous vous demandez peut-être aussi comment ces choses peuvent être uniques. Mais il s'avère qu'ils peuvent être très utiles, surtout lorsqu’utilisés en conjonction avec d'autres facteurs.
Le « facteur de localisation » se base sur le fait qu’on on peut raisonnablement s'attendre à ce que vous vous trouviez en général à certains endroits (c'est-à-dire à la maison ou au travail) ou que vous utilisiez certaines machines spécifiques. Évidemment, ce ne sera pas toujours le cas; cette information n’est donc pas très utile prise isolément. Si vous vous trouvez dans une région connue ou que vous utilisez une adresse IP ou MAC connue, vous pouvez l'utiliser comme deuxième facteur d'authentification en plus de saisir un nom d'utilisateur et un mot de passe. Mais si vous n'êtes pas à cet endroit connu ou sur cette machine connue, il vous sera demandé d'utiliser un autre facteur d'authentification tel qu'un code clé.
Quant au « facteur comportement », il s'avère que certains comportements peuvent être aussi uniques que les empreintes digitales. C’est par exemple le cas de nos habitudes de navigation sur Internet, nos voix, nos mouvements de souris ou d'écran tactile, ou notre écriture. Certains smartphones utilisent présentement ce facteur. Si vous configurez un mot de passe numérique ou gestuel, ils peuvent enregistrer non seulement le mot de passe lui-même, mais aussi la façon dont vous avez tapé ou glissé ce code.
Prochaines étapes : Mettre vos limites
Une fois l'identité d'une personne authentifiée, de nombreux administrateurs ouvrent simplement les portes métaphoriques aux utilisateurs, leur permettant d'accéder librement à leurs réseaux. Dans notre prochain article, nous parlerons des prochaines étapes de la gestion des comptes : l’autorisation et le contrôle des accès. Ces techniques vous permettent de mettre en place des contrôles appropriés qui permettent aux utilisateurs d'accéder aux ressources ou aux services dont ils ont besoin, et de bloquer la disponibilité des choses dont ils n'ont pas besoin, de manière à limiter les dommages accidentels ou intentionnels et le vol.