Authentification

Un article de Wiki Paris Descartes.

Des clés pour comprendre l'Université numérique
Accès par catégories au glossaire : Accès thématique
HYPERGLOSSAIRE : A B C D E F G H I J K L M N O P Q R S T U V W X Y Z



Sommaire


L’individu, dans sa vie de tous les jours, est amené à faire « usage » de son identité soit pour s'identifier, soit pour s'authentifier.
Les systèmes d'identification et d'authentification réclament un moyen simple, pratique, fiable, pour vérifier l'identité d'une personne, sans l'assistance d'une autre personne.

Quelques définitions

Identification

Je dis qui je suis.
S’identifier c’est communiquer son identité, celle-ci pouvant avoir été préalablement enregistrée.

« Identifier quelque chose consiste à distinguer cette chose de toute autre sans ambiguïté afin de la reconnaître en toute occasion et pouvoir dès lors relier (dans le temps et dans l’espace) toutes les informations dont on peut disposer sur cette chose. « Chose » n’est pas un terme très explicite. Il est d’usage de parler d’entité, qui est par définition objet d’identification. En effet, les entités sont des choses qui existent et peuvent être distinguées les unes des autres (Vetter, 1992) »

L'identification consiste à associer une identité à une entité.

Authentification

Je prouve être celui que je prétends être.
S’authentifier c’est apporter la preuve de son identité.
« L'authentification est la procédure qui consiste, pour un système informatique, à vérifier l'identité d'une entité (personne, ordinateur...), afin d'autoriser l'accès de cette entité à des ressources (systèmes, réseaux, applications...). L'authentification permet donc de valider l'authenticité de l'entité en question.  » (Wikipédia)

L'authentification, indissociable de la notion d'identification, est un élément essentiel de la sécurité informatique. Authentifier est en effet une condition indispensable :

  • pour garantir la confidentialité et l'intégrité des données transmises,
  • pour protéger contre les Hackers et autres utilisateurs malveillants.

L'authentification consiste donc à vérifier qu’une personne possède bien l’identité qu’elle affirme avoir.

Certification

Un tiers prouve qui je prétends être.
« La certification se rapporte à la délivrance d'une assurance écrite (le certificat) par un organisme extérieur indépendant attestant la conformité (d'un produit, d'un service) aux normes et rêglements en vigueur. » (Le nouveau Petit Robert, 2007)

Autorisation

Autorisation : si l’authentification ou la certification sont valides, je dispose des droits pour pénétrer le système et en exploiter les ressources.
L'autorisation est le processus d'identification des ressources accessibles par un utilisateur dûment authentifié.

Les différents types d'authentification

Toutes les techniques d'authentification reposent sur l'utilisation d'un secret (partagé par l'utilisateur et le système) qui doit être unique et non falsifiable.
On distingue trois types d'authentification selon la nature du secret que l'utilisateur doit fournir au système pour s'authentifier

Authentification par "ce que je connais" (mot de passe)

L'utilisateur, dans ce cas, fournit un élément d'information (secret) qu'il connaît.
Classiquement, l'utilisateur saisit un couple identifiant / mot de passe :

  • l'identifiant l'identifie.
    L'identifiant (nom d'utilisateur ou code ID) correspond à l'identité de l'utilisateur préalablement enregistrée dans une base de données du serveur.
  • le mot de passe l'authentifie.

Les étapes sont les suivantes :

  1. En réponse à une demande d'authentification de la part du serveur, le client (navigateur d'un ordinateur personnel) affiche une boîte de dialogue demandant le nom (identifiant) de l'utilisateur et son mot de passe pour accéder à ce serveur.
  2. Le client envoie le nom et le mot de passe par le réseau, en clair ou par une connexion SSL chiffrée
  3. Le serveur vérifie le nom et le mot de passe dans sa base de données locale et, s'ils correspondent, il les accepte comme preuves authentifiant l'identité de l'utilisateur.
  4. Le serveur détermine si l'utilisateur est autorisé à accéder aux ressources demandées, et si oui, autorise le client à y accéder

Les problèmes liés à ce type d'authentification sont notamment :

  • Le mot de passe peut être oublié, copié ou volé. Il doit donc être choisi de manière à être mémorisé mais difficile à trouver pour être protégé contre des attaques à base de dictionnaires ou des « attaques par force brute » (par recherche exhaustive de combinaison de caractères), etc.
  • La transmission du mot de passe au serveur doit être sécurisée.

Authentification par "ce que je possède" (authentifieur)

L'authentification, dans ce cas, repose sur un objet physique que l'on possède (qui se substitue à l'identifiant) et un secret (mot de passe ou code PIN) détenu par l'utilisateur et permettant de débloquer cet objet. L'objet matérialise l'identification et le secret constitue la preuve. La connaissance du secret par le propriétaire de l'objet permet de le relier avec une certaine assurance à l'identité dont l'objet est porteur.

Les problèmes, dans ce type d'authentification, sont notamment les suivants :

  • Ce que l'on possède (badge, clé, pièce d'identité, carte à puce, etc) peut être oublié, volé, copié ou contrefait.
  • Ce que l'on sait (mot de passe, codes d'accès) à l'instar de ce que l'on possède, peut être oublié, copié ou volé.

Authentification à base de mots de passe à usage unique (OTP : One-Time Password)

La méthode OTP reprend le couple identifiant / mot de passe, mais ajoute le principe d'un algorithme générant un mot de passe temporaire valable pour une seule utilisation et dans une durée limitée. Ce mécanisme nécessite un calculateur chargé de générer les codes aléatoires, et un serveur d'authentification pour analyser la validité de ce code. Le risque concerne la perte ou l'oubli d'une calculatrice.
L'objet qui supporte l'OTP peut être une carte à puce, un téléphone mobile, un PDA, un "token" (objet qui a le format d'une calculette possédant une zone où s'affiche et se rafraîchit l'OTP), un logiciel sur PC capable de générer un OTP, etc).

Authentification à base de certificats

(PKI : Public Key Infrastructure - Infrastructure à clé publique)
Un certificat constitue une carte d'identité numérique qui permet d'identifier un individu, un serveur, une entreprise ou toute autre entité, d'associer une clé publique à cette entité et d'attester qu'elle lui appartient.
Il prend la forme d'un fichier contenant la clé publique, les renseignements d'identification, la date de validité du certificat, etc. Ces informations sont certifiées être justes par une autorité de certification (AC), tierce partie qui est censée les avoir vérifiées avant d'avoir validé le certificat.
La clé publique contenue dans ce certificat est associée à une clé privée que l'utilisateur (entité) doit garder secrète. Cette clé peut être stockée soit sur le disque dur de son poste de travail, soit sur un support physique amovible (clé USB, carte à puce, téléphone portable, ...). Dans les deux cas, un secret (mot de passe ou PIN) est nécessaire pour activer la clé privée.

Les étapes sont les suivantes :

  1. L'utilisateur entre le mot de passe de la clé privée, en réponse à une demande d'accès à un serveur SSL qui requiert une authentification par certificat.
  2. Le client récupère la clé privée (correspondant à la clé publique) et l'utilise pour signer numériquement le challenge (valeur numérique aléatoire) que lui a envoyé le serveur. Cette signature numérique constitue une preuve d'authentification.
  3. Le client envoie au serveur web le certificat et la preuve au travers du réseau (connexion sécurisée SSL)
  4. Le serveur utilise le certificat pour connaître l'identité de l'utilisateur et la preuve pour l'authentifier.
  5. Le serveur autorise l'accès pour l'identité authentifiée.

Authentification par "ce que je suis ou fais" (biométrie)

L'authentification s'effectue, dans ce cas-ci, à partir d'une caractéristique physique propre à l'utilisateur (empreintes digitales, main, visage, etc) ou d'un comportement (démarche, signature manuscrite, reconnaissance vocale, dynamique de frappe, etc).

La biométrie permet l'authentification ou l'identification.

Dans le cas de l' authentification, le procédé permettant de vérifier l'identité d'une personne comprend deux étapes :

  1. L'utilisateur fournit un identifiant « Id » au système de reconnaissance (par exemple un numéro d'utilisateur).
  2. L'utilisateur fournit ensuite un échantillon biométrique qui va être comparé à l'échantillon biométrique correspondant à l'utilisateur « Id » contenu dans la base de donnée biométrique du système (comparaison 1-1). Si la comparaison correspond, l'utilisateur est authentifié.

Dans le cas de l' identification, le procédé permettant de déterminer l'identité d'une personne ne comprend qu'une étape :

  • L'utilisateur fournit un échantillon biométrique qui va être comparé à tous les échantillons biométriques contenus dans la base de données biométriques du système (comparaison 1-n). Si l'échantillon correspond à celui d'une personne de la base, on renvoie son numéro d'utilisateur. Sinon l'identification échoue.

Différentes modalités

Authentification simple

L'authentification est simple lorsqu'elle ne repose que sur une seule preuve de l'identité (« élément » ou « facteur » d'authentification) : un mot de passe par exemple.

Authentification forte

L'authentification est forte lorsqu'elle nécessite plusieurs éléments d'authentification.
La méthode OTP, par exemple, est une authentification forte.

Authentification unique

L'authentification unique (en anglais : Single Sign-On ou SSO) est une méthode permettant à un utilisateur de ne procéder qu'à une seule authentification pour accéder à plusieurs applications informatiques (ou sites web sécurisés).

Liens pour approfondir

Récupérée de « http://wiki.univ-paris5.fr/wiki/Authentification »