Un des aspects les plus importants en cybersécurité est de réussir à identifier les utilisateurs qui vont accéder à vos services ou à votre réseau informatique. On se concentre ici sur l’interaction entre l’utilisateur et le service aussi appelé IHM (Interface Human-Machine).
Et c’est là que l’authentification entre en jeu.
Que ce soit pour améliorer votre sécurité interne, pour offrir une meilleure expérience utilisateur ou pour rassurer vos clients, il est important de comprendre ce qu’est l’authentification et comment bien la mettre en place. Un mécanisme d’authentification renforcé garantit la confidentialité des informations sensibles des utilisateurs. Il est le premier rempart faisant face aux cybercriminels convoitant ces données.
Qu’est-ce que l’authentification ?
Il est très facile de trouver une définition générique en prenant le premier lien des résultats d’une recherche Google (souvent Wikipédia).
L’authentification est l’ensemble des mécanismes de sécurité vérifiant la légitimité de l’interaction soit entre machines, soit entre l'humain et la machine.
Cependant, cette vérification ne concerne que la demande d’accès. L'authentification seule ne permet pas d’identifier la personne ou la machine demandant l’accès. Si les bonnes informations d’identification sont présentées (identifiants/mots de passe, badge, etc…), l’accès sera autorisé. Ainsi, plusieurs groupes de personnes peuvent posséder les mêmes clés d’accès à une ressource (ce qui n’est pas très recommandé). Pour remédier à cela, des mécanismes plus avancés ont été développés, mais on verra cela plus tard dans cet article.
Comment l’authentification fonctionne ?
Pour obtenir l'accès, l’utilisateur (ou la machine) doit prouver au système qu'il est bien la personne qu'il prétend être. L'ID et la clé suffisent à confirmer l'identité de l'utilisateur, ce qui permettra au système d'autoriser l'accès à cet utilisateur.
Il est important de noter que l'autorisation, en revanche, est ce qui dicte ce que les utilisateurs peuvent voir et faire lorsqu'ils se connectent. Bien que l'autorisation et l'authentification soient souvent utilisées de manière interchangeable, ces deux termes différents fonctionnent ensemble pour créer un processus de connexion sécurisé.
Tout simplement, l’authentification doit :
Gérer l’interaction entre le demandeur et le système :
Demander les informations d’identification.
Créer un tunnel sécurisé pour transmettre ces informations.
Vérifier la validité de ces informations d’identification
Approuver (ou refuser) la demande d’accès afin que le système puisse autoriser l’accès aux ressources.
Voici un exemple de processus d’authentification :
L’utilisateur rempli un formulaire avec ses informations d’identification.
Le système d’authentification récupère ces informations de façon sécurisée (tunnel chiffré par exemple) et essaye de trouver une correspondance avec sa base d’identification.
Si une correspondance est trouvée, le système authentifie l’utilisateur et lui donne accès aux ressources. Sinon, l’utilisateur est invité à saisir de nouveau ses informations d’identification. Si les tentatives infructueuses s’enchainent, il est recommandé de mettre un mécanisme de blocage de compte automatique pour éviter des attaques de types brut force et de le signaler au gestionnaire du système ainsi qu'au possesseur du compte.
Quelques méthodes d’authentification
Dans les parties précédentes, nous avons déjà brièvement énoncé le principe d’information d’identification aussi appelé "facteur d’authentification". Ces facteurs sont définis en trois catégories :
Ce que je sais : il peut s'agir d'un nom d'utilisateur, d'un mot de passe ou d'un code PIN. Le problème avec ces facteurs est qu'ils peuvent être faibles en termes de sécurité car ils peuvent être partagés ou devinés.
See AlsoPlatforms that Support FIDO2 AuthenticationTélécharger Google Authenticator - Utilitaires, Sécurité - Les NumériquesDéfinir la méthode d'authentification sans filPrendre en charge l’authentification sans mot de passe avec des clés FIDO2 dans les applications que vous développez - Microsoft identity platformCe que je possède : il peut s’agir de jetons de mot de passe à usage unique tels que les codes temporaires fournis par une application OTP, les porte-clés, les cartes d'identité et les jetons physiques.
Ce que je suis : tout processus d'authentification biométrique, comme la numérisation des empreintes digitales et la reconnaissance faciale, entre dans cette catégorie.
Et pour chacune de ces catégories, plusieurs méthodes existent. En voici quelques-unes :
Le combo identifiant / mot de passe
Il s'agit d’une des méthodes les plus utilisées, avec laquelle les utilisateurs sont les plus familiers. Lorsque vous arrivez sur la page, il vous est demandé de saisir votre nom d'utilisateur et votre mot de passe.
Vos informations d'identification sont envoyées au serveur d’identification et comparées aux informations qu'il détient dans sa base.
Lorsqu'une correspondance est trouvée, vous pouvez accéder à votre compte.
Les mots de passe sont souvent utilisés pour sécuriser des comptes personnels comme les profils de réseaux sociaux, les sites de banques en ligne et de commerce électronique, ainsi que d'autres ressources en ligne. Cependant, l'utilisation de mots de passe n'est pas une option aussi sûre qu'elle en a l'air. Et les dégâts peuvent être catastrophiques si un pirate parvient à accéder à l'un de ces comptes ou à la base contenant toutes les informations d’identification.
De plus, les utilisateurs ont souvent des difficultés à se souvenir de plusieurs mots de passe (personnels et professionnels) et la plupart choisissent la facilité en utilisant un mot de passe unique pour tous les accès.
Et pour couronner le tout, c’est souvent un mot de passe simple, que l'on peut trouver en faisant quelques recherches sur la personne (e.g. nom du lycée + année d’obtention du diplôme : Bonaparte1991 ; ou nom de sa petite fille avec l’année de sa naissance : Julie2006, etc.).
Cette méthode est la plus utilisée et de fait, la plus facile à casser.
2. L'authentification biométrique
L'authentification biométrique repose sur les caractéristiques biologiques uniques d'un utilisateur afin de vérifier son identité. Cela fait de la biométrie l'une des méthodes d'authentification les plus sûres à l'heure actuelle. En outre, elle entraîne moins de frictions pendant le processus d'authentification que les méthodes mentionnées précédemment, ce qui rend l'expérience de l'utilisateur plus agréable. Les identifiants les plus courants sont la numérisation des empreintes digitales, la reconnaissance faciale et l'identification par la voix.
Cependant, pour pouvoir utiliser ce genre de méthodes, il faut investir dans des lecteurs d’empreintes ou dans des technologies de reconnaissance vocale / faciale. Cette méthode est l'une des plus efficaces mais elle a un coût. De plus, selon le facteur choisi, il peut y avoir plus ou moins d’erreurs provoquant tout aussi bien des faux positifs que de faux négatifs.
Enfin, il reste la question de vie privée car il s'agit de stocker des informations très personnelles et sensibles sur l’utilisateurs. La sécurité qui doit être mise en place pour protéger ces informations doit être drastique.
3. QR Code / Push Notifications / SMS OTP
Ce genre de méthode d’authentification est souvent liée à une double authentification permettant d’ajouter une étape supplémentaire de sécurité, soit pour demander un accès à une ressource sensible (MFA, ou Multi Factor Authentication pour accéder au site de votre banque), soit pour valider une transaction (QR Code affiché sur un site web après un achat qui doit être scanné via l’application de votre banque).
Dans certains cas, il sert à authentifier directement l’utilisateur sur une application. Par exemple, Uber Eats envoyant un code d’authentification par SMS (le numéro de téléphone étant l’ID) ou alors Slack envoyant un mail avec un lien que lequel cliquer pour s’authentifier.
4. Interaction comportementale.
L'authentification comportementale vérifie l'identité d'un utilisateur sur la base de schémas uniques enregistrés pendant l'interaction avec des appareils.
Exemple :
Sur téléphone : un schéma enregistrant le pattern de mouvement, les angles "sélectionnés", la vitesse exécutée, etc.
Sur ordinateur : Windows Hello proposait de charger une image et de sélectionner un nombre de point précis sur l’image que seul l’utilisateur connait.
Ces facteurs d’identification sont semblables à la méthode "combo identifiant / mot de passe" car ils se trouvent dans la catégorie "ce que je sais" mais au lieu d’utiliser des lettres et des chiffres, on utilise des "dessins".
Améliorer ces méthodes d’authentification
Maintenant que nous avons une meilleure compréhension de l’authentification, hâtons-nous sur comment la rendre plus sûre, plus efficace et, si possible, plus plaisante pour l’utilisateur.
Appliquer une politique de mot de passe forte
Nous avons vu que l’utilisation de mots de passe n’est pas la méthode la plus sécurisée, mais elle a l'avantage de n'être pas cher et facile à mettre en place. Pour permettre d’améliorer cette méthode, il est nécessaire de mettre en place une politique de mot de passe permettant d’atténuer les faiblesses de cette méthode :
Des mots de passe plus longs. Les experts en sécurité suggèrent de créer des mots de passe d'au moins 12 caractères.
Des mots de passe complexes. Les mots de passe comportant une combinaison aléatoire de lettres majuscules et minuscules, de chiffres et de symboles sont plus difficiles à craquer / deviner.
Éviter d’utiliser des mots du dictionnaires. Les attaques par brut force par dictionnaire sont très fréquentes et plus efficaces que les attaques par brut force classiques. Aussi, évitez d’utiliser des méthodologies d’obfuscation comme changer la lettre "A" par le caractère "@" ou lettre "I" par le chiffre "1". Ces méthodologies ont déjà été intégrées dans les attaques brut force par dictionnaire pour contrer ces obfuscations.
P@$$w0rd : les bonnes pratiques
Ne pas réutiliser le même mot de passe sur différents services / site web.
Changer fréquemment ces mots de passe.
Vous pouvez essayer vous même de tester la sécurité de vos mots de passe avec l’outil howsecureismypassword.net.
Source : capture d'écran du site howsecureismypassword.net.
Ici, voici un exemple de mot de passe à 17 caractères avec de la complexité (majuscule, minuscule, chiffre et caractères spéciaux) et qui n’est pas un mot du dictionnaire : le site nous explique ainsi qu'il faudrait 93 trillions d'années à un ordinateur pour craquer ce mot de passe.
Utiliser un gestionnaire de mot de passe
Après avoir appliqué une bonne politique de mot de passe, il faut maintenant les retenir mais il peut être difficile de retenir "9sKJ5?k-He8F". C’est là qu’interviennent les gestionnaires de mots de passe. Ils permettent de stocker les mots de passe de façon sécurisée mais aussi de les générer facilement, et certains d’entre eux proposent également d’auto-remplir les formulaires sur les sites web. Ainsi, il n'y aura plus qu'un seul mot de passe à retenir : celui qui permettra d'ouvrir le gestionnaire de mots de passe et d'accéder aux autres.
Si on y met un peu de bonne volonté, on pourra peut-être enfin détrôner les grands champions, à savoir les mots de passe les plus utilisés ces 7 dernières années : "123456" et "password".
Implémenter des authentifications SSO
Le terme d'authentification SSO, ou Single Sign-On, définit les processus permettant de rester connecté à un compte et d’utiliser plusieurs ressources différentes. Ce système est idéal pour les organisations qui ont divers produits et services situés sur différents serveurs ou sites Web.
Google est un excellent exemple du fonctionnement de ce système. Lorsqu'un utilisateur se connecte à son compte Gmail, il a accès à tous les services de Google (YouTube, Google Analytics, Google Drive, etc.) sans avoir à se reconnecter.
Lorsque l'authentification SSO est utilisée, les utilisateurs peuvent considérablement réduire le nombre de comptes à gérer. Avec moins de mots de passe à retenir, les utilisateurs peuvent se concentrer sur la création (et la mémorisation !) d'identifiants plus solides.
Authentification Multi-Facteur (MFA)
Malgré tous les mots de passe, il existe de nombreux services qui vous permettent d'ajouter un deuxième niveau de sécurité, grâce à l'utilisation d'une authentification à deux facteurs. Il peut s'agir d'un code généré sur votre appareil ou envoyé sur votre téléphone. Il est également possible de générer un tel code sur un appareil externe.
À première vue, ce type d'authentification peut sembler beaucoup plus fiable que les simples mots de passe. Néanmoins, il y a aussi quelques écueils. Le problème est que l'utilisateur peut perdre l'accès à sa carte SIM, à sa carte téléphonique et dans le pire des cas, l'utilisateur peut perdre son appareil.
Conclusion
En espérant que cet article sur l'importance de l'authentification ait été compréhensible. En ajoutant quelques petites améliorations, vous maîtriserez les accès sécurisés. De l'authentification par courrier électronique à la vérification par jeton en passant par la biométrie, il existe plusieurs options différentes, chacune ayant ses propres avantages et inconvénients.
Les technologies d’authentification sont en constante évolution. Certes, aucune n’est infaillible, mais elles permettent tout de même d’avoir une longueur d’avance sur les attaquants.
Articles complémentaires :
WPA/WPA2 cracking, PMKID, Evil Twin... Panorama des attaques et des menaces sur le Wi-Fi en 2022
L'importance de la veille en cybersécurité
Injection NoSQL
SQL Injection : pourquoi cette attaque est toujours possible en 2021 ?
Vous avez apprécié cet article de blog ?
Retrouvez plus de contenus en rapport avec la cybersécurité et la conformité réglementaire au RGPD sur le blog de CyberSecura !
Nous avons besoin de vos réponses !
En répondant à cette enquête, vous nous permettez de mieux comprendre vos interactions avec notre site ainsi que vos potentiel besoins.
Vos réponses sont anonymes, et à moins que vous ne demandiez à être re-contacté(e) par nos équipes, aucune information personnelle ne vous est demandée !
Merci pour vos réponses !
Vous souhaitez être informé(e) de nos actualités, et recevoir nos derniers articles de blog directement dans votre boite mail ? Abonnez-vous à notre newsletter mensuelle !
Vous souhaitez discuter de vos difficultés, de vos besoins, de nos offres ? Demandez à être contacté, gratuitement et sans engagement, par l'un de nos expert en cybersécurité !
s
