Contact

Poser une question en ligne Contacter nos équipes

Besoin d'aide ?

Assistant IA Aide et tutos FAQ
Conclusion
Méthodes d’authentification - Description, usages et enjeux
H5535 v2 Article de référence

Conclusion
Méthodes d’authentification - Description, usages et enjeux

Auteur(s) : Pascal THONIEL

Date de publication : 10 avr. 2017 | Read in English

Logo Techniques de l'Ingenieur Cet article est réservé aux abonnés
Pour explorer cet article plus en profondeur Consulter l'extrait gratuit

Déjà abonné ?

Présentation

1 - Authentification

2 - Méthodes d’authentification associées aux usages

3 - Classification des méthodes d’authentification suivant le critère de la sécurité

  • 3.1 - Catégorie des mots de passe statiques
  • 3.2 - Procédés biométriques
  • 3.3 - Mots de passe dynamiques
  • 3.4 - Protocole défi-réponse
  • 3.5 - Autres tentatives de classification des méthodes/solutions d’authentification
  • 3.6 - Cas particulier de l’authentification à deux facteurs par SMS

4 - Enjeu de l’authentification sur Internet

  • 4.1 - Enjeu
  • 4.2 - Authentification pour le Cloud
  • 4.3 - Authentification pour les systèmes industriels et les smartgrids
  • 4.4 - Authentification pour l’Internet des Objets
  • 4.5 - Limites des solutions classiques
  • 4.6 - Tables de codage : solution intéressante

5 - Conclusion

6 - Glossaire

Sommaire

Présentation

NOTE DE L'ÉDITEUR

03/05/2017

Cet article est la version actualisée de l'article intitulé "Méthodes d'authentification", publié par le même auteur en 2009 dans nos éditions.

RÉSUMÉ

L’authentification des objets connectés, des équipements, des terminaux, des serveurs, des services en ligne et des hommes est nécessaire pour les réseaux informatiques et Internet. Cette authentification concerne le contrôle d’accès à l’information, à des ressources ou à des services, et pour cela la protection par mot de passe statique est obsolète. La menace de l'usurpation d'identité est bien réelle. Cet article traite des différentes méthodes d’authentification et des protocoles associés à son usage, classés suivant le critère de la sécurité. Une quatrième partie s’intéresse aux enjeux de l'authentification sur Internet à la lumière des dernières tendances que sont le Cloud, les systèmes industriels et l'Internet des Objets.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

Auteur(s)

  • Pascal THONIEL : Conseil, formateur et expert en cybersécurité - Fondateur et directeur R&D de la société NTX Research SA, Paris, France

INTRODUCTION

Que ce soit pour un accès à des réseaux locaux ou étendus, que ces réseaux soient filaires, sans fil ou mixtes, en architecture client-serveur ou répartie, l’authentification des objets connectés, des équipements, des terminaux, des serveurs, des services en ligne et des hommes est nécessaire. Tout ce qui concerne l’accès privé, c’est-à-dire le contrôle de la délivrance de l’information, de la fourniture de ressources ou de services réservés à certaines entités, passe par l’authentification.

Aujourd’hui comme hier, l’utilisation généralisée de la méthode d’authentification par « identifiant-mot de passe » reste la règle. Or, il existe des attaques nombreuses et efficaces contre cette méthode qui, de plus, devient lourde à gérer pour l’utilisateur lui-même (multiplicité des mots de passe). Son usage correspond par conséquent à une authentification dite faible.

Pourtant, la concrétisation d’une attaque réussie est lourde de conséquences. L’usurpation d’identité permet à l’attaquant de bénéficier exactement des mêmes droits et services que l’utilisateur légitime, mais de façon malveillante. Or, les services en ligne offrent de plus en plus de possibilités aux utilisateurs, et donc, a contrario, de plus en plus de pouvoir de nuisance aux usurpateurs d’identité.

En cas d’attaque réussie par intrusion frauduleuse dans un système d’information, soit par absence de contrôle des utilisateurs, soit par usurpation de l’identité d’un utilisateur autorisé, les conséquences seront à la hauteur des droits d’accès et d’action alloués à cet utilisateur (personne, programme ou machine). L’enjeu est d’autant plus considérable que ces menaces qui pèsent sur les particuliers, les entreprises, les organisations, les administrations et leur système d’information sont bien réelles. Des affaires retentissantes s’en font l’écho chaque mois dans la presse spécialisée et même généraliste.

Plus grave encore, toutes les tendances récentes de l’informatique au sens large sont particulièrement concernées par la nécessité d’assurer l’authentification. Je parle ici du Cloud, des systèmes industriels, smartgrids et SCADA, et de l’Internet des Objets (IoT, Internet of Things).

L’authentification n’est donc pas une fonction de sécurité à négliger, bien au contraire. Elle occupe une place centrale dans la cybersécurité d’aujourd’hui.

Logo Techniques de l'Ingenieur

Cet article est réservé aux abonnés.
Il vous reste 92 % à découvrir.

Pour explorer cet article Consulter l'extrait gratuit

Déjà abonné ?

VERSIONS

Il existe d'autres versions de cet article :

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v2-h5535

Lecture en cours
Présentation

Article inclus dans l'offre

"Sécurité des systèmes d'information"

(80 articles)

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques.

Des contenus enrichis

Quiz, médias, tableaux, formules, vidéos, etc.

Des modules pratiques

Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.

Des avantages inclus

Un ensemble de services exclusifs en complément des ressources.

Voir l'offre

5. Conclusion

Au final, il n’y a pas de bonnes ou de mauvaises méthodes d’authentification forte. Ce qu’il faut bannir définitivement, c’est l’authentification faible par identifiant-mot de passe statique quand les enjeux de sécurité sont importants. Ce qu’il faut éviter, c’est de proposer des solutions d’authentification moyenne (par exemple l’authentification 2 facteurs par SMS) en les faisant passer pour de l’authentification forte. Il est urgent que certains acteurs de l’Internet utilisent leur budget pour déployer et mettre en œuvre de véritables solutions d’authentification forte plutôt que de le dépenser en communication pour vanter la sécurité hypothétique de solutions faibles ou moyennes.

Le choix d’une méthode d’authentification forte doit se faire avant tout en fonction de son usage et de son contexte. Ce qui est bon pour contrôler l’accès direct à un équipement ou à un local, n’est pas forcément bon pour contrôler l’accès distant sur un réseau comme Internet. Et vice versa. Le niveau d’authentification requis (faible, moyen, fort) doit aussi être adapté aux véritables enjeux de l’identité et des conséquences d’une usurpation de cette identité. Enfin, le nombre d’utilisateurs ou d’équipements concernés est aussi un facteur déterminant.

Dans le domaine du paiement en ligne, nous avons vu que le modèle 3-D Secure finira par s’imposer. Avec 3-D Secure, l’authentification du consommateur est confiée à la banque du client/acheteur, porteur de la carte bancaire mais en la matière :

  • aucun système d’authentification n’est imposé ;

  • aucune méthode d’authentification n’est imposée.

La complexité du sujet impose en effet une certaine sagesse et de savoir fixer le but à atteindre :

  • universalité de la portée du service : chaque consommateur accède directement à l’offre complète du magasin planétaire, chaque commerçant a la possibilité de vendre au plus grand nombre ;

  • simplicité de mise en place, de mise en œuvre et de déploiement à grande échelle ;

  • adapté au système économique, financier, législatif, technologique, sociologique et culturel existant.

Ainsi, il est difficile de trouver la méthode d’authentification parfaite qui saura y répondre sans faillir. Par...

Logo Techniques de l'Ingenieur

Cet article est réservé aux abonnés.
Il vous reste 93 % à découvrir.

Pour explorer cet article Consulter l'extrait gratuit

Déjà abonné ?

Lecture en cours
Conclusion

Article inclus dans l'offre

"Sécurité des systèmes d'information"

(80 articles)

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques.

Des contenus enrichis

Quiz, médias, tableaux, formules, vidéos, etc.

Des modules pratiques

Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.

Des avantages inclus

Un ensemble de services exclusifs en complément des ressources.

Voir l'offre

Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) -   La gestion des identités numériques.  -  Éd. LAURENT (M.) et BOUZEFRANE (S.), collection ISTE, ISBN : 978-1-78405-056-6 (papier), ISBN : 978-1-78406-056-5 (ebook) (2015).

  • (2) - BURR (W.), DODSON (D.), NEWTON (E.), PERLNER (R.), POLK (T.), GUPTA (S.), NABBUS (E.) -   Electronic authentication guideline.  -  SP800-63. NIST (2013).

  • (3) - GRASSI (P.), GARCIA (M.), FENTON (J.) -   Digital identity guidelines.  -  DRAFT NIST Special Publication 800-63-3. NIST (2017).

  • (4) - ANSSI -   Cybersécurité des sites industriels.  -  http://www.ssi.gouv.fr/entreprise/guide/la-cybersecurite-des-systemes-industriels/

DANS NOS BASES DOCUMENTAIRES

ANNEXES

  1. 1 Conférences
    1. 2 Normes et standards
      1. 3 Annuaires
        1. 3.1 Organismes

      1 Conférences

      Les assises de la sécurité et des systèmes d’information https://www.lesassisesdelasecurite.com/

      SSTIC – Symposium sur la sécurité des technologies de l’information et des communications https://www.sstic.org/2017/news/

      HAUT DE PAGE

      2 Normes et standards

      ISO/CEI 7816-1 - 1998 - Cartes d’identification. Cartes à circuit(s) intégré(s) à contacts. Partie 1 : caractéristiques physiques

      ISO/CEI 7816-2 - 2007 - Cartes d’identification. Cartes à circuit intégré. Partie 2 : cartes à contacts – Dimensions et emplacements des contacts

      HAUT DE PAGE

      3 Annuaires

      HAUT DE PAGE

      3.1 Organismes

      ANSSI – Agence nationale de la sécurité des systèmes d’information

      HAUT DE PAGE
      Logo Techniques de l'Ingenieur

      Cet article est réservé aux abonnés.
      Il vous reste 94 % à découvrir.

      Pour explorer cet article Consulter l'extrait gratuit

      Déjà abonné ?

      Article inclus dans l'offre

      "Sécurité des systèmes d'information"

      (80 articles)

      Une base complète d’articles

      Actualisée et enrichie d’articles validés par nos comités scientifiques.

      Des contenus enrichis

      Quiz, médias, tableaux, formules, vidéos, etc.

      Des modules pratiques

      Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.

      Des avantages inclus

      Un ensemble de services exclusifs en complément des ressources.

      Voir l'offre

      S'inscrire à la Veille Personnalisée

      Ressources documentaires

      Introduction à la stéganographie

      La stéganographie a pour objet la dissimulation des communications. Pour atteindre cebut, des documents ...

      Sécurité des réseaux de capteurs sans fil

      Cet article présente un état de l'art de la sécurité dans les Réseaux de Capteurs Sans Fil (RCSF). Il ...

      Cryptographie reposant sur les réseaux euclidiens

      Les récentes avancées des technologies quantiques menacent les mécanismes cryptographiques utilisés ...

      Certification électronique

      C’est une évidence, l’expansion d’Internet et la dématérialisation des documents nécessitent de nos ...

      Tous les livres blancs
      Toutes les actualités
      Toutes les conférences en ligne