Article
Méthodes d'authentification utilisées pour la sécurité du réseau
Bien qu'il ne s'agisse que d'une facette de la cybersécurité, l'authentification constitue la première ligne de défense. Elle sert à déterminer si un utilisateur est bien celui qu'il prétend être. L'authentification, à ne pas confondre avec l'étape qu'elle précède - à savoir l'autorisation - est simplement la mesure permettant de confirmer l'identification numérique, de sorte que les utilisateurs disposent du niveau d'autorisation nécessaire pour accéder à une tâche ou l'exécuter.
Il existe de nombreuses technologies d'authentification, des mots de passe aux empreintes digitales, pour confirmer l'identité d'un utilisateur avant de lui octroyer un accès. Leur utilisation permet d'ajouter une couche de protection et d'éviter les failles de sécurité telles que les violations de données. Cependant, c'est souvent la combinaison de différents types d'authentification qui permet de renforcer le système de sécurité contre les menaces éventuelles.
Quels sont les types d'authentification ?
L'authentification empêche les utilisateurs non autorisés d'accéder aux bases de données, aux réseaux et autres ressources. Pour confirmer l'identité de l'utilisateur, ces types d'authentification font appel à des facteurs, une catégorie d'identifiants servant à la vérification. Voici quelques-unes de ces méthodes.
Authentification à facteur unique / primaire
Jusqu'à présent, la forme d'authentification la plus courante - à savoir l'authentification à facteur unique - est également considérée comme la moins sûre, en ce qu'elle ne nécessite qu'un seul facteur pour obtenir un accès complet au système. Ce facteur peut être un nom d'utilisateur avec un mot de passe, un code pin ou un autre code simple. Les systèmes d'authentification à facteur unique, bien que conviviaux, sont relativement faciles à infiltrer, par hameçonnage (phishing), enregistrement de frappes ou au moyen d'une simple devinette. Cette approche est de toute évidence hautement vulnérable aux attaques, étant donné qu'il n'y a pas d'autre porte d'authentification à franchir.
Authentification à deux facteurs (2FA)
L'authentification à deux facteurs renforce les efforts de sécurité grâce à un second facteur de vérification. Cette couche supplémentaire permet de vérifier de deux manières distinctes qu'un utilisateur est bien celui qu'il prétend être, ce qui complique considérablement les tentatives d'intrusion. Selon cette méthode, les utilisateurs saisissent leurs informations d'authentification primaire (par exemple le nom d'utilisateur et le mot de passe susmentionnés) et doivent ensuite saisir une seconde information d'identification.
Le facteur secondaire est généralement plus difficile à violer, en ce qu'il fait souvent appel à une information à laquelle seul l'utilisateur autorisé a accès et qui est sans rapport avec le système en question. Parmi les facteurs secondaires possibles, citons : un mot de passe à usage unique provenant d'une application d'authentification, un numéro de téléphone ou un appareil pouvant recevoir une notification push ou un code SMS, ou encore un élément biométrique comme une empreinte digitale (Touch ID), un visage (Face ID) ou la reconnaissance vocale.
L'authentification 2FA réduit considérablement les risques de compromission du système ou des ressources, étant donné qu'il est peu probable qu'un utilisateur non autorisé connaisse ou ait accès aux deux facteurs d'authentification. De ce fait, bien qu'elle soit aujourd'hui très largement adoptée, l'authentification à deux facteurs entraîne quelques désagréments pour les utilisateurs, ce qui constitue un obstacle à prendre en compte dans le cadre de la mise en œuvre.
Authentification unique (SSO)
Avec la technologie SSO, les utilisateurs ne doivent se connecter qu'à une seule application afin d'avoir accès à de nombreuses autres. Plus pratique pour les utilisateurs, cette méthode supprime l'obligation de conserver plusieurs ensembles d'informations d'identification et offre une expérience plus transparente pendant les sessions de travail.
Les entreprises peuvent la mettre en œuvre en désignant un domaine central (dans l'idéal, un système IAM), puis en créant des liens SSO sécurisés entre les ressources. Ce processus permet une authentification des utilisateurs surveillée par le domaine et, grâce à l'authentification unique, elle est en mesure de garantir que lorsque les utilisateurs autorisés mettent fin à leur session, ils se déconnectent correctement de toutes les ressources et applications liées.
Authentification multifactorielle (MFA)
L'authentification multifactorielle est une méthode d'une grande fiabilité, car elle utilise davantage de facteurs non pertinents pour le système afin de légitimer les utilisateurs. À l’instar de la méthode 2FA, l'authentification MFA fait appel à des facteurs tels que des données biométriques, la confirmation axée sur l'appareil, des mots de passe supplémentaires, voire des informations basées sur le lieu ou le comportement (par exemple, un modèle de frappe ou une vitesse de frappe), pour confirmer l'identité de l'utilisateur. Cependant, la différence entre ces deux méthodes réside dans le fait que si l'authentification 2FA n'utilise dans tous les cas que deux facteurs, l'authentification MFA peut en utiliser deux ou trois, avec la possibilité de varier entre les sessions, ce qui ajoute un élément insaisissable pour les utilisateurs non autorisés.
Quels sont les protocoles d'authentification les plus courants ?
Les protocoles d'authentification sont les règles d'interaction et de vérification désignées que les points d'entrée (ordinateurs portables, ordinateurs de bureau, téléphones, serveurs, etc.) ou les systèmes utilisent pour communiquer. Il existe autant d'applications distinctes auxquelles les utilisateurs doivent accéder que de normes et de protocoles. Le choix du bon protocole d'authentification pour votre entreprise est essentiel pour garantir la sécurité des opérations et la compatibilité des utilisations. Voici quelques-uns des protocoles d'authentification les plus couramment utilisés.
Protocole d'authentification par mot de passe (PAP)
Bien que courant, le protocole PAP est le moins sûr pour la validation des utilisateurs, principalement en raison de son manque de chiffrement. Il s'agit essentiellement d'un processus de connexion de routine qui requiert une combinaison de nom d'utilisateur et de mot de passe pour accéder à un système donné, validant ainsi les informations d'identification fournies. Il est désormais le plus souvent utilisé comme dernière option pour communiquer entre un serveur et un ordinateur de bureau ou un appareil distant.
Protocole d'authentification par défi-réponse (CHAP)
Le protocole CHAP est un protocole de vérification d'identité permettant de vérifier l'identité d'un utilisateur sur un réseau donné, à l'aide d'une norme de chiffrement supérieure faisant appel à un échange tripartite d'un « secret ». Tout d'abord, le routeur local envoie un « défi » à l'hôte distant, lequel renvoie une réponse avec une fonction de hachage MD5. Le routeur compare la réponse renvoyée à la réponse attendue (valeur de hachage) et, selon qu'il détermine ou non une correspondance, il établit une connexion authentifiée - appelée « poignée de main » - ou refuse l'accès. Il est intrinsèquement plus sûr que le protocole PAP, car le routeur peut envoyer un défi à tout moment d'une session, tandis que le protocole PAP n'entre en jeu que lors de l'approbation d'authentification initiale.
Protocole d'authentification extensible (EAP)
Ce protocole prend en charge de nombreux types d'authentification, des mots de passe à usage unique aux cartes à puce. Lorsqu'il est utilisé dans le cadre des communications sans fil, le protocole EAP représente le niveau de sécurité le plus élevé, en ce qu'il permet à un point d'accès donné et à un appareil distant d'effectuer une authentification mutuelle avec chiffrement intégré. Il connecte les utilisateurs au point d'accès qui sollicite des informations d'identification, il confirme l'identité par l'intermédiaire d'un serveur d'authentification et demande ensuite une autre forme d'identification de l'utilisateur en vue d'une nouvelle confirmation par le serveur, après quoi il achève le processus avec tous les messages transmis sous une forme chiffrée.
Découvrez comment les solutions SailPoint s'intègrent aux bons fournisseurs d'authentification.