Présentation

Article

1 - AUTHENTIFICATION

2 - MÉTHODES D'AUTHENTIFICATION ASSOCIÉES AUX USAGES

  • 2.1 - Méthodes d'authentification des personnes
  • 2.2 - Méthodes d'authentification des émetteurs de messages
  • 2.3 - Méthodes d'authentification des logiciels
  • 2.4 - Méthodes d'authentification des serveurs logiques
  • 2.5 - Méthodes d'authentification des équipements

3 - CLASSIFICATION DES MÉTHODES D'AUTHENTIFICATION SUIVANT LE CRITÈRE DE LA SÉCURITÉ

4 - ENJEU DE L'AUTHENTIFICATION SUR INTERNET

5 - CONCLUSION

| Réf : H5535 v1

Conclusion
Méthodes d'authentification

Auteur(s) : Pascal THONIEL

Date de publication : 10 avr. 2009

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

RÉSUMÉ

L’authentification des équipements, des services et des hommes est nécessaire, peu importe le réseau concerné. Cette authentification concerne le contrôle d’accès à l’information ou encore la fourniture des ressources, et pour cela, une protection par mot de passe est désormais obsolète. L’écoute de ligne, l’espionnage, la récupération d’éléments d’authentification, l’ingénierie sociale qui trompe la vigilance ou encore l’attaque intrusive dite « à force brute » sont autant de menaces pour l’utilisateur. Cet article traite des différents types d’authentifications et des méthodes associées aux usages, classées suivant le critère de la sécurité. Une dernière partie s’intéresse aux enjeux de cette authentification sur Internet.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

ABSTRACT

The authentication of equipment, services and of man is necessary, regardless of the network concerned. This authentication concerns the control of the access to information or the provision of resources where in order to achieve this, password protection has become obsolete. Tapping, spying, gathering authentication elements, underhanded social engineering or even "brute force" hacking represent many threats for users. This article deals with the various authentication types and the methods associated with usage, classified under the security criteria. Finally it focuses on the stakes concerning such authentication methods on the Internet.

Auteur(s)

  • Pascal THONIEL : Fondateur et directeur R & de la société NTX Research SA

INTRODUCTION

Que ce soit pour un accès à des réseaux locaux ou étendus, que ces réseaux soient filaires ou sans fil, que ces réseaux soient en architecture client-serveur ou répartie, l'authentification des équipements, des services et des hommes est nécessaire. Tout ce qui concerne l'accès privé, c'est-à-dire le contrôle de la délivrance de l'information et de la fourniture des ressources réservées à certaines entités, passe par l'authentification.

Or, les procédures d'authentification classiques par identifiant et mot de passe ne suffisent plus. Sur les réseaux locaux comme sur Internet, l'écoute de ligne est l'attaque numéro un. L'écoute de ligne permet de récupérer facilement et pratiquement sans risque de détection l'identifiant et le mot de passe que l'utilisateur envoie au serveur ou bien ses codes d'accès lors d'une connexion légitime. Rien de plus simple ensuite pour l'attaquant que de se connecter à son tour en rejouant les mêmes valeurs et ainsi, de se faire passer pour un utilisateur autorisé. Il s'agit là d'usurpation d'identité.

La deuxième catégorie d'attaque consiste à espionner, simuler, copier ou voler le moyen d'authentification de l'utilisateur. La troisième concerne la récupération des éléments d'authentification des utilisateurs (crédentiels) stockés du côté du serveur d'authentification. La quatrième est l'ingénierie sociale qui vise à tromper la vigilance de l'utilisateur en l'amenant astucieusement à révéler volontairement ses mots de passe, ses codes ou ses secrets, ou bien encore à les deviner. En effet, les utilisateurs choisissent souvent des mots de passe faibles (courts, simples, classiques) ou qui leur correspondent (prénom des enfants, dates de naissance, nom du chien de la maison, nom de l'artiste ou du sportif préféré...) afin de les retenir plus facilement. Enfin, la cinquième est l'attaque dite « à force brute » qui consiste par exemple à essayer systématiquement et automatiquement tous les mots de passe possibles ou toutes les clés de chiffrement jusqu'à trouver les bons. Comme les mots de passe utilisés sont souvent courts (moins de 8 caractères) et simples (lettres et chiffres) l'attaque à force brute est parfois très efficace.

L'enjeu est d'autant plus considérable que ces menaces qui pèsent sur les particuliers, les entreprises, les organisations, les administrations et leur système d'information sont bien réelles. Elles sont aussi lourdes de conséquences en cas de concrétisation, c'est-à-dire d'attaque réussie par intrusion. Une intrusion frauduleuse dans un système d'information par absence de contrôle des utilisateurs ou par usurpation de l'identité d'un utilisateur autorisé peut avoir des conséquences graves, à la hauteur des droits d'accès et d'action alloués à cet utilisateur.

L'authentification n'est donc pas une fonction de sécurité à négliger, bien au contraire. Elle occupe une place centrale dans la sécurité des réseaux d'aujourd'hui.

Cet article est réservé aux abonnés.
Il vous reste 92% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

VERSIONS

Il existe d'autres versions de cet article :

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v1-h5535


Cet article fait partie de l’offre

Sécurité des systèmes d'information

(76 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Présentation

5. Conclusion

Au final, il n'y a pas de bonne ou de mauvaise méthode d'authentification. Le choix d'une méthode d'authentification doit se faire avant tout en fonction de son usage et de son contexte. Ce qui est bon pour contrôler l'accès direct à un équipement ou à un local, n'est pas forcément bon pour contrôler l'accès distant sur un réseau comme Internet. Et vice versa. Le niveau d'authentification requis (faible, moyen, fort) doit aussi être adapté aux véritables enjeux de l'identité et des conséquences d'une usurpation de cette identité. Enfin, le nombre d'utilisateurs concernés est aussi un facteur déterminant.

Dans le domaine du paiement en ligne, nous avons vu qu'un nouveau modèle s'est imposé. 3-D Secure est devenu la référence pour les banques françaises à compter d'octobre 2008. Avec 3-D Secure, l'authentification du consommateur est confiée à la banque du client/acheteur, porteur de la carte bancaire mais en la matière :

  • aucun système d'authentification n'est imposé ;

  • aucune méthode d'authentification n'est imposée.

La complexité du sujet impose en effet une certaine sagesse et, si l'on sait fixer le but à atteindre :

  • universalité de la portée du service : chaque consommateur accède directement à l'offre complète du magasin planétaire, chaque commerçant a la possibilité de vendre au plus grand nombre ;

  • simplicité de mise en place, de mise en œuvre et de déploiement à grande échelle ;

  • adapté au système économique, financier, législatif, technologique, sociologique et culturel existant.

    ... il est difficile de trouver la méthode d'authentification parfaite qui saura y répondre sans faillir.

Gardons-nous donc d'imposer à tous les utilisateurs et pour tous les usages de son identité numérique telle ou telle méthode d'authentification. Gardons aussi présent à l'esprit que tout repose sur la confiance réciproque et qu'on ne peut plus se contenter de répéter sans fin un discours rassurant sur la soi-disant sécurité assurée par les dispositifs actuellement mis en place.

Enfin, au-delà de la fonction d'authentification, n'oublions pas ces grands principes :

  • Pas de sécurité sans simplicité et clarté.

  • Pas de sécurité sans démarche et méthode.

  • Pas de sécurité...

Cet article est réservé aux abonnés.
Il vous reste 92% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(76 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Conclusion
Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) - FOUQUE (P.A.) -   Cryptographie appliquée.  -  [H 5 210], Sécurité des systèmes d'information (2003).

  • (2) - TESSEREAU (C.) -   La sécurité des transactions par les protocoles SSLITLS.  -  [H 5 230], Sécurité des systèmes d'information (2005).

  • (3) - DORIZZI (B.), LEROUX DES JARDINS (J.), LAMADELAINE (P.), GUERRIER (C.) -   La biométrie. Techniques et usages.  -  [H 5 530], Sécurité des systèmes d'information (2004).

NORMES

  • Cartes d'identification. Cartes à circuit(s) intégré(s) à contacts. Partie 1 : caractéristiques physiques. - ISO/CEI 7816-1:1998 - 1998

  • Cartes d'identification. Cartes à circuit intégré. Partie 2 : cartes à contacts - Dimensions et emplacements des contacts. - ISO/CEI 7816-2:2007 - 2007

Cet article est réservé aux abonnés.
Il vous reste 94% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(76 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS