Présentation
RÉSUMÉ
L’authentification des équipements, des services et des hommes est nécessaire, peu importe le réseau concerné. Cette authentification concerne le contrôle d’accès à l’information ou encore la fourniture des ressources, et pour cela, une protection par mot de passe est désormais obsolète. L’écoute de ligne, l’espionnage, la récupération d’éléments d’authentification, l’ingénierie sociale qui trompe la vigilance ou encore l’attaque intrusive dite « à force brute » sont autant de menaces pour l’utilisateur. Cet article traite des différents types d’authentifications et des méthodes associées aux usages, classées suivant le critère de la sécurité. Une dernière partie s’intéresse aux enjeux de cette authentification sur Internet.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Pascal THONIEL : Fondateur et directeur R & de la société NTX Research SA
INTRODUCTION
Que ce soit pour un accès à des réseaux locaux ou étendus, que ces réseaux soient filaires ou sans fil, que ces réseaux soient en architecture client-serveur ou répartie, l'authentification des équipements, des services et des hommes est nécessaire. Tout ce qui concerne l'accès privé, c'est-à-dire le contrôle de la délivrance de l'information et de la fourniture des ressources réservées à certaines entités, passe par l'authentification.
Or, les procédures d'authentification classiques par identifiant et mot de passe ne suffisent plus. Sur les réseaux locaux comme sur Internet, l'écoute de ligne est l'attaque numéro un. L'écoute de ligne permet de récupérer facilement et pratiquement sans risque de détection l'identifiant et le mot de passe que l'utilisateur envoie au serveur ou bien ses codes d'accès lors d'une connexion légitime. Rien de plus simple ensuite pour l'attaquant que de se connecter à son tour en rejouant les mêmes valeurs et ainsi, de se faire passer pour un utilisateur autorisé. Il s'agit là d'usurpation d'identité.
La deuxième catégorie d'attaque consiste à espionner, simuler, copier ou voler le moyen d'authentification de l'utilisateur. La troisième concerne la récupération des éléments d'authentification des utilisateurs (crédentiels) stockés du côté du serveur d'authentification. La quatrième est l'ingénierie sociale qui vise à tromper la vigilance de l'utilisateur en l'amenant astucieusement à révéler volontairement ses mots de passe, ses codes ou ses secrets, ou bien encore à les deviner. En effet, les utilisateurs choisissent souvent des mots de passe faibles (courts, simples, classiques) ou qui leur correspondent (prénom des enfants, dates de naissance, nom du chien de la maison, nom de l'artiste ou du sportif préféré...) afin de les retenir plus facilement. Enfin, la cinquième est l'attaque dite « à force brute » qui consiste par exemple à essayer systématiquement et automatiquement tous les mots de passe possibles ou toutes les clés de chiffrement jusqu'à trouver les bons. Comme les mots de passe utilisés sont souvent courts (moins de 8 caractères) et simples (lettres et chiffres) l'attaque à force brute est parfois très efficace.
L'enjeu est d'autant plus considérable que ces menaces qui pèsent sur les particuliers, les entreprises, les organisations, les administrations et leur système d'information sont bien réelles. Elles sont aussi lourdes de conséquences en cas de concrétisation, c'est-à-dire d'attaque réussie par intrusion. Une intrusion frauduleuse dans un système d'information par absence de contrôle des utilisateurs ou par usurpation de l'identité d'un utilisateur autorisé peut avoir des conséquences graves, à la hauteur des droits d'accès et d'action alloués à cet utilisateur.
L'authentification n'est donc pas une fonction de sécurité à négliger, bien au contraire. Elle occupe une place centrale dans la sécurité des réseaux d'aujourd'hui.
VERSIONS
- Version courante de avr. 2017 par Pascal THONIEL
DOI (Digital Object Identifier)
CET ARTICLE SE TROUVE ÉGALEMENT DANS :
Accueil > Ressources documentaires > Archives > [Archives] Sécurité des systèmes d'information > Méthodes d'authentification > Méthodes d'authentification associées aux usages
Cet article fait partie de l’offre
Traçabilité
(51 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
2. Méthodes d'authentification associées aux usages
Les méthodes d'authentification permettent d'authentifier :
-
des personnes ;
-
des émetteurs de messages ;
-
des logiciels ;
-
des serveurs logiques ;
-
des équipements.
2.1 Méthodes d'authentification des personnes
Le CAPTCHA est une méthode d'authentification permettant de différencier un être humain d'un automate (machine et logiciel associé). En effet, un être humain est capable de reconnaître des caractères tordus affichés dans un dessin et de les restituer, alors que ces mêmes caractères sont difficiles à interpréter par un logiciel.
Les différentes méthodes pour authentifier une personne par rapport à une autre sont :
-
le mot de passe statique : en clair, haché à sens unique, chiffré en symétrique, chiffré en asymétrique ;
-
le mot de passe à usage unique ou OTP (One-Time Password ) : génération dynamique synchronisée par le temps, génération dynamique synchronisée par la séquence, défi-réponse chiffré en symétrique, défi-réponse chiffré en asymétrique, défi-réponse codé par table ;
-
le certificat utilisateur (PKI ou Public Key Infrastructure ) : signature numérique ;
-
la reconnaissance biométrique : empreinte digitale, palmaire, rétinienne, de l'iris ; reconnaissance vocale, faciale, ADN.
2.2 Méthodes d'authentification des émetteurs de messages
La signature numérique est une technique cryptographique qui permet d'assurer l'intégrité d'un message et l'authentification de l'émetteur de ce message.
La clé privée de Pierre (figure 12), connue de lui seul, chiffre l'empreinte (le condensé) du message qu'il souhaite envoyer. Paul ou...
Cet article fait partie de l’offre
Traçabilité
(51 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Méthodes d'authentification associées aux usages
BIBLIOGRAPHIE
-
(1) - FOUQUE (P.A.) - Cryptographie appliquée. - [H 5 210], Sécurité des systèmes d'information (2003).
-
(2) - TESSEREAU (C.) - La sécurité des transactions par les protocoles SSLITLS. - [H 5 230], Sécurité des systèmes d'information (2005).
-
(3) - DORIZZI (B.), LEROUX DES JARDINS (J.), LAMADELAINE (P.), GUERRIER (C.) - La biométrie. Techniques et usages. - [H 5 530], Sécurité des systèmes d'information (2004).
NORMES
-
Cartes d'identification. Cartes à circuit(s) intégré(s) à contacts. Partie 1 : caractéristiques physiques. - ISO/CEI 7816-1:1998 - 1998
-
Cartes d'identification. Cartes à circuit intégré. Partie 2 : cartes à contacts - Dimensions et emplacements des contacts. - ISO/CEI 7816-2:2007 - 2007
Cet article fait partie de l’offre
Traçabilité
(51 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive