Présentation

Article

1 - AUTHENTIFICATION

2 - MÉTHODES D’AUTHENTIFICATION ASSOCIÉES AUX USAGES

3 - CLASSIFICATION DES MÉTHODES D’AUTHENTIFICATION SUIVANT LE CRITÈRE DE LA SÉCURITÉ

4 - ENJEU DE L’AUTHENTIFICATION SUR INTERNET

  • 4.1 - Enjeu
  • 4.2 - Authentification pour le Cloud
  • 4.3 - Authentification pour les systèmes industriels et les smartgrids
  • 4.4 - Authentification pour l’Internet des Objets
  • 4.5 - Limites des solutions classiques
  • 4.6 - Tables de codage : solution intéressante

5 - CONCLUSION

6 - GLOSSAIRE

Article de référence | Réf : H5535 v2

Classification des méthodes d’authentification suivant le critère de la sécurité
Méthodes d’authentification - Description, usages et enjeux

Auteur(s) : Pascal THONIEL

Date de publication : 10 avr. 2017

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

Version en anglais En anglais

NOTE DE L'ÉDITEUR

03/05/2017

Cet article est la version actualisée de l'article intitulé "Méthodes d'authentification", publié par le même auteur en 2009 dans nos éditions.

RÉSUMÉ

L’authentification des objets connectés, des équipements, des terminaux, des serveurs, des services en ligne et des hommes est nécessaire pour les réseaux informatiques et Internet. Cette authentification concerne le contrôle d’accès à l’information, à des ressources ou à des services, et pour cela la protection par mot de passe statique est obsolète. La menace de l'usurpation d'identité est bien réelle. Cet article traite des différentes méthodes d’authentification et des protocoles associés à son usage, classés suivant le critère de la sécurité. Une quatrième partie s’intéresse aux enjeux de l'authentification sur Internet à la lumière des dernières tendances que sont le Cloud, les systèmes industriels et l'Internet des Objets.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

ABSTRACT

Authentication methods. Description, uses and stakes

Authentication of connected objects, equipment, terminals, servers, online services and people is necessary for computer and Internet networks. This authentication supports access control to information, resources or services. For this purpose, protection by static password is outdated. Eavesdropping, spying, retrieval of authentication elements, social engineering and brute force attacks are real threats. This article discusses different authentication methods and associated protocols, classified according to the criterion of security. A fourth part deals with authentication issues on the Internet in the light of the latest trends, including cloud computing, industrial systems and the Internet of Things.

Auteur(s)

  • Pascal THONIEL : Conseil, formateur et expert en cybersécurité - Fondateur et directeur R&D de la société NTX Research SA, Paris, France

INTRODUCTION

Que ce soit pour un accès à des réseaux locaux ou étendus, que ces réseaux soient filaires, sans fil ou mixtes, en architecture client-serveur ou répartie, l’authentification des objets connectés, des équipements, des terminaux, des serveurs, des services en ligne et des hommes est nécessaire. Tout ce qui concerne l’accès privé, c’est-à-dire le contrôle de la délivrance de l’information, de la fourniture de ressources ou de services réservés à certaines entités, passe par l’authentification.

Aujourd’hui comme hier, l’utilisation généralisée de la méthode d’authentification par « identifiant-mot de passe » reste la règle. Or, il existe des attaques nombreuses et efficaces contre cette méthode qui, de plus, devient lourde à gérer pour l’utilisateur lui-même (multiplicité des mots de passe). Son usage correspond par conséquent à une authentification dite faible.

Pourtant, la concrétisation d’une attaque réussie est lourde de conséquences. L’usurpation d’identité permet à l’attaquant de bénéficier exactement des mêmes droits et services que l’utilisateur légitime, mais de façon malveillante. Or, les services en ligne offrent de plus en plus de possibilités aux utilisateurs, et donc, a contrario, de plus en plus de pouvoir de nuisance aux usurpateurs d’identité.

En cas d’attaque réussie par intrusion frauduleuse dans un système d’information, soit par absence de contrôle des utilisateurs, soit par usurpation de l’identité d’un utilisateur autorisé, les conséquences seront à la hauteur des droits d’accès et d’action alloués à cet utilisateur (personne, programme ou machine). L’enjeu est d’autant plus considérable que ces menaces qui pèsent sur les particuliers, les entreprises, les organisations, les administrations et leur système d’information sont bien réelles. Des affaires retentissantes s’en font l’écho chaque mois dans la presse spécialisée et même généraliste.

Plus grave encore, toutes les tendances récentes de l’informatique au sens large sont particulièrement concernées par la nécessité d’assurer l’authentification. Je parle ici du Cloud, des systèmes industriels, smartgrids et SCADA, et de l’Internet des Objets (IoT, Internet of Things).

L’authentification n’est donc pas une fonction de sécurité à négliger, bien au contraire. Elle occupe une place centrale dans la cybersécurité d’aujourd’hui.

Cet article est réservé aux abonnés.
Il vous reste 93% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

KEYWORDS

authentification   |   authentication   |   cybersecurity

VERSIONS

Il existe d'autres versions de cet article :

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v2-h5535


Cet article fait partie de l’offre

Sécurité et gestion des risques

(475 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Version en anglais En anglais

3. Classification des méthodes d’authentification suivant le critère de la sécurité

Voici le panorama des méthodes existantes, classées par ordre croissant de sécurité.

3.1 Catégorie des mots de passe statiques

Cette catégorie est la plus largement utilisée à l’heure actuelle. Elle ne permet pas d’assurer une authentification forte des utilisateurs.

Un mot de passe est dit « statique » (en opposition à dynamique) lorsqu’il ne change pas d’une transaction à l’autre. C’est le cas de la plupart des mots de passe que nous utilisons quotidiennement. Nous le mémorisons et renseignons le champ « mot de passe » avec sa même valeur chaque fois qu’il nous est demandé.

L’écoute de ligne est l’une des attaques les plus efficaces aussi bien sur les réseaux locaux d’entreprise que sur Internet. De plus, elle est très difficile à déceler. La faiblesse des mots de passe utilisés est l’autre problème majeur : les bons mots de passe sont très difficiles à mémoriser par les utilisateurs donc peu utilisés en pratique.

HAUT DE PAGE

3.1.1 Identification sans mot de passe

Attaques évidentes :

  • il est très facile de deviner l’identifiant d’un utilisateur, car il correspond généralement à un mode de construction syntaxique bien précis (nom + première lettre du prénom, etc.) ;

  • écoute de ligne par le pirate, prise de connaissance de l’identifiant et usurpation d’identité par refrappe de l’identifiant par le pirate dans le formulaire d’identification.

HAUT DE PAGE

3.1.2 Mot de passe statique en clair

Attaques évidentes :

  • attaque du mot de passe par dictionnaire qui permet de trouver rapidement tous les mots de passe dits « faibles », c’est-à-dire faciles à mémoriser par les utilisateurs (donc largement utilisés) ;

  • attaque du mot de passe par ingénierie sociale, c’est-à-dire en devinant le mot de passe compte tenu des particularités de...

Cet article est réservé aux abonnés.
Il vous reste 93% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité et gestion des risques

(475 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Classification des méthodes d’authentification suivant le critère de la sécurité
Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) -   La gestion des identités numériques.  -  Éd. LAURENT (M.) et BOUZEFRANE (S.), collection ISTE, ISBN : 978-1-78405-056-6 (papier), ISBN : 978-1-78406-056-5 (ebook) (2015).

  • (2) - BURR (W.), DODSON (D.), NEWTON (E.), PERLNER (R.), POLK (T.), GUPTA (S.), NABBUS (E.) -   Electronic authentication guideline.  -  SP800-63. NIST (2013).

  • (3) - GRASSI (P.), GARCIA (M.), FENTON (J.) -   Digital identity guidelines.  -  DRAFT NIST Special Publication 800-63-3. NIST (2017).

  • (4) - ANSSI -   Cybersécurité des sites industriels.  -  http://www.ssi.gouv.fr/entreprise/guide/la-cybersecurite-des-systemes-industriels/

1 Conférences

Les assises de la sécurité et des systèmes d’information https://www.lesassisesdelasecurite.com/

SSTIC – Symposium sur la sécurité des technologies de l’information et des communications https://www.sstic.org/2017/news/

HAUT DE PAGE

2 Normes et standards

ISO/CEI 7816-1 - 1998 - Cartes d’identification. Cartes à circuit(s) intégré(s) à contacts. Partie 1 : caractéristiques physiques

ISO/CEI 7816-2 - 2007 - Cartes d’identification. Cartes à circuit intégré. Partie 2 : cartes à contacts – Dimensions et emplacements des contacts

HAUT DE PAGE

3 Annuaires

HAUT DE PAGE

3.1 Organismes

ANSSI – Agence nationale de la sécurité des systèmes d’information

HAUT DE PAGE

Cet article est réservé aux abonnés.
Il vous reste 92% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité et gestion des risques

(475 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS