Présentation
En anglaisNOTE DE L'ÉDITEUR
Cet article est la version actualisée de l'article intitulé "Méthodes d'authentification", publié par le même auteur en 2009 dans nos éditions.
RÉSUMÉ
L’authentification des objets connectés, des équipements, des terminaux, des serveurs, des services en ligne et des hommes est nécessaire pour les réseaux informatiques et Internet. Cette authentification concerne le contrôle d’accès à l’information, à des ressources ou à des services, et pour cela la protection par mot de passe statique est obsolète. La menace de l'usurpation d'identité est bien réelle. Cet article traite des différentes méthodes d’authentification et des protocoles associés à son usage, classés suivant le critère de la sécurité. Une quatrième partie s’intéresse aux enjeux de l'authentification sur Internet à la lumière des dernières tendances que sont le Cloud, les systèmes industriels et l'Internet des Objets.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleABSTRACT
Authentication of connected objects, equipment, terminals, servers, online services and people is necessary for computer and Internet networks. This authentication supports access control to information, resources or services. For this purpose, protection by static password is outdated. Eavesdropping, spying, retrieval of authentication elements, social engineering and brute force attacks are real threats. This article discusses different authentication methods and associated protocols, classified according to the criterion of security. A fourth part deals with authentication issues on the Internet in the light of the latest trends, including cloud computing, industrial systems and the Internet of Things.
Auteur(s)
-
Pascal THONIEL : Conseil, formateur et expert en cybersécurité - Fondateur et directeur R&D de la société NTX Research SA, Paris, France
INTRODUCTION
Que ce soit pour un accès à des réseaux locaux ou étendus, que ces réseaux soient filaires, sans fil ou mixtes, en architecture client-serveur ou répartie, l’authentification des objets connectés, des équipements, des terminaux, des serveurs, des services en ligne et des hommes est nécessaire. Tout ce qui concerne l’accès privé, c’est-à-dire le contrôle de la délivrance de l’information, de la fourniture de ressources ou de services réservés à certaines entités, passe par l’authentification.
Aujourd’hui comme hier, l’utilisation généralisée de la méthode d’authentification par « identifiant-mot de passe » reste la règle. Or, il existe des attaques nombreuses et efficaces contre cette méthode qui, de plus, devient lourde à gérer pour l’utilisateur lui-même (multiplicité des mots de passe). Son usage correspond par conséquent à une authentification dite faible.
Pourtant, la concrétisation d’une attaque réussie est lourde de conséquences. L’usurpation d’identité permet à l’attaquant de bénéficier exactement des mêmes droits et services que l’utilisateur légitime, mais de façon malveillante. Or, les services en ligne offrent de plus en plus de possibilités aux utilisateurs, et donc, a contrario, de plus en plus de pouvoir de nuisance aux usurpateurs d’identité.
En cas d’attaque réussie par intrusion frauduleuse dans un système d’information, soit par absence de contrôle des utilisateurs, soit par usurpation de l’identité d’un utilisateur autorisé, les conséquences seront à la hauteur des droits d’accès et d’action alloués à cet utilisateur (personne, programme ou machine). L’enjeu est d’autant plus considérable que ces menaces qui pèsent sur les particuliers, les entreprises, les organisations, les administrations et leur système d’information sont bien réelles. Des affaires retentissantes s’en font l’écho chaque mois dans la presse spécialisée et même généraliste.
Plus grave encore, toutes les tendances récentes de l’informatique au sens large sont particulièrement concernées par la nécessité d’assurer l’authentification. Je parle ici du Cloud, des systèmes industriels, smartgrids et SCADA, et de l’Internet des Objets (IoT, Internet of Things).
L’authentification n’est donc pas une fonction de sécurité à négliger, bien au contraire. Elle occupe une place centrale dans la cybersécurité d’aujourd’hui.
MOTS-CLÉS
KEYWORDS
authentification | authentication | cybersecurity
VERSIONS
- Version archivée 1 de avr. 2009 par Pascal THONIEL
DOI (Digital Object Identifier)
CET ARTICLE SE TROUVE ÉGALEMENT DANS :
Accueil > Ressources documentaires > Génie industriel > Traçabilité > Systèmes d'informations et TIC pour la traçabilité > Méthodes d’authentification - Description, usages et enjeux > Enjeu de l’authentification sur Internet
Accueil > Ressources documentaires > Technologies de l'information > Sécurité des systèmes d'information > Cryptographie, authentification, protocoles de sécurité, VPN > Méthodes d’authentification - Description, usages et enjeux > Enjeu de l’authentification sur Internet
Cet article fait partie de l’offre
Sécurité et gestion des risques
(474 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
4. Enjeu de l’authentification sur Internet
4.1 Enjeu
Le défi pour assurer une authentification sûre des interlocuteurs qui échangent sur Internet est de plus en plus pressant compte tenu de l’accroissement continu des activités en ligne dans le monde :
-
dans le but d’éliminer la fraude ou le vol d’identité, il y a grand besoin d’accroître très significativement le degré de confiance au niveau de l’authentification des utilisateurs en ligne ;
-
dans le but de saisir de nouvelles opportunités de services et de s’adapter au mode de vie mobile, des dispositifs électroniques connectés font sans cesse leur apparition sur le marché au service tant des entreprises que des particuliers ;
-
dans le but de suivre cette tendance, des sociétés spécialisées ajoutent de plus en plus de technologies coûteuses pour contenir les menaces. Souvent ces architectures imposent des limitations qui freinent le développement des activités de l’entreprise ou impactent son image à cause des failles de sécurité divulguées.
Cela concerne aussi bien l’accès local et distant à un réseau d’une entreprise, d’une administration ou d’une organisation, que l’accès distant à des services proposés sur Internet.
Les solutions pour authentifier les utilisateurs existent et sont parfaitement opérationnelles. Cependant, elles peinent à satisfaire une demande grandissante : celle de l’authentification forte d’un très grand nombre d’utilisateurs.
Pourtant, de nombreux grands acteurs de l’Internet sont aujourd’hui confrontés à ce besoin d’authentification forte :
-
banques et opérateurs financiers ;
-
opérateurs de santé (e-Santé) ;
-
opérateurs de télécommunications ;
-
administrations ;
-
fournisseurs de contenus et de services en ligne ;
-
grands groupes.
Tous font maintenant face à la problématique de l’authentification de leur énorme base d’utilisateurs.
Si l’on examine les tendances lourdes de l’évolution des systèmes d’information de ces dernières années (Cloud, ouverture des systèmes industriels, Internet des Objets), les enjeux de l’authentification sont encore plus importants.
HAUT...Cet article fait partie de l’offre
Sécurité et gestion des risques
(474 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Enjeu de l’authentification sur Internet
BIBLIOGRAPHIE
-
(1) - La gestion des identités numériques. - Éd. LAURENT (M.) et BOUZEFRANE (S.), collection ISTE, ISBN : 978-1-78405-056-6 (papier), ISBN : 978-1-78406-056-5 (ebook) (2015).
-
(2) - BURR (W.), DODSON (D.), NEWTON (E.), PERLNER (R.), POLK (T.), GUPTA (S.), NABBUS (E.) - Electronic authentication guideline. - SP800-63. NIST (2013).
-
(3) - GRASSI (P.), GARCIA (M.), FENTON (J.) - Digital identity guidelines. - DRAFT NIST Special Publication 800-63-3. NIST (2017).
-
(4) - ANSSI - Cybersécurité des sites industriels. - http://www.ssi.gouv.fr/entreprise/guide/la-cybersecurite-des-systemes-industriels/
DANS NOS BASES DOCUMENTAIRES
Les assises de la sécurité et des systèmes d’information https://www.lesassisesdelasecurite.com/
SSTIC – Symposium sur la sécurité des technologies de l’information et des communications https://www.sstic.org/2017/news/
HAUT DE PAGE
ISO/CEI 7816-1 - 1998 - Cartes d’identification. Cartes à circuit(s) intégré(s) à contacts. Partie 1 : caractéristiques physiques
ISO/CEI 7816-2 - 2007 - Cartes d’identification. Cartes à circuit intégré. Partie 2 : cartes à contacts – Dimensions et emplacements des contacts
HAUT DE PAGE
ANSSI – Agence nationale de la sécurité des systèmes d’information
HAUT DE PAGECet article fait partie de l’offre
Sécurité et gestion des risques
(474 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive