Authentification

L' authentification est un processus permettant a un systeme informatique de s'assurer de la legitimite de la demande d'acces faite par une entite (etre humain ou un autre systeme) afin d'autoriser son acces a des ressources du systeme ( systeme d'exploitation , reseaux, applications …) ^[
1
] conformement au parametrage du controle d'acces . Le systeme attribue a cette entite les donnees d'identite pour une session d'acces (ces attributs sont detenus par le systeme ou peuvent etre fournis par l'entite lors du processus d'authentification). A partir des elements issus de ces deux processus, l'acces aux ressources du systeme pourra etre parametre (controle d'acces).

Definition [ modifier | modifier le code ]

Article detaille : Facteur d'authentification .

L'acces aux ressources d'un systeme d'information par une entite se decompose en trois sous-processus, l'authentification, l' identification et le controle d'acces . L'authentification est le processus visant a confirmer qu'un commettant est bien legitime pour acceder au systeme. Il existe quatre facteurs d'authentification classiques qui peuvent etre utilises dans le processus d'authentification d'un commettant :

utiliser une information que seul le commettant connait (ce que l'on connait) ;
utiliser une information unique que seul le commettant possede (ce que l'on possede) ;
utiliser une information qui caracterise le commettant dans un contexte donne (ce que l'on est) ;
utiliser une information que seul le commettant peut produire (ce que l'on sait faire).

D'autres facteurs d'authentification peuvent parfois etre utilises comme les contraintes temporelles ou les capacites de localisation.

Enjeu [ modifier | modifier le code ]

Le controle permanent de l'integrite et de l'acces (usage, identite du destinataire, emetteur, proprietaire) a un contenu ou a un service constitue le fondement de la tracabilite des transactions. Ce controle permet :

la protection des interets superieurs de l' Etat et du patrimoine informatique des entreprises , donc de leurs interets commerciaux ; pour les entreprises, il s'agit de reduire le cout qui resulte d'attaques, de la perte de temps, de la perte d' informations , de l' espionnage ou des fuites involontaires d'informations ;
le developpement du commerce et des echanges electroniques. L'authentification contribue a la facturation des services et contribue a la confiance dans l'economie numerique, condition indispensable du developpement economique ;
la protection de la vie privee. Les donnees personnelles vehiculees dans les systemes d'information sont des donnees sensibles a proteger.

Les techniques d'authentification font partie des technologies cles . En France , elles sont identifiees comme telles dans le rapport sur les technologies cles 2016 ^[
2
]. Les efforts entrepris par les constructeurs et fournisseurs de services Internet ( eBay , Yahoo! , PayPal , etc.) pour mettre en œuvre des systemes d'authentification ^[
3
], notamment d' authentification forte , nous montrent clairement que l'authentification est un des enjeux majeurs pour le futur ^[
4
].

Preuves [ modifier | modifier le code ]

Dans le cas d'un individu , l'authentification consiste, en general, a verifier que celui-ci possede une preuve de son identite ou de son statut, sous l'une des formes (eventuellement combinees) suivantes :

ce qu'il sait ( mot de passe , numero d'identification personnel ) ^[
3
] ;
ce qu'il possede ^[
5
] ( acte de naissance , certificat d'immatriculation , carte d'identite , carte a puce , droit de propriete , certificat electronique , diplome , passeport , carte Vitale , Token OTP, Carte OTP, Telephone portable, PDA , etc.) ;
ce qu'il est (photo, caracteristique physique, voire biometrie ) ;
ce qu'il sait faire (geste, signature).

Methodes de verification [ modifier | modifier le code ]

La phase de verification fait intervenir un protocole d'authentification. On en distingue trois sortes ≪ familles ≫ :

l' authentification simple : l'authentification ne repose que sur un seul element ou ≪ facteur ≫ (exemple : l'utilisateur indique son mot de passe) ;
l' authentification forte : l'authentification repose sur deux facteurs ou plus ^[
6
] ;
l' authentification unique : (ou identification unique ; en anglais Single Sign-On ou SSO) est une methode permettant a un utilisateur de ne proceder qu'a une seule authentification pour acceder a plusieurs applications informatiques (ou sites internet securises).

Par ailleurs, l' authentification a transfert nul de connaissance ne considere que l'information de la veracite d'une proposition.

Federation d'autorites d'authentification [ modifier | modifier le code ]

Article connexe : authentification unique .

L'objectif de la federation des autorites d'authentification est double : deleguer l'authentification a un ou plusieurs etablissements (qui assureront notamment une identification) et obtenir des informations relatives a l'utilisateur (pour gerer le controle d'acces, personnaliser des contenus) sans forcement connaitre son identite.

Exemples [ modifier | modifier le code ]

Exemples de protocoles d'authentification [ modifier | modifier le code ]

De facon appliquee, voici quelques exemples de protocoles d'authentification :

SSL (qui peut egalement fournir du chiffrement ) ;
NTLM (utilise dans les reseaux de Microsoft Windows ) ;
Kerberos (standard utilise par Windows et bien d'autres systemes) ;
Central Authentication Service (CAS) Mecanisme d'authentification et de SSO , libre et gratuit developpe par l' Universite Yale ;
802.1x mecanisme standard de controle de port et d'authentification.

Notes et references [ modifier | modifier le code ]

↑ ≪ authentification ≫, sur securite-informatique.gouv.fr (consulte le 5 octobre 2010 ) .
↑ Rapport de prospective Technologies cles 2020 , publie en mai 2016
↑ ^{a
et
b} ≪ Authentification, autorisation ≫, sur besoindaide.com (consulte le 5 octobre 2010 )
↑ ≪ Authentification ≫, sur Pix-Data.Com , 15 juin 2023 (consulte le 27 juin 2023 )
↑ ≪ Authentification de documents ≫, sur international.gc.ca (consulte le 5 octobre 2010 )
↑ En toute rigueur la multiplication des elements d'authentification ne fait que la rendre plus complexe. Seuls des elements inviolables et non subtilisables peuvent assurer une reelle solidite pour une authentification

Voir aussi [ modifier | modifier le code ]

Articles connexes [ modifier | modifier le code ]

Liens externes [ modifier | modifier le code ]

[1] ≪ authentification ≫, sur securite-informatique.gouv.fr (consulte le 5 octobre 2010 ) .

[2] Rapport de prospective Technologies cles 2020 , publie en mai 2016

[Authentification,_autorisation.www.besoindaide.com-3] {a
et
b} ≪ Authentification, autorisation ≫, sur besoindaide.com (consulte le 5 octobre 2010 )

[4] ≪ Authentification ≫, sur Pix-Data.Com , 15 juin 2023 (consulte le 27 juin 2023 )

[5] ≪ Authentification de documents ≫, sur international.gc.ca (consulte le 5 octobre 2010 )

[6] En toute rigueur la multiplication des elements d'authentification ne fait que la rendre plus complexe. Seuls des elements inviolables et non subtilisables peuvent assurer une reelle solidite pour une authentification

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]