Lorsque vous vous connectez sur un service, il vous est demandé de vous authentifier.
Pour cela on vous demande généralement de communiquer un nom d'utilisateur (l'identité) et un mot de passe.
L’authentification est une étape de contrôle indispensable puisqu’elle vise à vérifier l’identité communiquée par un utilisateur lors de sa connexion sur un service.
Le principe d'authentification est une brique essentielle pour permettre la mise en place des mécanismes de sécurité des services en ligne.
C'est le cas notamment du contrôle des accès, qui permet de gérer les autorisations pour accéder à vos données en s'appuyant sur l'identité authentifiée.
Pour accéder à vos données, deux principes différents sont ainsi mis en œuvre : le principe d'authentification et le principe d'autorisation.
Par exemple, lorsque vous avez saisi votre identifiant et votre mot de passe sur votre service de messagerie en ligne (principe d'authentification), vous pouvez consulter vos propres messages mais pas ceux reçus par d'autres utilisateurs (principe d'autorisation).
Et inversement, ces autres utilisateurs ne peuvent pas consulter vos messages.
Le principe d'authentification est également utilisé pour assurer l'imputabilité (c’est-à-dire pour apporter la preuve de qui a fait quoi) et la traçabilité des actions (c’est-à-dire conserver l'historique des actions).
L'authentification consiste à apporter la preuve de son identité mais il existe plusieurs façons de la prouver.
Celles-ci se répartissent en plusieurs catégories : on parle de facteurs d'authentification.
Les différents facteurs sont la connaissance, la possession ou encore les caractéristiques biométriques.
Les facteurs de connaissance sont aujourd’hui la catégorie la plus répandue.
Cette catégorie regroupe les preuves correspondant à « ce que je connais ».
Ces preuves peuvent être par exemple :
En effet, si vous choisissez comme question secrète « Quel est le nom de jeune-fille de ma mère ? » la réponse peut être très facile à trouver par un attaquant, le risque de découverte de votre mot de passe sera donc plus grand.
La deuxième catégorie regroupe les facteurs de possession c’est-à-dire les preuves qui correspondent à « ce que je possède ».
Dans nos activités professionnelles, il peut s’agir de :
Enfin, la troisième catégorie regroupe les preuves qui correspondent à « ce que je suis ».
Il s’agit d’éléments biométriques (ou inhérents) tels que :
L'avantage de cette méthode est que l'utilisateur a toujours sur lui ses « codes d'authentification » et ne peut pas les perdre ou les oublier.
Cependant, à l’inverse d’un facteur de connaissance ou de possession, les éléments biométriques sont fixes, ce qui peut poser des problèmes vis à vis de la vie privée.
L'authentification électronique par identifiant et mot de passe met en œuvre un unique facteur d'authentification, à savoir le mot de passe qui rentre dans la catégorie des facteurs de connaissance : on parle alors d'authentification simple.
Lorsque le mécanisme d'authentification met en œuvre plusieurs facteurs d'authentification, on parle alors d'authentification forte.
L’authentification forte mêle ainsi différents types de facteurs d’authentification comme la connaissance associée à la possession.
Ce type d'authentification est souvent utilisé pour se protéger des faiblesses pouvant être liées aux mots de passe.
Aujourd’hui, il est en effet assez répandu de pouvoir activer un deuxième facteur d'authentification pour accéder à sa messagerie électronique et de devoir saisir un code reçu par SMS après avoir entré son mot de passe.
De toutes les méthodes d’authentification vues ensemble, aujourd’hui, la biométrie est sans doute la méthode la plus prometteuse, mais aussi la plus délicate à mettre en œuvre pour plusieurs raisons.
Il existe toutefois plusieurs limites à la biométrie.
Tout d'abord, la biométrie coûte cher et nécessite de lourds moyens pour être mise en place.
Ensuite, elle pose des problèmes sur l'aspect juridique du fait de stocker les caractéristiques morphologiques des personnes.
En effet, ces bases de données sont à rapprocher de celles utilisées par la police et sont donc soumises à des lois très strictes.
Notez également que certaines techniques d'authentification biométriques sont plus susceptibles d'être contournées que d'autres.
Par exemple, les techniques courantes de reconnaissance du visage peuvent être mises à mal par une simple photo.
Et c’est sans compter les éventuels problèmes d’accès qui pourraient survenir avec une voix enrouée ou encore des mains brûlées…
L'un des axes de recherche de la biométrie porte donc sur la multimodalité, c'est-à-dire la combinaison de plusieurs méthodes d'identification par voie biométrique.
Là encore les coûts restent aujourd’hui un facteur limitant pour sa mise en place.
Le mot de passe est aujourd’hui le mode d’authentification le plus répandu.
En effet, c’est le mode d’authentification le plus simple à mettre en place sur nos services quotidiens.
Mais ce mot de passe n’est pas exempt de risques.
Même s’il n’élimine pas l’ensemble des risques, le principe d'authentification permet toutefois de réduire les risques d'usurpation d'identité.
Les risques peuvent varier en fonction du type d'authentification et de la nature des preuves apportées.
En particulier, un mot de passe est un élément secret que vous seul devez connaître car il conditionne l'accès à vos données et services en ligne.
Le risque principal lié à son utilisation est donc sa divulgation à un tiers qui pourrait en faire un usage malveillant.
Les causes de divulgation peuvent être multiples, de la négligence à la malveillance.
On parle de divulgation par négligence dans les cas suivants :
La divulgation de mot de passe peut également faire suite à un acte de malveillance.
Il peut s’agir :