Authentification forte

Authentification forte

En sécurité des systèmes d'information, une authentification forte est une procédure d'identification qui requiert la concaténation d'au moins deux éléments ou « facteurs » d'authentification.

Sommaire

Les éléments de l'authentification forte

Seule la combinaison de ces éléments ou facteurs inviolables et non subtilisables peut assurer une réelle solidité pour une authentification. On considère que ces éléments peuvent être :

  • Ce que l'entité connaît (un mot de passe, un code NIP, une phrase secrète, etc.)
  • Ce que l'entité détient (une carte magnétique, RFID, une clé USB, un PDA, une carte à puce, un smartphone, etc.). Soit un élément physique appelé authentifieur ou Token (par les anglophones)
  • Ce que l'entité est, soit une personne physique (empreinte digitale, empreinte rétinienne, structure de la main, structure osseuse du visage ou tout autre élément biométrique)
  • Ce que l'entité sait faire ou fait, soit une personne physique (biométrie comportementale tel que signature manuscrite, reconnaissance de la voix, un type de calcul connu de lui seul, un comportement, etc.)
  • Où l'entité est, soit un endroit d'où, suite à une identification et authentification réussie, elle est autorisée (accéder à un système logique d'un endroit prescrit)

Dans la majorité des cas, l'entité est une personne physique - individu - personne morale, mais elle peut être un objet comme par exemple une application web utilisant le protocole SSL, un serveur SSH, un objet de luxe, une marchandise, un animal, etc.

Représentation de l'authentification forte sous forme pyramidale.

On peut considérer que l'authentification forte est une des fondations essentielles pour garantir :

Cette approche est toutefois modulée par l'ANSSI dans son référentiel général de sécurité[1].

Pourquoi l'authentification forte et l'authentification à deux-facteurs?

Le mot de passe est actuellement le système le plus couramment utilisé pour authentifier un utilisateur. Il n’offre plus le niveau de sécurité requis pour assurer la protection de biens informatiques sensibles. Sa principale faiblesse réside dans la facilité avec laquelle il peut être trouvé, grâce à différentes techniques d’attaque. On recense plusieurs catégories d’attaques informatiques pour obtenir un mot de passe :

L'attaque par force brute n'est pas vraiment une méthode de cassage puisque le principe est applicable à toutes les méthodes. Elle est toutefois intéressante car elle permet de définir le temps maximum que doit prendre une attaque sur une méthode cryptographique. Le but de la cryptographie est de rendre impraticable l'usage de la force brute en augmentant les délais de résistance à cette méthode. En théorie, il suffit que le délai de résistance soit supérieur à la durée de vie utile[2] de l'information à protéger. Cette durée varie selon l'importance de l'information à protéger.

Familles technologiques pour l'authentification forte

On dénombre actuellement trois familles :

One Time Password (OTP) / Mot de passe à usage unique

Cette technologie permet de s'authentifier avec un mot de passe à usage unique. Elle est fondée sur l'utilisation d'un secret partagé (cryptographie symétrique) ou l'utilisation d'une carte matricielle d'authentification. Il n'est donc pas possible de garantir une véritable non-répudiation.

Certificat Numérique

Cette technologie est fondée sur l'utilisation de la cryptographie asymétrique et l'utilisation d'un challenge. Il est possible de garantir la non-répudiation car uniquement l'identité possède la clé privée.

Biométrie

Liste TAN.

Cette technologie est fondée sur la reconnaissance d'une caractéristique ou d'un comportement unique.

Exemples de technologies d'authentification forte

Authentifieur de type One-Time-Password

Cette technologie est fondée sur un secret partagé unique. L'authentifieur contient le secret. Le serveur d'authentification contient le même secret. Grâce au partage de ce dénominateur commun il est alors possible de générer des mots de passe à usage unique (One-Time-Password). Du fait que ce type de technologie utilise un secret partagé il n'est pas possible d'assurer la non-répudiation. La technologie du certificat numérique permet a contrario de garantir la non-répudiation.

Il existe deux modes de fonctionnement :

Exemple de solution de type OTP

  • La liste à biffer ou TAN (Transaction Authentication Number). Il s'agit de rentrer un OTP (One-Time Password) provenant d'une liste de codes fournie par exemple par la banque. Cette liste est considérée comme un authentifieur.
Fonctionnement d'une carte matricielle.
  • Matrix card authentication ou authentification à carte matricielle. Il s'agit de rentrer un OTP provenant d'une carte matricielle fournie. Ce système utilise les coordonnées en Y et X. La carte matricielle est considérée comme un authentifieur
Fonctionnement d'un One Time Password via SMS.
  • Utilisation des SMS. Ce système utilise la technologies des SMS. L'utilisateur reçoit un OTP directement sur son téléphone portable. Le téléphone portable est considérée comme un authentifieur.
Fonctionnement d'un authentifieur fondé sur le temps.

Authentifieur fondé sur le temps

Ces authentifieurs utilisent, en plus du secret partagé, un dénominateur commun qui est le temps. Chaque partie est synchronisée sur le temps universel (UTC). On utilise alors un Code NIP comme deuxième facteur d'authentification. Ces authentifieurs sont définis comme une technologie dite synchrone. Chaque minute, par exemple, ces authentifieurs affichent un nouveau « Token Code », le One Time Password.

L'exemple le plus connu est SecurID de la société RSA Security.

Fonctionnement d'un authentifieur fondé sur un compteur.

Authentifieur fondé sur un compteur

Ces authentifieurs utilisent, en plus du secret partagé, un dénominateur commun qui est un compteur. Chaque partie se synchronise sur le compteur. On utilise alors un Code NIP comme deuxième facteur d'authentification. Le code NIP peut être entré sur un mini clavier. Comme la technologie fondée sur le temps, ces authentifieurs ne sont pas capables d'offrir la non-répudiation. Ces authentifieurs sont définis comme une technologie dite synchrone.

Fonctionnement d'un authentifieur fondé sur un mécanisme de « Challenge Response ».

Authentifieurs fondé sur un mécanisme de « défi réponse »

Ces authentifieurs utilisent, en plus du secret partagé, un nombre aléatoire généré par le serveur d'authentification. Le client reçoit ce challenge ou nonce et répond à celui-ci au serveur. On utilise alors un Code NIP comme deuxième facteur d'authentification. Le code NIP peut être entré sur un mini clavier. Comme cette technologie utilise un secret partagé, ces authentifieurs ne sont pas capables d'offrir la non-répudiation.

Ces authentifieurs sont définis comme une technologie dite asynchrone.

Type d'Authentifieur ou « Token » PKI

Carte à puce.

Carte à puce

Pour sécuriser la clé privée et stocker le certificat numérique, la carte à puce est une solution très efficace. Cette technologie permet aussi d'implémenter d'autres fonctions telles que sécurité des bâtiments, badgeuse, etc.

Généralement, la carte à puce est liée à l'utilisation d'un code NIP ou par l'utilisation de la biométrie.

Lorsque la biométrie remplace le code NIP, le système offre une preuve "quasi absolue" du porteur de la carte (cf technologie Match On Card).

Authentifieur USB

Ces authentifieurs utilisent la même technologie cryptographique que les cartes à puces. Ce type d'authentifieur est capable de stocker, générer du matériel cryptographique de façon très sécurisée. Ces authentifieurs sont définis comme une technologie dite connectée. En d'autres termes, il est nécessaire de « brancher » cette authentifieur sur l'ordinateur via le port USB. L'inconvénient majeur de cette technologie est qu'elle n'est pas vraiment portable. Par exemple, il est difficile d'utiliser son authentifieur USB sur une « borne » Internet (Kiosk, Hôtel, etc.).

Exemple d'authentifieur hybride.

Type d'Authentifieur ou « Token » de type Hybride

Ces authentifieurs offrent le meilleur des deux mondes. Ils sont capables de gérer les certificats numériques et d'offrir une solution très portable pour les nomades avec la technologie OTP.

Annexes

Notes et références

  1. Authentification - Règles et recommandations concernant les mécanismes d'authentification Référentiel technique de l'ANSSI - version 1.0 du 13/01/2010
  2. La durée de vie utile d'une information est la période durant laquelle cette information offre un avantage ou une confidentialité que l'on souhaite préserver de tout usage frauduleux

Voir aussi

Liens externes


Wikimedia Foundation. 2010.

Contenu soumis à la licence CC-BY-SA. Source : Article Authentification forte de Wikipédia en français (auteurs)

Игры ⚽ Нужно сделать НИР?

Regardez d'autres dictionnaires:

  • Authentification Forte — En sécurité des systèmes d information, une authentification forte est une procédure d identification qui requiert concaténation d au moins deux éléments ou « facteurs » d authentification. Sommaire 1 Les éléments de l authentification… …   Wikipédia en Français

  • Authentification Unique — L authentification unique (ou identification unique ; en anglais Single Sign On ou SSO) est une méthode permettant à un utilisateur de ne procéder qu à une seule authentification pour accéder à plusieurs applications informatiques (ou sites… …   Wikipédia en Français

  • Authentification Simple — En sécurité informatique, une authentification simple est une procédure d authentification qui requiert un seul élément ou « facteur » d authentification valide pour permettre l accès à une ressource. Voir aussi Authentification… …   Wikipédia en Français

  • Authentification — L authentification est la procédure qui consiste, pour un système informatique, à vérifier l identité d une entité (personne, ordinateur…), afin d autoriser l accès de cette entité à des ressources (systèmes, réseaux, applications…)[1] . L… …   Wikipédia en Français

  • Authentification unique — L authentification unique (ou identification unique ; en anglais Single Sign On : SSO) est une méthode permettant à un utilisateur de ne procéder qu à une seule authentification pour accéder à plusieurs applications informatiques (ou… …   Wikipédia en Français

  • Authentification simple — En sécurité informatique, une authentification simple est une procédure d authentification qui requiert un seul élément ou « facteur » d authentification valide pour permettre l accès à une ressource. Voir aussi Authentification… …   Wikipédia en Français

  • Mécanismes d'authentification — Authentification Cette page d’homonymie répertorie les différents sujets et articles partageant un même nom. L authentification est la procédure qui consiste, pour un système informatique, à vérifier l identité d une entité (personne, ordinateur …   Wikipédia en Français

  • Facteur D'authentification — Le facteur d authentification est un facteur physique, cognitif ou biologique produisant une empreinte qu un utilisateur peut prendre pour être authentifié par un système informatique. L empreinte doit être personnelle à l utilisateur et doit… …   Wikipédia en Français

  • Facteur d'authentification — Le facteur d authentification est un facteur physique, cognitif ou biologique produisant une empreinte qu un utilisateur peut prendre pour être authentifié par un système informatique. L empreinte doit être personnelle à l utilisateur et doit… …   Wikipédia en Français

  • Jeton d'authentification — Un jeton d authentification (parfois appelé authentifieur, jeton de sécurité, jeton USB, clé USB de sécurité, jeton cryptographique ou encore carte à puce), est une solution d authentification forte. Un jeton SecurID de la RSA Security en forme… …   Wikipédia en Français

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”