Authentification forte
Source: Wikipédia sous licence CC-BY-SA 3.0.
La liste des auteurs de cet article est disponible ici.

Introduction

En sécurité des systèmes d'information, une authentification forte est une procédure d'identification qui requiert concaténation d'au moins deux éléments ou « facteurs » d'authentification (L'authentification est la procédure qui consiste, pour un système informatique, à vérifier l'identité d'une entité (personne, ordinateur...), afin d'autoriser...).

Les éléments de l'authentification forte

Seule la combinaison (Une combinaison peut être :) de ces éléments ou facteurs inviolables et non subtilisables peut assurer une réelle solidité pour une authentification. On considère que ces éléments peuvent être :

  • Ce que l'entité connaît (un mot de passe, un code NIP, une phrase secrète, etc.)
  • Ce que l'entité détient (une carte magnétique, RFID, une clé USB (Une clé USB est un petit média amovible qui se branche sur le port USB d'un ordinateur, ou, plus récemment, de certaines chaînes...), un PDA, une carte à puce (Une carte à puce est une carte en matière plastique, voire en papier ou en carton, de quelques centimètres de côté et moins d'un millimètre d'épaisseur, portant au moins un...), un smartphone, un iPhone (L'iPhone est une famille de smartphones conçue et commercialisée par Apple Inc. depuis 2007. Les modèles, dont l'interface utilisateur a été conçue avec le...), un téléphone (Le téléphone est un système de communication, initialement conçu pour transmettre la voix humaine.) portable, etc. ). Soit un élément physique (La physique (du grec φυσις, la nature) est étymologiquement la « science de la nature ». Dans un sens général et ancien, la physique désigne...) appelé authentifieur ou Token (par les anglophones)
  • Ce que l'entité est, soit une personne physique (empreinte digitale (Les digitales forment le genre Digitalis, environ 20 espèces de plantes herbacées classiquement placées dans la famille des Scrofulariacées. Les études récentes situent désormais ce genre...), empreinte rétinienne, structure de la main (La main est l’organe préhensile effecteur situé à l’extrémité de l’avant-bras et relié à ce dernier par le poignet. C'est un organe destiné...), structure osseuse du visage ou tout (Le tout compris comme ensemble de ce qui existe est souvent interprété comme le monde ou l'univers.) autre élément biométrique)
  • Ce que l'entité sait faire ou fait, soit une personne physique (biométrie comportementale tel que signature manuscrite, reconnaissance de la voix, un type de calcul connu de lui seul, un comportement, etc.)
  • Où l'entité est, soit un endroit d'où, suite à une identification et authentification réussie, elle est autorisée (accéder à un système logique (La logique (du grec logikê, dérivé de logos (λόγος), terme inventé par Xénocrate signifiant à la fois raison, langage, et raisonnement) est...) d'un endroit prescrit)

Dans la majorité des cas, l'entité est une personne physique - individu (Le Wiktionnaire est un projet de dictionnaire libre et gratuit similaire à Wikipédia (tous deux sont soutenus par la fondation Wikimedia).) - personne morale, mais elle peut être un objet (De manière générale, le mot objet (du latin objectum, 1361) désigne une entité définie dans un espace à trois dimensions, qui a une fonction précise, et qui peut être désigné par une étiquette...) comme par exemple une application web utilisant le protocole SSL, un serveur SSH, un objet de luxe, une marchandise (Une marchandise est un produit de l'activité humaine, direct ou indirect, essentiellement déterminé à être un support à la forme d'échange qu'on nomme achat (ou...), un animal (Un animal (du latin animus, esprit, ou principe vital) est, selon la classification classique, un être vivant hétérotrophe, c’est-à-dire qu’il se nourrit de...), etc.

Représentation de l'authentification forte sous forme pyramidale.

On peut considérer que l'authentification forte est une des fondations (Les fondations d'un ouvrage assurent la transmission et la répartition des charges (poids propre et surcharges climatiques et d'utilisation) de cet ouvrage sur le sol. Le mode de fondation sera établi...) essentielles pour garantir :

  • L'autorisation ou contrôle (Le mot contrôle peut avoir plusieurs sens. Il peut être employé comme synonyme d'examen, de vérification et de maîtrise.) d'accès (qui peut y avoir accès)
  • La confidentialité (qui peut le voir)
  • L'intégrité (qui peut le modifier)
  • La traçabilité (qui l'a fait)

Cette approche est toutefois remise en cause par la DCSSI dans son référentiel sur l'authentification distante.

Famille technologique pour l'authentification forte

On dénombre actuellement trois familles :

  • One Time Password (OTP) / Mot de passe à usage (L’usage est l'action de se servir de quelque chose.) unique.
  • Certificat numérique (Une information numérique (en anglais « digital ») est une information ayant été quantifiée et...)
  • Biométrie

One Time Password (OTP) / Mot de passe à usage unique

Cette technologie (Le mot technologie possède deux acceptions de fait :) permet de s'authentifier avec un mot de passe à usage unique. Elles est basée sur l'utilisation d'un secret partagé (cryptographie symétrique). Il n'est donc pas possible de garantir une véritable non-répudiation avec cette technologie.

Certificat Numérique

Cette technologie est basée sur l'utilisation de la cryptographie asymétrique (La cryptographie asymétrique, ou cryptographie à clé publique est fondée sur l'existence de fonctions à sens unique — c'est-à-dire qu'il est simple d'appliquer cette fonction à un message, mais extrêmement difficile de retrouver...) et l'utilisation d'un challenge. Il est possible de garantir la non-répudiation car uniquement l'identité possède la clé privée.

  • Infrastructure à clés publiques (PKI)
  • RSA
  • PKINIT Smart (Smart est une société allemande et une marque du groupe DaimlerChrysler créée en 1996 avec l'aide de Swatch Group. Elle construit des voitures de la gamme petite citadine. Les...) Card Logon pour un environnement (L'environnement est tout ce qui nous entoure. C'est l'ensemble des éléments naturels et artificiels au sein duquel se déroule la vie humaine. Avec les enjeux...) Microsoft (Microsoft Corporation (NASDAQ : MSFT) est une multinationale américaine de solutions informatiques, fondée par Bill Gates et Paul Allen, dont le revenu annuel...)

Biométrie

Liste TAN.

Cette technologie est basée sur la reconnaissance d'une caractéristique ou d'un comportement unique.

  • Biométrie
  • Technologie Match on Card

Exemples de technologies d'authentification forte

Pourquoi l'authentification forte et l'authentification à deux-facteurs?

Le mot de passe est actuellement le système le plus couramment utilisé pour identifier un utilisateur. Il n’offre plus le niveau de sécurité requis pour assurer la protection de biens informatiques sensibles. Sa principale faiblesse réside dans la facilité avec laquelle il peut être trouvé, grâce à différentes techniques d’attaque. On recense plusieurs catégories d’attaques informatiques pour obtenir un mot de passe :

  • Attaque par force (Le mot force peut désigner un pouvoir mécanique sur les choses, et aussi, métaphoriquement, un pouvoir de la volonté ou encore une vertu morale...) brute
  • Attaque par dictionnaire
  • Écoute (Sur un voilier, une écoute est un cordage servant à régler l'angle de la voile par rapport à l'axe longitudinal du voilier et en conséquence l'angle d'incidence du vent sur la voile. Il y a une écoute dédiée à...) du clavier informatique (L´informatique - contraction d´information et automatique - est le domaine d'activité scientifique, technique et industriel en rapport avec le...) (keylogger)
  • Écoute du clavier informatique sans fils - Wireless Keyboard We know what you typed last summer
  • Écoute du réseau (Un réseau informatique est un ensemble d'équipements reliés entre eux pour échanger des informations. Par analogie avec un filet (un réseau est un « petit rets », c'est-à-dire un...) (password sniffer) : plus facilement avec les protocole réseau (Un protocole réseau est un protocole de communication mis en œuvre sur un réseau informatique.) sans chiffrement (En cryptographie, le chiffrement (parfois appelé à tort cryptage) est le procédé grâce auquel on peut rendre la compréhension d'un document impossible à toute personne qui n'a pas la clé de (dé)chiffrement.), comme HTTP, Telnet, FTP, LDAP, etc.
  • Hameçonnage (L'hameçonnage (ou phishing, et parfois filoutage), est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité. La technique consiste...) (ou filoutage), appelé en anglais phishing
  • Attaque de l'homme (Un homme est un individu de sexe masculin adulte de l'espèce appelée Homme moderne (Homo sapiens) ou plus simplement « Homme ». Par distinction, l'homme prépubère est appelé un garçon, tandis...) du milieu ou man in the middle attack (MITM) : par exemple avec les protocoles SSL ou SSH
  • Ingénierie (L'ingénierie désigne l'ensemble des fonctions allant de la conception et des études à la responsabilité de la construction et au contrôle des équipements d'une installation technique ou industrielle.) sociale, efficace

L'attaque par force brute n'est pas vraiment une méthode de cassage puisque le principe est applicable à toutes les méthodes. Elle est toutefois intéressante car elle permet de définir le temps (Le temps est un concept développé par l'être humain pour appréhender le changement dans le monde.) maximum que doit prendre une attaque sur une méthode cryptographique. Le but de la cryptographie (La cryptographie est une des disciplines de la cryptologie s'attachant à protéger des messages (assurant confidentialité, authenticité et intégrité) en s'aidant souvent de secrets ou clés.) est de rendre impraticable l'usage de la force brute en augmentant les délais de résistance à cette méthode. En théorie (Le mot théorie vient du mot grec theorein, qui signifie « contempler, observer, examiner ». Dans le langage courant, une théorie est une...), il suffit que le délai (Un délai est d'après le Wiktionnaire, « un temps accordé pour faire une chose, ou à l’expiration duquel on sera tenu de faire une certaine chose.  ».) de résistance soit supérieur à la la durée de vie (La vie est le nom donné :) utile de l'information à protéger. Cette durée varie selon l'importance de l'information à protéger.

Page générée en 0.265 seconde(s) - site hébergé chez Amen
Ce site fait l'objet d'une déclaration à la CNIL sous le numéro de dossier 1037632
Ce site est édité par Techno-Science.net - A propos - Informations légales
Partenaire: HD-Numérique