L'authentification moderne : une introduction

Découvrez l'authentification moderne et les technologies qui la sous-tendent. Explorez cette méthode qui aide les organisations à se défendre contre les menaces sophistiquées tout en préservant la productivité des utilisateurs.

Novembre 10 2024 Par

Jesus Vigo

A closeup of an eyeball looking through the keyhole of a wooden door.

au·then·ti·fi·ca·tion

\o.tɑ̃.ti.fi.ka.sjɔ̃\
nom féminin

Processus ou action visant à prouver ou montrer que quelque chose est vrai, authentique ou valide.
« les estampes seront marquées de son sceau et accompagnées d'une lettre d'authentification ».

  • En informatique : processus ou action visant à vérifier l'identité d'un utilisateur ou d'un processus.
    « l'authentification de l'utilisateur sur chaque appareil garantit que l'individu qui utilise l'appareil est reconnu par l'entreprise ».

L'authentification est omniprésente.

Quiconque a déjà essayé de retirer de l'argent d'une banque, demandé la copie d'un dossier médical ou utilisé un ordinateur au cours des trois dernières décennies connaît ce processus : il faut apporter la preuve que l'on est bien la personne qu'on prétend être, et donc qu'on a l'autorisation d'accéder à ce qu'on demande.

En informatique, l'authentification sert de barrière de sécurité. Elle contrôle l'accès aux informations que leur propriétaire souhaite réserver à certaines personnes, qui vont être autorisées à lire, exécuter, écrire, modifier et/ou supprimer ces informations dans le cadre de leur travail.

Les sceaux cylindriques, créés vers 3 500 ans avant notre ère, sont reconnus comme la plus ancienne forme d'authentification. Certes, les techniques de gravure employées pour les créer étaient difficiles à reproduire. Mais selon les standards d'aujourd'hui, il faut quelque chose de bien plus complexe et incontestable pour protéger nos systèmes de données, de stockage et de communication contre les menaces modernes.

C'est précisément le sujet de cet article de blog : l'authentification moderne utilisée en informatique. Vous allez y découvrir :

  • Ce qui constitue une authentification moderne
  • Ses principaux composants
  • Les caractéristiques des méthodes d'authentification modernes
  • Des exemples et des cas d'utilisation en environnement réel

Qu'est-ce que l'authentification moderne ?

Prenons notre Delorean pour revenir dans le futur. Au 21e siècle, l'authentification moderne est simplement une méthode de vérification de l'identité des utilisateurs qui repose sur plusieurs facteurs.

La sécurité des données est une préoccupation majeure pour les entreprises et les utilisateurs, et il faut savoir qu'on recense environ 3,6 appareils par utilisateur dans le monde. Dans ce contexte, la protection des données stockées et partagées sur plusieurs appareils représentait un défi hors de portée des méthodes d'authentification traditionnelles (nous y reviendrons plus tard). Pour répondre aux besoins actuels, de nouveaux outils ont été développés afin de protéger les données, les appareils et les utilisateurs contre tout accès non autorisé. Nous détaillerons chacun d'eux dans la section suivante, mais commençons par en dresser la liste :

  • Méthodes d’authentification

  • Méthodes d'autorisation

    • OAuth
    • OpenID Connect (OIDC)
    • Langage de balisage d'assertion de sécurité (SAML)
  • Règles d'accès conditionnel

Méthodes d'authentification : tradition et modernité

L'histoire nous enseigne qu'il a toujours été nécessaire de pouvoir authentifier des choses, qu'il s'agisse d'un décret royal ou d'un document réservé à une personne en particulier. Et la protection des données confidentielles est un domaine qui n'a pas échappé aux progrès technologiques des civilisations.

Par exemple, les méthodes d'authentification traditionnelles toujours en vigueur aujourd'hui utilisent des mots de passe ou des codes PIN pour protéger les accès. Remarquez que je n'ai pas dit « sécuriser les accès ». En effet, si ces méthodes ont donné de bons résultats pendant des décennies, le paysage moderne des menaces a évolué, et les pirates déploient des attaques sophistiquées qui tirent parti de multiples outils : attaques par dictionnaire, campagnes d'ingénierie sociale, exploitation des vulnérabilités et, depuis peu, intelligence artificielle (IA) et machine learning (ML). Ces acteurs malveillants peuvent facilement deviner le mot de passe, le contourner ou simplement amener son détenteur à le communiquer, et ainsi déjouer les méthodes traditionnelles qui ne s'appuient que sur un seul facteur pour protéger les informations.

Les méthodes d'authentification modernes s'appuient sur plusieurs facteurs d'authentification, des protocoles d'autorisation robustes et des règles de sécurité conditionnelles (ou contextuelles) pour évaluer de manière granulaire les affirmations des utilisateurs quant à leur identité. En combinant plusieurs facteurs dans le workflow d'authentification, l'organisation passe d'une méthode traditionnelle reposant sur la vérification implicite d'un seul facteur, à une approche moderne, exigeant deux facteurs ou plus pour approuver une demande d'accès. Si la demande d'un utilisateur réussit un premier niveau de vérification (le mot de passe, par exemple) mais échoue au second (MFA), l'accès à la ressource demandée reste bloqué, et les données sont protégées.

Les caractéristiques des méthodes d'authentification modernes

Maintenant que nous avons vu les méthodes d'authentification traditionnelles et leurs faiblesses, penchons-nous sur les différents contrôles qui composent l'authentification moderne pour comprendre leurs spécificités et leur intérêt face aux préoccupations actuelles en matière de sécurité.

Authentification multifacteur (MFA)

La MFA consiste à utiliser plusieurs facteurs différents pour vérifier plus étroitement l'identité d'un utilisateur. Autrement dit, un pirate devra venir à bout de chaque facteur pour obtenir l'accès à une ressource protégée.

Comme son nom l'indique, une mise en œuvre correcte de l'AMF nécessite au moins deux facteurs distincts parmi la liste ci-dessous :

  • Une information que vous connaissez (mot de passe, code pin, code de récupération, code à usage unique, etc.)
  • Un aspect de votre identité (données biométriques, empreintes digitales, voix, rétine ou visage)
  • Un objet que vous possédez (carte d'accès commun (CAC), badge RSA, clé de sécurité).

Authentification sans mot de passe

La MFA combine plusieurs facteurs pour valider l'identité d'un utilisateur avant de lui accorder un accès et s'acquitte généralement de cette tâche avec brio. Mais la plupart du temps, le facteur « une information que vous connaissez » prend la forme du bon vieux mot de passe.

Or on sait que les mots de passe sont faciles à contourner pour les pirates comme les professionnels de la sécurité. Cette pratique a perdu de sa force et c'est une source de grande lassitude chez les utilisateurs qui doivent créer et mémoriser d'innombrables mots de passe uniques pour chaque appareil, site web et service auquel ils accèdent.

Si l'on ajoute à cela des menaces telles que le phishing ou les attaques sophistiquées qui imitent des boîtes de dialogue pour inciter les utilisateurs à donner leur mot de passe, on comprend vite la supériorité de l'authentification sans mot de passe. Cette méthode s'appuie sur des appareils reconnus comme fiables grâce à des certificats sécurisés qui attestent du matériel. Elle combine ensuite ces informations avec d'autres facteurs : un SMS, une notification temporaire liée à une application sécurisée installée sur votre appareil mobile, des données biométriques, ou les trois à la fois.

Un workflow sans mot de passe intégré à votre fournisseur d'identité (IdP) vérifie en coulisses que l'utilisateur est bien celui qu'il prétend être, sans jamais demander de mot de passe non sécurisé.

Authentification adaptative

L'authentification adaptative ou basée sur le risque, relativement nouvelle dans le domaine de l'authentification, fait passer le nombre de facteurs d'authentification possibles de trois à quatre.

Le quatrième facteur vérifie l'identité d'un utilisateur en utilisant des technologies d'IA/ML pour déterminer la localisation d'un utilisateur, analyser l'état de son appareil et/ou évaluer son comportement. L'authentification adaptative recherche des critères qui indiquent si les affirmations de l'utilisateur sont légitimes ou non.

Par exemple, votre organisation peut utiliser la géolocalisation comme facteur d'authentification pour déterminer la localisation physique de l'utilisateur à chaque demande. Si la demande semble émaner d'un lieu suspect, la solution d'authentification adaptative pilotée par l'IA rejette la demande au motif qu'elle provient d'une localisation qui n'est pas dans la liste des lieux autorisés.

Authentification unique (SSO)

La SSO est conçue pour partager des attributs d'identité entre des réseaux indépendants mais fiables. Cette méthode porte également le nom de fédération ou d'identité fédérée. En général, le workflow SSO se déroule comme suit :

  1. Un utilisateur demande l'accès à un fournisseur (qui peut être une application, un site web ou un service).
  2. Le fournisseur génère un jeton SSO et envoie une demande d'authentification à l'IdP intégré.
  3. L'IdP vérifie si le compte de l'utilisateur est déjà authentifié :
    • Si c'est le cas, la confirmation de l'authentification de l'utilisateur est envoyée au fournisseur, qui accorde l'accès à la ressource.
    • Dans le cas contraire, l'IdP dirige la demande de l'utilisateur vers le portail de connexion. L'utilisateur doit alors saisir ses identifiants pour que l'IdP les valide. Si les identifiants sont vérifiés, l'IdP transmet la réponse au fournisseur qui accorde l'accès à la ressource.

Par son intégration, la SSO est extrêmement pratique pour les organisations comme pour les utilisateurs.

Pour l'entreprise, la SSO :

  • Étend l'authentification sécurisée à l'ensemble de l'infrastructure
  • S'intègre avec la solution de gestion des identités et des accès (IAM)
  • Fournit une méthode centralisée pour authentifier et autoriser les demandes des utilisateurs
  • Simplifie la gestion et la sécurité du workflow d'authentification pour les équipes informatiques et de sécurité.

Pour les utilisateurs, la SSO :

  • Permet d'accéder à toutes les ressources professionnelles avec un seul jeu d'identifiants
  • Offre un accès centralisé à l'ensemble des sites web, applications approuvées et services nécessaires au travail
  • Permet d'accéder à toutes les ressources approuvées après s'être authentifié auprès d'une seule ressource, sans avoir à saisir des identifiants à répétition
  • Fournit un portail SSO cohérent, qui fonctionne toujours de la même manière, quel que soit l'appareil utilisé.

Règles d'accès conditionnel

Les règles d'accès conditionnel, ou règles contextuelles, s'appuient sur une ou plusieurs déclarations pour déterminer si un utilisateur et/ou un appareil doivent recevoir l'accès à une ressource protégée. Les administrateurs peuvent créer une règle pour vérifier une variable spécifique qui jouera le rôle de condition d'accès à la ressource.

C'est vrai, le terme de « variable » peut sembler vague. Mais nous avons choisi ce terme parce que les règles d'accès conditionnel sont hautement personnalisables. Vous pouvez créer des règles en fonction des besoins uniques de votre organisation en matière de conformité. Et selon l'intégration des solutions au sein de votre pile de sécurité, vous pourriez même profiter d'une grande flexibilité pour personnaliser et affiner les règles.

Prenons un exemple de workflow automatisé qui s'active lorsque les ressources de l'entreprise sont protégées par Jamf Trusted Access. L'intégration entre Jamf Connect (identité) et Jamf Protect (sécurité) fournit l'authentification sécurisée, donne de la visibilité et assure la sécurité des terminaux macOS et mobiles. De plus, l'intégration de ces solutions permet de mettre en place l'accès réseau Zero Trust (ZTNA) et d'ajouter des politiques contextuelles, configurées par les administrateurs via Jamf Security Cloud.

Dans notre scénario, un utilisateur demande l'accès à une ressource protégée depuis son iPhone personnel, qu'il utilise également pour son travail. Le ZTNA est configuré pour vérifier les identifiants et l'intégrité de l'appareil. Il procède à l'authentification du compte de l'utilisateur sans rencontrer de problème.

Ensuite, le ZTNA analyse l'appareil de l'utilisateur en temps réel et utilise des données télémétriques riches pour comparer sa posture de sécurité au profil de référence établi par votre organisation. Il détecte une compromission : une application vulnérable a été exploitée sur l'appareil. Le ZTNA applique le principe « Ne jamais faire confiance, vérifier systématiquement » ; il refuse donc l'accès à la ressource protégée.

Mais ce n'est pas tout. Le défaut de conformité de l'appareil déclenche un workflow de correction automatique visant à mettre à jour l'application vulnérable. Une fois cette mesure appliquée, le ZTNA scanne à nouveau l'appareil pour vérifier qu'il est bien conforme.

Si c'est le cas, il approuve l'accès à la ressource demandée à ce moment-là, et pour cette fois seulement. En effet, contrairement à la SSO, le ZTNA vérifie silencieusement les identifiants et la santé de l'appareil à chaque demande, afin d'éviter tout risque lié à une éventuelle compromission.

OAuth et OpenID Connect

Les protocoles OAuth et OpenID Connect sont tous les deux utilisés pour accéder aux applications et aux services basés sur le web, mais ils n'appliquent pas la même méthode.

OAuth est un cadre d'autorisation. Ce standard ouvert permet de déléguer l'accès, par exemple pour partager des informations spécifiques avec des tiers sans que les utilisateurs n'aient à transmettre leurs identifiants ou à donner à ces tiers un accès complet aux ressources.

Pour prendre un exemple courant, c'est OAuth qui permet aux utilisateurs d'un réseau social de se connecter à des sites web tiers à l'aide des identifiants de leur compte.

De son côté, OpenID Connect est basé sur le standard OAuth 2.0 et il ajoute une couche d'authentification au cadre d'autorisation. Dans la pratique, OIDC fonctionne de manière similaire à OAuth, mais il prend en charge des fonctionnalités élargies : gestion des sessions, chiffrement des informations d'identité et découverte des fournisseurs OIDC. Elles sont notamment employées pour accéder à des services cloud tels qu'Office 365, Google Workspace et d'autres applications SaaS.

Langage de balisage d'assertion de sécurité (SAML)

Comme OAuth, SAML est également un standard ouvert basé sur XML. Il a pour principale fonction d'échanger des données d'authentification et d'autorisation entre plusieurs domaines. Plus précisément, il permet un échange sécurisé entre l'IdP d'une organisation et un fournisseur de services (site web, application ou service).

C'est l'ingrédient secret de la fonctionnalité SSO, celui qui permet aux entreprises de fédérer les identités auprès de multiples fournisseurs. Il suffit aux utilisateurs de s'authentifier auprès d'une seule ressource protégée pour obtenir l'accès à toutes celles pour lesquelles ils ont des autorisations. Enfin, SAML n'a pas seulement été développé dans un but de normalisation : il favorise également l'interopérabilité entre des technologies propriétaires.

Du point de vue de la sécurité, SAML garantit un transfert sûr et sécurisé des sessions authentifiées. Les données des mots de passe sont conservées en toute sécurité par votre IdP : les fournisseurs de services ne les stockent jamais, tout simplement parce que ces informations ne leur sont jamais transmises. Seuls les attributs SAML sont échangés entre l'IdP et les fournisseurs de services.

Enfin, les administrateurs peuvent personnaliser l'expérience d'authentification via SAML en ajoutant des contrôles de sécurité supplémentaires comme la MFA pour vérifier plus étroitement l'identité des utilisateurs.

Jamf peut vous aider.

Jamf facilite la gestion et la sécurité de l'ensemble de votre infrastructure.

Intégrez les workflows de gestion des identités et des accès pour offrir une protection holistique à vos appareils macOS et mobiles avec Jamf.

Découvrez l'authentification avec Jamf.