Flux RSS - La vie du site - Nouveautés et mises à jour
Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

Authentification en sécurité informatique

L’authentification, en sécurité informatique, consiste à authentifier (identifier) les utilisateurs pour, ensuite, leur donner ou refuser le droit d’accéder à certaines données, certaines informations, certains outils.

01.01.2012 - Révision 21.08.2020 - Révision mineure 25.07.2021. Auteur : Pierre Pinard.

L’authentification, en sécurité informatique, consiste, à propos des utilisateurs et des utilisations, à identifier les utilisateurs puis qu'ils s'authentifient en prouvant qui ils prétendent être pour, ensuite, leur donner ou refuser le droit d’accéder à certaines données, certaines informations, certains outils.

Pour reconnaître un utilisateur et connaître ses droits informatiques, tous ses droits, mais uniquement ses droits, l'utilisateur doit s’identifier et le système informatique doit s’assurer de son identification prétendue en mettant en oeuvre un ou des mécanismes d'authentification. Plusieurs moyens sont possibles :

  1. Vérifier une information que l’on sait de lui et qu’il est censé être le seul, théoriquement, à connaître, comme un mot de passe (code d’accès) ou la réponse qu’il a préalablement donnée à une question qu’il a préalablement inventée.

  2. Vérifier une information que l’on a sur lui, comme un identifiant matériel (carte à puce, puce RFID).

  3. Vérifier une caractéristique que l’on sait de lui (traçage d’une signature, empreinte digitale, reconnaissance faciale ou toute autre information biométrique [sous réserve d’une demande d’autorisation obtenue auprès de la CNIL dans le cadre de la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés dite « Loi Informatique et Libertés »], etc.).

L’authentification d’un utilisateur est :

  • Simple si elle utilise uniquement l’une des vérifications ci-dessus.

  • Forte si elle utilise deux vérifications. La plus connue et plus répandue est celle utilisée, par exemple, par les banques et administrations qui, après une première identification, envoient un code aléatoire par SMS ou message téléphonique vocal qu’il faut donner pour passer cette double authentification.

Authentification - Précautions élémentaires
  • Définir un identifiant unique par utilisateur et interdire les comptes partagés entre plusieurs utilisateurs. Dans le cas où l’utilisation d’identifiants génériques ou partagés est incontournable, exiger une validation de la hiérarchie et mettre en œuvre des moyens pour les tracer.

  • Respecter la recommandation de la CNIL dans le cas d’une authentification des utilisateurs basée sur des mots de passe, notamment en stockant les mots de passe de façon sécurisée et en appliquant les règles de complexité suivantes pour le mot de passe :

  • Au moins 8 caractères comportant 3 des 4 types de caractères (majuscules, minuscules, chiffres, caractères spéciaux) si l’authentification prévoit une restriction de l’accès au compte (cas le plus courant) comme :

    • Une temporisation d’accès au compte après plusieurs échecs

    • Un « Captcha »

    • Un verrouillage du compte après 10 échecs

  • 12 caractères minimum et 4 types de caractères si l’authentification repose uniquement sur un mot de passe.

  • Plus de 5 caractères si l’authentification comprend une information complémentaire. L’information complémentaire doit utiliser un identifiant confidentiel d’au moins 7 caractères et bloquer le compte à la 5e tentative infructueuse.

  • Le mot de passe peut ne faire que 4 caractères si l’authentification s’appuie sur un matériel détenu par la personne et si le mot de passe n’est utilisé que pour déverrouiller le dispositif matériel détenu en propre par la personne (par exemple une carte à puce ou téléphone portable) et qui celui-ci se bloque à la 3e tentative infructueuse.

  • Des moyens mnémotechniques permettent de créer des mots de passe complexe, par exemple :

    • En ne conservant que les premières lettres des mots d’une phrase ;

    • En mettant une majuscule si le mot est un nom (ex. : Chef) ;

    • En gardant des signes de ponctuation (ex. : ’) ;

    • En exprimant les nombres à l’aide des chiffres de 0 à 9 (ex. : Un 1) ;

    • En utilisant la phonétique (ex : acheté ht).

  • Exemple, la phrase « un Chef d’Entreprise averti en vaut deux » peut correspondre au mot de passe 1Cd’Eaev2.

  • Obliger l’utilisateur à changer, dès sa première connexion, tout mot de passe attribué par un administrateur ou automatiquement par le système lors de la création du compte ou d’un renouvellement consécutif à un oubli.

Ce qu’il ne faut pas faire

  • Communiquer son mot de passe à autrui.

  • Stocker ses mots de passe dans un fichier en clair, sur un papier ou dans un lieu facilement accessible par d’autres personnes.

  • Enregistrer ses mots de passe dans son navigateur sans mot de passe maître.

  • Utiliser des mots de passe ayant un lien avec soi (nom, date de naissance, etc.).

  • Utiliser le même mot de passe pour des accès différents.

  • Conserver les mots de passe par défaut.

  • S’envoyer par e-mail ses propres mots de passe.

Pour aller plus loin

  • Privilégier l’authentification forte lorsque cela est possible.

  • Limiter le nombre de tentatives d’accès aux comptes utilisateurs sur les postes de travail et bloquer temporairement le compte lorsque la limite de tentatives est atteinte.

  • Imposer un renouvellement du mot de passe selon une périodicité pertinente et raisonnable.

  • Mettre en œuvre des moyens techniques pour faire respecter les règles relatives à l’authentification (par exemple : blocage du compte en cas de non renouvellement du mot de passe).

  • Éviter, si possible, que les identifiants (ou logins) des utilisateurs soient ceux des comptes définis par défaut par les éditeurs de logiciels et désactiver les comptes par défaut (Mots de passe par défaut - Mots de passe d'usine).

  • Utiliser des gestionnaires de mots de passe pour avoir des mots de passe différents pour chaque service, tout en ne retenant qu’un mot de passe maître.

  • Stocker les mots de passe de façon sécurisée, au minimum hachés avec un algorithme de hachage cryptographique utilisant un sel ou une clé, et au mieux transformés avec une fonction spécifiquement conçue à cette fin utilisant toujours un sel ou une clé. Une clé ne doit pas être stockée dans la même base de données que les empreintes.

  • Se référer aux règles et recommandations concernant les mécanismes d’authentification publiées par l’ANSSI dès lors que des mécanismes d’authentification forte sont mis en œuvre, notamment ses annexes B3 - Référentiel Général de Sécurité - Annexe B3 - Authentification et B1 - Référentiel Général de Sécurité - Annexe B1 - Mécanismes cryptographiques.

Authentification - Sécurité des données d’authentification

Dont recommandations par la CNIL.





Authentification - Ressources


# Ailleurs sur le Web #

  1. #Authentification#