AUTHENTIFICATION

L’authentification d’un utilisateur de ressources informatiques ( PC, réseau, …) est certainement l’étape la plus importante dans la sécurité d’un système d’information.
En effet toute sécurité informatique ou physique repose sur l’authentification des personnes, ce qui permet de leur affecter des droits ou privilèges ( rentrer dans un batiment, un bureau pour les personnes, accèder à un dossier, à un serveur, déchiffrer un document, voir sa messagerie,…)

Aujourd’hui, cette authentification repose essentiellement sur le couple login/mot de passe.

L’inconvénient de cette méthode est qu’elle est facilement contournable, pour les raisons suivantes :

  • existance de logiciel de crack de mot de passe par dictionnaire ou par force brute
  • diffusion du mot de passe entre collègues, écriture du mot de passe à proximité de l’ordinateur pour se le rappeler
  • ingénierie sociale

Pour répondre à cette faiblesse, on peut mettre en place un concept d’authentification forte ou par certificat.

Le concept utilisé est le fait que le mot de passe est inconnu de l’utilisateur ( il ne peut le donner), et qu’il n’est utilisé qu’une fois ( ce qui évite qu’en cas d’interception réseau on puisse le réutiliser).

On utilise quelque chose de physique ( carte à puce, token usb, biométrie) associé à un code pin que seul l’utilisateur connaît.
De plus, le mot de passe est chiffré avec des algorythmes complexes.

On peut aussi utiliser des certificats numériques, ce qui correspond à une signature digitale.
Les certificats sont normalisés et peuvent donc être utilisés partout dans le monde pour par exemple signer un email, s’authentifier auprès d’un serveur Web, …
Les certificats sont émis par des tiers de confiance, des notaires numériques.

Nos partenaires


logo-google-authanticate       logo-gemalto