L’authentification, porte d’entrée à hyper sécuriser

Il n’est pas de service cloud qui ne vous demande de vous authentifier. le Larousse nous en donne la définition : « Processus par lequel un système informatique s’assure de l’identité d’un utilisateur ». Tout est donc dans l’identité de l’utilisateur et de la vérification qu’il ou elle est bien qu’il ou elle prétend être.

Pair nom d’utilisateur-mot de passe

Le mécanisme le plus simple est la fameuse paire nom d’utilisateur-mot de passe. Cependant, ces éléments se volent aisément et ne sont donc plus une garantie de l’authentification de l’utilisateur. Ce sont pour le moment les plus classiques et forment donc le rempart unique contre l’usurpation d’identité pour un grand nombre de services.

On entend souvent parler de mot de passe fort. Certains systèmes vous forcent à utiliser un mot de passe d’au moins 8 caractères et contenant des minuscules, des majuscules, des chiffres et des caractères de ponctuation. Mais est-ce suffisant pour se protéger ?

Comparons votre mot de passe à la porte d’entrée de votre logement (on partira du principe qu’il n’existe qu’une seule ouverture possible). Si votre porte est en bois léger et que vous ne la fermez pas à clef en partant, vous avez un mot de passe extrêmement faible. A l’opposé, si vous avez une porte blindée, avec de multiples serrures, un détecteur d’ouverture relié à un site de surveillance, vous avez un mot de passe très fort. Dans les deux cas, vous n’êtes pas protégés à 100%. Ce qui différencie les deux systèmes décrits ici est le temps et les moyens qu’il faudra à un cambrioleur pour rentrer chez vous. Quelques secondes dans le premier cas, plusieurs minutes voire heures dans le second.

Il en va de même pour votre mot de passe. Si vous choisissez votre date de naissance, la notez sur un Post-it et le coller sur l’écran, vous êtes dans le premier cas. Si vous avez un mot de passe de 16 caractères mélangés, vous êtes dans le second cas. On parle alors d’un mot de passe très faible dans le premier cas, fort dans le second.

Le site de l’Agence Nationale de la Sécurité des Systèmes d’Information explique comment estimer la force d’un mot de passe sur la page Calculer la « force » d’un mot de passe. Elle met aussi un calculateur qui permet d’estimer la force d’un mot de passe à partir de salongueur et de celle de l’alphabet utilisé.

En faisant quelques tests sur cette page et en réalisant les risques associés à un mot de passe trop faible, vous en déduisez les quatre règles suivantes concernant le choix d’un mot de passe pour accéder à tout système information :

  1. 16 caractères minimum
  2. Utilisation potentielle de tous les symboles disponibles sur votre clavier
  3. Jamais noté en clair sur un quelconque support électronique
  4. Unique pour chaque application (ne jamais réutiliser le même mot de passe)

L’ANSSI recommande même de monter à 20 caractères si vous voulez être à équivalence d’un chiffrage à 128 bits, ce qui correspond à la plus petite taille de clé de chiffrage.

Je sais ce que vous devez penser : impossible de créer et de se souvenir des mots de passe à 16 caractères pour tous les sites internet ou services cloud vis-à-vis desquels vous devez vous identifier. Il existe des techniques permettant de créer des mots de passe fort et de s’en souvenir. Ce sujet n’est pas traité ici, mais vous trouverez quelques informations complémentaires sur le site de l’ANSSI à ce sujet.

Maintenant, si vous avez un super mot de passe super fort et que vous vous servez d’une connexion en clair, c’est comme si vous criez le PIN de votre carte de crédit face au distributeur de billet, puis donniez votre carte à la personne derrière vous. Je sais, j’exagère, mais à peine. Il existe des tas de moyens de récupérer un mot de passe en clair sur une ligne, à la portée de n’importe quel hacker débutant. Ajoutez si vous le pouvez une couche de sécurité avec l’authentification multifactorielle.

Authentification multifactorielle

Authentification multifactorielle ? késako ? Encore une expression créée par les informaticiens pour compliquer votre vie ? Pas tout à fait. Il s’agit « simplement » d’ajouter une couche de sécurité pour garantir que vous êtes bien vous, avec un moyen que seul vous possédez. Par exemple, une carte à puce, votre téléphone portable ou une information que vous êtes le seul à connaitre (le lieu de naissance de votre grand-mère paternelle ou le nom de votre premier animal de compagnie).

Il existe une multitude de moyen de prouver que la personne qui cherche à s’authentifier est bien vous et pas un intru qui cherche à usurper votre identité. On distingue trois « facteurs » d’authentification :

  1. Facteur de connaissance. Votre mot de passe bien sûr ou une série de questions dont vous êtes le seul, normalement, à connaitre la réponse. Le système vous demande alors de répondre à une ou plusieurs questions pour garantir que c’est bien vous. Il peut aussi vous appeler sur une ligne téléphonique pour récupérer ses réponses au travers d’un facteur supplémentaire, une ligne téléphonique déconnectée de votre ordinateur.
  2. Facteur de possession. Vous possédez un objet ou un logiciel que le potentiel usurpateur ne possède pas. Par exemple, le service auprès duquel vous tentez de vous authentifier vous envoie un code par SMS sur votre téléphone portable et vous demande de le saisir pour garantir l’authentification. Vous pouvez aussi utiliser un logiciel d’authentification comme Google ou Microsoft Authenticator, ou une carte à puce.
  3. Facteur inhérent. On fait ici référence aux caractéristiques biométriques : votre visage, votre iris, votre empreinte digitale.

La recherche dans ce domaine est en pleine effervescence et de nouveaux modes d’authentification multifactorielle apparaissent, plus automatisés, impliquant moins l’utilisateur. Les capteurs comme les caméras infra-rouges ou les micros d’ambiance permettent de vérifier l’identité de l’utilisateur sans qu’il soit directement impliqué par exemple. Il apparait évident que ces méthodes vont se multiplier pour notre plus grande sécurité.

Dans le cadre d’un cloud hybride dans lequel les utilisateurs se connectent à des systèmes du système d’information depuis une connexion internet potentiellement non totalement sécurisé (un hôtel, un aéroport, en fait tout type de connexion publique est intrinsèquement non sécurisée), il convient donc de mettre en place un de facteurs complémentaires.

Cette authentification à plusieurs facteurs (MFA, multi factor authentication) permet de garantir l’identité de l’utilisateur avec une plus grande certitude et d’éviter que le vol d’un mot de passe ne se transforme en usurpation d’identité. Tous les fournisseurs de cloud public et hybride vous proposerons une solution d’authentification multifactorielle. Il n’y a pas à tergiverser, c’est une condition sine qua non à toute authentification sur un cloud public ou hybride.

Et vous, qu’avez-vous choisi ? N’hésitez pas à nous faire part de vos expériences dans les commentaires ci-dessous. Merci !

Crédit photo freestocks.org, Markus Spiske sur Unsplash

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Fièrement propulsé par WordPress | Thème : Baskerville 2 par Anders Noren.

Retour en haut ↑

%d blogueurs aiment cette page :