L’authentification, comment ça marche ?

Les incidents de cybersécurité continuent de faire la une des journaux. Des violations récentes comme celles de SolarWinds, Colonial Pipeline et Microsoft Exchange Server nous montrent à quel point les systèmes sont vulnérables aux failles et aux attaques par rançongiciel.

Les pays du monde entier renforcent leurs mesures de sécurité. Début 2021, Joe Biden, le président des États-Unis, a signé un décret visant à renforcer la cybersécurité aux États-Unis. Et contrairement à son prédécesseur, le Cybersecurity Act de 2015, qui ne faisait qu’encourager les entités des secteurs public et privé à partager leurs informations sur les cybermenaces, le nouveau décret en fait une obligation.

Dans cet esprit et dans celui de notre série en cours sur la Sécurité de la sécurité, nous avons estimé que le moment était idéal pour se pencher de plus près sur l’authentification et son fonctionnement.  

Qu’est-ce que l’authentification ?

D’un point de vue général, l’authentification est le processus de validation de l’identité d’une entité-utilisateur, d’un serveur ou d’une application cliente, mis en place avant de lui accorder l’accès à une ressource protégée.  

L’authentification côté client fait appel à des combinaisons de type nom d’utilisateur/mot de passe, des jetons et d’autres techniques, tandis que l’authentification côté serveur utilise des certificats pour identifier les tiers de confiance. Comme son nom l’indique, l’authentification à deux facteurs telle que celle proposée par la CNAP (protection des applications cloud-native), fait référence à deux formes d’authentification utilisées conjointement. 

Nous savons tous comment fonctionnent les noms d’utilisateur et les mots de passe, mais les tokens et les certificats sont souvent moins connus. 

À quoi servent les tokens et les certificats ?

Tokens (jetons)

Un token est une forme d’authentification par revendication, obtenue grâce à la présentation d’informations valides et signées. Le fonctionnement est identique à celui d’une carte d’embarquement lorsque vous prenez l’avion. Pensez-y : vous ne vous contentez pas de présenter votre passeport à la porte d’embarquement. En effet, vous vous authentifiez à l’aide de votre pièce d’identité avec photo et de votre billet d’avion, puis on vous remet une carte d’embarquement. La carte d’embarquement représente la revendication vérifiée que la compagnie aérienne fait au sujet de votre identité.   

Certificats

Un certificat numérique est un document électronique servant à prouver la propriété d’une clé privée, dans le but d’établir la relation de confiance entre son propriétaire et une entité souhaitant communiquer avec lui. Outre les informations relatives à la clé privée et au propriétaire, un certificat numérique comprend la signature numérique d’un signataire qui atteste de l’authenticité du contenu. Au final, il confirme que la communication se fait bien avec l’entité/le propriétaire annoncé.   

L’une des utilisations les plus courantes des certificats concerne les sites web utilisant le protocole HTTPS. Dans ce cas, un navigateur web valide l’authenticité d’un serveur web pour s’assurer que le site web est bien celui qu’il prétend être et que la communication entre l’utilisateur et le site est sécurisée.   

Pourquoi l’authentification fait partie intégrante de votre infrastructure de sécurité

En ce qui concerne votre système de sécurité physique, l’authentification est un outil essentiel permettant de garantir qu’une personne est autorisée à accéder à vos ressources. Vous avez l’assurance que seul votre personnel de sécurité, et personne d’autre, peut se connecter et accéder à votre système. De cette façon, les pirates ne peuvent pas se faire passer pour un serveur de sécurité afin de prendre le contrôle, manipuler ou copier vos données précieuses et sensibles.   

Une fois ces identités authentifiées, l’étape suivante pour préserver la protection de votre système de sécurité consiste à gérer qui a accès à quelle partie de ce système.