Avec l’identité numérique, l’authentification est un des piliers de la confiance numérique. Elle consiste à certifier l’identité de quelqu’un ou d’une machine pour lui permettre d’accéder à un service ou une ressource. Le point sur les différents facteurs, moyens et méthodes d’authentification, simple ou forte.
Qu’est-ce que l’authentification ?
A la différence de l’identification, l’authentification vise à prouver une identité et pas seulement à l’établir. Si l’identification désigne le fait de créer une identité numérique, l’authentification consiste à utiliser cette identité pour prouver, de façon plus au moins sûre, que c’est bien la bonne personne ou la bonne machine qui est derrière cette identité.
Pour parvenir à établir puis prouver une identité, il est essentiel d’associer un moyen d’authentification à chaque identité au moment de sa création. Dans le monde physique, c’est la carte nationale d’identité ou le passeport qui jouent ce rôle. Ce sont des documents réputés très difficiles (voire impossibles) à falsifier, même si leur robustesse varie selon les pays. Dans le monde numérique, à chaque création de compte sur un nouveau service, dans la majorité des cas, il est demandé de fournir un mot de passe comme moyen d’authentification.
Que signifie l’authentification forte ou multi-facteurs?
Pour prouver son identité, trois catégories de facteurs d’authentification, ou secrets à fournir, existent, permettant de caractériser l’utilisateur par :
- Son savoir : un mot de passe, un code PIN…
- Sa possession : un téléphone, un token, une carte à puce…
- Son inhérence : la biométrie, empreinte digitale ou rétinienne.
Cependant avec les nouveaux usages, de nouvelles catégories commencent à faire leur apparition, telles que ce que je sais faire (comportement) et où je me trouve (position).
L’authentification courante repose sur un seul facteur, généralement un mot de passe ou un code. Elle offre des garanties limitées, étant vulnérable aux usurpations d’identité. C’est la raison pour laquelle l’authentification forte se développe : elle consiste à mettre en œuvre au moins deux facteurs différents afin de renforcer la sécurité.
Les différents moyens
Une fois les facteurs définis, il s’agit de les mettre en œuvre concrètement, au travers de moyens d’authentification. Par exemple, saisie du mot de passe pour la connaissance du mot de passe ; carte à puce pour la connaissance du code PIN et la possession de la carte ; empreinte digitale, reconnaissance faciale ou vocale pour la biométrie ; façon de taper sur un clavier pour le comportement ou encore coordonnées GPS pour repérer la position.
Les méthodes d’authentification
Après avoir défini les facteurs et les moyens, il faut choisir une méthode, c’est-à-dire le cadre qui permet de déterminer si celle-ci est réussie ou non, si l’accès est autorisé ou refusé.
Une méthode d’authentification prend en compte différents critères comme :
- Le ou les moyens à valider ;
- La présentation des moyens, de façon coordonnée ou les uns à la suite des autres ;
- La possibilité, ou non, de fournir un autre moyen que celui demandé ;
- Le nombre d’échecs autorisés ;
- Le nombre maximum de changement de moyens d’affilée.
La définition et la conception d’un système d’authentification robuste et fluide demande une réflexion sur les facteurs, les moyens et les méthodes et une prise en compte des besoins métiers et des enjeux de sécurité.
