Les niveaux d’authentification

Voici un article publié dans le site Web Securisa.com le 11 mai 2005 et dans le bulletin « La sécurité simplifiée », vol. 1, no.19 (2001/11/05):

L’authentification est un processus important en sécurité informatique. Pour choisir les bons mécanismes d’authentification à utiliser, il est important de bien connaître les différents type d’authentification. Pour ce faire, il existe une méthodologie qui catégorise (par facteur) tous les mécanismes d’authentification qui existent sur le marché actuel.

Voici ces différentes catégories (ou facteurs) d’authentification:

– Le facteur « Qu’est-ce que vous avez » représente tous les mécanismes d’authentification que vous possédez. Exemple: une clé, une carte à puce, etc.;

– Le facteur « Qu’est-ce que vous savez » représente tous les mécanismes d’authentification que vous savez. Exemple: un mot de passe, un numéro d’identifiant personnel, etc.;

– Le facteur « Qu’est-ce que vous êtes » représente tous les mécanismes d’authentification qui vous constitue. Exemple: vos empreintes digitales, vos yeux, votre voix, etc.;

– Le facteur « Où vous êtes » représente tous les mécanismes d’authentification pour vous localiser. Exemple: un retour d’appel (call back), une adresse IP, etc.

Grâce à ces facteurs, il est possible de classer les mécanismes d’authentification et de déterminer le niveau d’authentification (si l’authentification est légère ou si elle est lourde)

Authentification légère

Une authentification légère désigne un processus d’identification utilisant seulement un des facteurs nommés précédemment. Par exemples, lorsque vous effectuez une authentification à un serveur NT, vous effectuez une authentification légère puisque vous utilisez seulement un identifiant et un mot de passe (facteur « Qu’est-ce que vous savez »). Lorsque vous accédez à un local avec une clé magnétique, vous accédez au local grâce à une authentification légère puisque seulement le facteur « Qu’est-ce que vous avez » intervient dans le processus d’authentification.

Authentification lourde (ou forte)

Une authentification lourde désigne un processus d’identification utilisant au moins deux facteurs d’authentification. Par exemples, lorsque vous effectuez un paiement direct avec votre carte de débit, vous effectuez une authentification lourde puisque vous utilisez votre carte (facteur « Qu’est-ce que vous avez ») et vous entrez votre NIP (facteur « Qu’est-ce que vous savez »). Aussi, lorsque vous accéder au serveur de courrier Web, vous devez entrer le numéro affiché sur votre jeton SecurID (facteur « Qu’est-ce que vous avez ») ainsi que votre identifiant et votre mot de passe (facteur « Qu’est-ce que vous savez »). Grâces aux facteurs d’authentification, nous vous avons montré comment sont catégorisé chacun des mécanismes d’authentification et comment identifier une authentification légère et une authentification lourde.