• « Authentificateurs de site Web »... Ce que vous devez savoir et comment les utiliser...

  • Les authentificateurs et fournisseurs de sites Web sont des composants cruciaux pour sécuriser les comptes en ligne et garantir que seuls les utilisateurs légitimes peuvent accéder à leurs données et services. Ils répondent essentiellement à la question : « Êtes-vous bien qui vous prétendez être ? »


    Voici une explication de ce qu'ils sont et de leurs différents types :


    Authentificateurs de sites Web

    Un « authentificateur » est le mécanisme ou la méthode utilisée pour vérifier l'identité d'un utilisateur. C'est la « preuve » qu'un utilisateur fournit pour obtenir l'accès.
    Ceux-ci peuvent être classés par « facteurs d'authentification » :

    • Quelque chose que vous savez (facteur de connaissance) :

    • Mots de passe : la forme d'authentification la plus courante. Les utilisateurs créent une chaîne de caractères secrète. Bien que largement utilisés, ils sont vulnérables au phishing, aux attaques par force brute et à la réutilisation.
    • Codes PIN : Nombres d'identification personnels, souvent plus courts que les mots de passe et utilisés dans des contextes spécifiques (par exemple, déverrouillage d'appareils mobiles).
    • Questions de sécurité : Questions dont seul l'utilisateur est censé connaître la réponse (par exemple, « Quel était le nom de jeune fille de votre mère ? »). * Moins sécurisé car les réponses peuvent être facilement devinées ou trouvées.


    • Quelque chose que vous avez (facteur de possession) :

    • Applications d'authentification (TOTP — mots de passe à usage unique basés sur le temps) : Applications mobiles (comme Google Authenticator, Microsoft Authenticator et Authy) qui génèrent un code à 6 chiffres unique et sensible au temps. Ces codes se rafraîchissent toutes les 30 à 60 secondes. Ils sont plus sécurisés que les codes basés sur SMS, car ils ne dépendent pas d'un réseau cellulaire qui peut être intercepté (par exemple, l'échange de carte SIM).
    • Mots de passe à usage unique (OTP) par SMS/e-mail : Un code envoyé au numéro de téléphone ou à l'adresse e-mail enregistré de l'utilisateur. Pratique mais moins sécurisé que les applications d'authentification en raison d'une interception potentielle.
    • Clés de sécurité matérielles (par exemple, YubiKey) : Dispositifs physiques qui se connectent à un port USB ou via NFC et fournissent une clé cryptographique pour vérifier l'identité. Très sécurisés car ils sont résistants au phishing.
    • Cartes à puce/jetons : Cartes ou dispositifs physiques qui contiennent des clés cryptographiques ou génèrent des codes.

    • Quelque chose que vous êtes (facteur d'inhérence — biométrie) :

    • Reconnaissance d'empreintes digitales : Scanne le motif d'empreinte digitale unique d'un utilisateur.
    • Reconnaissance faciale : Analyse les caractéristiques faciales uniques d'un utilisateur.
    • Scans de l'iris/de la rétine : Scanne les motifs uniques de l'œil.
    • Reconnaissance vocale : Analyse les motifs vocaux uniques d'un utilisateur.
    • Biométrie comportementale : Analyse les modèles d'interaction d'un utilisateur avec un appareil (par exemple, vitesse de frappe, mouvements de la souris) pour l'identifier.


    Protocoles de méthodes d'authentification de sites Web

    Ce sont les systèmes et les normes qui combinent les authentificateurs pour effectuer le processus de vérification :

    • Authentification à facteur unique (SFA) : Repose sur un seul facteur (par exemple, juste un mot de passe). Le moins sécurisé.

    • Authentification à deux facteurs (2FA) : Nécessite deux facteurs différents (par exemple, mot de passe + OTP d'une application d'authentification). Cette méthode améliore considérablement la sécurité.

    • Authentification multifacteur (MFA) : Nécessite deux facteurs ou plus (par exemple, mot de passe + application d'authentification + empreinte digitale). Plus il y a de facteurs, plus la sécurité est élevée.

    • Authentification sans mot de passe : Élimine entièrement le besoin de mots de passe traditionnels, en s'appuyant sur des combinaisons d'autres facteurs comme la biométrie, les liens magiques (e-mail/SMS) ou les normes FIDO (Fast Identity Online) comme WebAuthn.

    • Authentification unique (SSO) : Permet aux utilisateurs de se connecter une seule fois à un système central (fournisseur d'identité), puis d'accéder à plusieurs applications connectées sans ressaisir les identifiants. Cela améliore la commodité de l'utilisateur et la sécurité en réduisant la fatigue des mots de passe.

    • SAML (Security Assertion Markup Language) : Une norme ouverte basée sur XML pour l'échange de données d'authentification et d'autorisation entre un fournisseur d'identité (IdP) et un fournisseur de services (SP), 1 couramment utilisée dans le SSO d'entreprise.
    • OAuth 2.0 (Open Authorization) : Un cadre d'autorisation qui permet aux applications tierces d'accéder aux ressources utilisateur sans exposer les identifiants utilisateur. 2 Il délègue l'autorisation du propriétaire de la ressource au client. 3
    • OpenID Connect (OIDC) : Une couche d'identité construite au-dessus d'OAuth 2.0. Alors qu'OAuth 2.0 concerne l'autorisation, OIDC ajoute l'authentification, permettant aux clients de vérifier l'identité de l'utilisateur final en fonction de l'authentification effectuée par un serveur d'autorisation. 4

    • Authentification basée sur des jetons (par exemple, JWT—JSON Web Tokens) : Après qu'un utilisateur s'est authentifié, le serveur émet un jeton signé numériquement (JWT) au client. Ce jeton contient des informations utilisateur et est envoyé avec chaque requête ultérieure. Le serveur vérifie la signature et l'expiration du jeton pour authentifier la requête sans avoir besoin de vérifier les identifiants par rapport à une base de données à plusieurs reprises. Il est sans état et évolutif, souvent utilisé dans les API et les applications à page unique.

    • Authentification basée sur la session (basée sur les cookies) : Après une connexion réussie, le serveur crée une session et envoie un ID de session (souvent dans un cookie) au client. Le client inclut ce cookie avec les requêtes ultérieures, et le serveur l'utilise pour identifier la session de l'utilisateur. Le serveur conserve les informations de session.

    • WebAuthn (API d'authentification Web) : Une norme W3C développée par l'Alliance FIDO, permettant l'authentification sans mot de passe directement dans les navigateurs Web. Elle utilise la cryptographie à clé publique et s'appuie sur des authentificateurs (comme la biométrie ou les clés de sécurité) sur l'appareil de l'utilisateur.


    Fournisseurs d'authentification de sites Web (Fournisseurs d'identité—IdP)

    Un « fournisseur de services d'authentification » ou « fournisseur d'identité (IdP) » est une entité système qui gère les identités des utilisateurs et fournit des services d'authentification à d'autres applications (fournisseurs de services). Au lieu que chaque site Web mette en œuvre un système d'authentification, ils peuvent « sous-traiter » cela à un IdP de confiance.

    Les exemples courants incluent :

    • Fournisseurs d'identité sociale : Google, Facebook, Apple, Microsoft, Twitter, LinkedIn. Ceux-ci permettent aux utilisateurs de « Se connecter avec Google », « Se connecter avec Facebook », etc., en utilisant leurs comptes de médias sociaux ou de messagerie existants pour l'authentification sur des sites Web tiers.

    • Fournisseurs d'identité d'entreprise : Solutions comme Okta, Auth0, Ping Identity, Azure Active Directory (Microsoft Entra ID), ou des systèmes internes personnalisés.
    Ceux-ci gèrent les identités des utilisateurs et fournissent le SSO aux employés sur diverses applications internes et externes.

    • Services d'authentification dédiés : Entreprises spécialisées dans la fourniture de services d'authentification et d'autorisation en tant que plateforme (par exemple, Auth0, Okta, Firebase Authentication). Les développeurs intègrent ces services dans leurs sites Web/applications.

    • Gestionnaires de mots de passe avec fonctionnalités d'authentification : Certains gestionnaires de mots de passe (comme Keeper, LastPass et 1Password) offrent également des fonctionnalités d'application d'authentification intégrées, permettant aux utilisateurs de stocker à la fois les mots de passe et leurs codes TOTP dans un seul endroit sécurisé.

    Pourquoi sont-ils importants ?

    • Sécurité :
    Ils protègent les comptes d'utilisateur et les données sensibles contre les accès non autorisés, les attaques de phishing, le credential stuffing et d'autres cybermenaces.

    • Expérience utilisateur : Les méthodes d'authentification modernes comme le SSO et l'authentification sans mot de passe visent à simplifier le processus de connexion pour les utilisateurs tout en maintenant un niveau de sécurité élevé.

    • Conformité : De nombreuses réglementations (par exemple, RGPD, HIPAA) exigent des mécanismes d'authentification robustes pour protéger les données des utilisateurs.

    • Évolutivité : Les fournisseurs d'identité et les systèmes basés sur des jetons aident les sites Web à faire évoluer leur gestion des utilisateurs sans avoir à construire une infrastructure d'authentification complexe à partir de zéro.

    Le choix des bonnes méthodes et fournisseurs d'authentification dépend des besoins spécifiques d'un site Web, y compris ses exigences de sécurité, son public cible et la complexité de son intégration.