Introduction
L'authentification est la procédure qui consiste, pour un système informatique, à vérifier l'identité d'une entité (personne, ordinateur...), afin d'autoriser l'accès de cette entité à des ressources (systèmes, réseaux, applications...). L'authentification permet donc de valider l'authenticité de l'entité en question.
L'identification permet donc de connaître l'identité d'une entité alors que l'authentification permet de vérifier cette identité.
Enjeu
Le contrôle permanent de l'intégrité et de l'accès (usage, identité du destinataire, émetteur, propriétaire) à un contenu ou à un service constitue le fondement de la traçabilité des transactions. Ce contrôle permet :
- la protection des intérêts supérieurs de l'État et du patrimoine informatique des entreprises, donc de leurs intérêts commerciaux. Pour les entreprises, il s'agit de réduire le coût qui résulte d'attaques, de la perte de temps, de la perte d'informations, de l'espionnage, ou des fuites involontaires d'informations...
- le développement du commerce et des échanges électroniques. L'authentification contribue à la facturation des services et contribue à la confiance dans l'économie numérique, condition indispensable du développement économique.
- la protection de la vie privée. Les données personnelles véhiculées dans les systèmes d'information sont des données sensibles à protéger.
Les techniques d'authentification font partie des technologies clés. En France, elles sont identifiées comme telles dans le rapport sur les technologies clés 2010 (voir site sur les technologies clés 2010). Les efforts entrepris par les constructeurs et fournisseurs de services Internet (Ebay, Yahoo, PayPal, etc.) pour mettre en œuvre des systèmes d'authentification, notamment d'authentification forte, nous montrent clairement que l'authentification est un des enjeux majeurs pour le futur.
Méthodes de vérification
La phase de vérification fait intervenir un protocole d'authentification. On en distingue deux sortes « familles » :
- L'authentification simple : l'authentification ne repose que sur un seul élément ou « facteur » (exemple : l'utilisateur indique son mot de passe).
- L'authentification forte : l'authentification repose sur deux facteurs ou plus.
- L'Authentification unique : (ou identification unique ; en anglais Single Sign-On ou SSO) est une méthode permettant à un utilisateur de ne procéder qu'à une seule authentification pour accéder à plusieurs applications informatiques (ou sites internet sécurisés).
Par ailleurs, l'authentification à transfert nul de connaissance ne considère que l'information de la véracité d'une proposition.
Preuves
Dans le cas d'un individu, l'authentification consiste, en général, à vérifier que celui-ci possède une preuve de son identité ou de son statut, sous l'une des formes (éventuellement combinées) suivantes :
- Ce qu'il sait (mot de passe, numéro d'identification personnel).
- Ce qu'il possède (acte de naissance, carte grise, carte d'identité, carte à puce, droit de propriété, certificat électronique, diplôme, passeport, carte Vitale, Token OTP, Carte OTP, Téléphone portable, PDA, etc.).
- Ce qu'il est (photo, caractéristique physique, voire biométrie).
- Ce qu'il sait faire (geste, signature).
Exemples de protocoles d'authentification
De façon appliquée, voici quelques exemples de protocoles d'authentification :
- SSL (qui peut également fournir du chiffrement)
- NTLM (utilisé dans les réseaux de Microsoft Windows)
- Kerberos (standard utilisé par Windows et bien d'autres systèmes)
- Central Authentication Service (CAS) Mécanisme d'authentification et de SSO, libre et gratuit développé par l'Université Yale
- 802.1x mécanisme standard de contrôle de port et d'authentification.