L’authentiﬁcation forte basée sur un certiﬁcat

L’authentiﬁcation forte basée sur un certiﬁcat

L’authentiﬁcation forte par certiﬁcats repose sur une technologie de chiﬀrement qui permet de chiﬀrer (ou signer) un message sans avoir à partager de ” secret “. L’identiﬁant est un certiﬁcat public signé par une autorité de certiﬁcation reconnue.L’authentiﬁcation basée sur les certiﬁcats désigne l’utilisation d’un certiﬁcat nu- mérique pour identiﬁer un utilisateur, une machine ou un périphérique avant de lui octroyer l’accès à une ressource, un réseau, une application, etc. Pour authentiﬁer un utilisateur, cette méthode est souvent déployée conjointement à d’autres méthodes clas- siques comme l’authentiﬁcation basée sur un nom d’utilisateur et un mot de passe.

Qu’est-ce qui distingue l’authentiﬁcation basée sur des certiﬁcats des autres méthodes ?

Contrairement à certaines solutions qui ne fonctionnent que pour les utilisateurs (biométrie …etc), la même solution peut être utilisée pour tous les points de terminai- son utilisateurs, machines, périphériques et même pour l’Internet des Objets (IoT) en plein essor.A l’inverse des autres solutions, y compris la biométrie, aucun équipement supplé- mentaire n’est nécessaire pour utiliser un certiﬁcat numérique. Le certiﬁcat est conservé sur l’ordinateur de l’utilisateur, il n’y a donc aucun risque d’oubli ou de perte du je- ton d’authentiﬁcation indispensable pour la création d’un mot de passe unique. Les certiﬁcats numériques peuvent être exportés sur d’autres appareils. (remarque : dansles situations à haut risque, la copie et l’installation des clés doivent être gérées avec prudence).

Pourquoi utiliser l’authentiﬁcation basée sur des certiﬁcats ?

Aujourd’hui, la plupart des solutions basées sur des certiﬁcats sont fournies avec une plateforme de gestion sur le cloud qui facilite les émissions de certiﬁcats pour les nouveaux employés. Cette solution séduit les administrateurs chargés en prime du renouvellement et de la révocation des certiﬁcats après le départ des collabo- rateurs. Grâce à l’automatisation des commandes et l’activation de l’installation en mode silencieux, les solutions qui s’intègrent à Active Directory simpliﬁent encore davantage les processus de commande et d’émission.Entre renforcer la sécurité, ou réduire les coûts et la pénibilité pour les utilisateurs ﬁnaux, c’est toujours une aﬀaire de compromis. On omet bien souvent ce critère, mais les certiﬁcats sont extrêmement simples à manier pour les utilisateurs ﬁ- naux. Une fois le certiﬁcat installé (dans certains cas, l’opération s’eﬀectue même automatiquement), il n’y a rien d’autre à faire. De plus, la plupart des solutions d’entreprise prennent déjà en charge l’authentiﬁcation basée sur les certiﬁcats.

Vous pouvez également exploiter facilement les règles de groupes et les autorisa- tions existantes pour contrôler les utilisateurs et les machines autorisés à accéder aux diﬀérents réseaux et applications. Ainsi, seuls les utilisateurs qui possèdent les privilèges correspondants peuvent accéder aux opérations sensibles ou straté- giques.Autre avantage : l’utilisation des certiﬁcats permet une authentiﬁcation mutuelle. En clair, les deux parties engagées dans une communication s’identiﬁent elles- mêmes, qu’il s’agisse d’une communication entre deux utilisateurs, entre un uti- lisateur et une machine ou entre deux machines. Ainsi, avant qu’une connexion puisse être établie, un client doit prouver son identité pour accéder à l’intranet de l’entreprise et l’intranet doit prouver son identité au client.Les certiﬁcats sont également faciles à déployer pour les utilisateurs en dehors de votre organisation (partenaires, sous-traitants et prestataires indépendants) qui sont susceptibles d’avoir besoin d’accéder à vos réseaux. Pas besoin pour eux d’installer de logiciel supplémentaire sur leur machine locale ou de se former longuement : les certiﬁcats sont simples à utiliser.

Cas d’utilisation

SSL requiert un certiﬁcat SSL serveur, au minimum. Comme partie du processus de négociation, le serveur présente son certiﬁcat au client aﬁn d’authentiﬁer son identité. Le processus d’authentiﬁcation utilise le chiﬀrement par clef privée et les signatures numériques pour conﬁrmer que ce serveur est bien celui-ci qu’il prétend être. Une fois le serveur authentiﬁé, le client et le serveur utilisent des techniques de chiﬀrement à clefs symétriques, ce qui est rapide, pour chiﬀrer toutes les informations qu’ils échangent pour le reste de la session et pour détecter toutes tentatives d’altération des données qui peuvent arriver.Etude d’un cas d’authentiﬁcation SSL/TLSL’objectif des certiﬁcats est de permettre l’identiﬁcation des accès aux systèmes d’in- formation de l’entreprise, aux sites internet, intranet. Parade au phishing, sécurisant les accès et les opérations sensibles pour les populations nomades, le certiﬁcat permet d’éviter les usurpations d’identité. Lors d’une négociation SSL (Secure Socket Layer), il faut s’assurer de l’identité de la personne avec qui on communique (risque d’une attaque de type « Man In the Middle »). Voici dans la ﬁgure.3.5 le fonctionnement d’une authentiﬁcation SSL mutuelle lors de la création d’une connexion sécurisée entre un client et un serveur avec certiﬁcats (utilisateur et serveur).