Les méthodes de gestion des contrôles d’accès sont multiples. Nous allons définir ici le concept d’AAA pour Authentication Authorization Accounting qui est très utilisé dans l’informatique de l’entreprise.
AAA : Authentication
L’authentification désigne le fait de prouver qu’on est bien la personne que l’on prétend être. L’authentification vient en complément de l’identification. Pour s’authentifier, on ajoute une preuve à l’identification. Ce sont ces preuves qu’on appelle facteurs d’authentification.
Facteurs d’authentifications
Les facteurs d’authentification sont classés en 3 catégories.
- Ce que le sujet sait : Il s’agit du facteur d’authentification le plus utilisé, car il est très peu couteux. On l’utilisera principalement pour contrôler les accès logiques. Il se base sur quelque chose que le sujet est le seul à connaitre et que l’on pourra reproduire au clavier lorsque l’on nous le demandera.
On retrouve bien sûr les mots de passe, les phrases de passe, les codes PIN, etc.
- Ce que le sujet a : L’authentification est basée sur un objet que le sujet possède. Il s’agit d’un périphérique physique que l’on est censé avoir au moment de l’authentification. C’est cet objet qui va prouver l’identité du sujet. Ce moyen est souvent utilisé pour les contrôles d’accès physique, car il présente un très bon rapport sécurité/cout.
On retrouvera par exemple une carte d’identité, ou pour les contrôles automatisés une carte magnétique, un badge.
- Ce que le sujet est : Ce type de facteur est basé sur les traits physiques du sujet. Le sujet va donc s’authentifier grâce à son corps. C’est un moyen sûr de vérifier l’identité d’une personne à condition d’avoir du matériel adapté ce qui coute généralement cher.
Dans ce type d’authentification, on retrouvera tout ce qui touche à la biométrie : scan d’empreinte digitale, géométrie de la main, scan de l’iris ou encore scan facial.
Autres facteurs d’authentifications
Il existe également 3 autres facteurs d’authentification cependant, ils recoupent souvent ceux que nous avons vus précédemment :
- Ce que le sujet fait : Recoupant souvent la catégorie « ce que le sujet est », ce sont les actions du sujet qui vont prouver son identité. Chaque personne a une façon de taper au clavier bien à lui, une façon de marcher particulière, une intonation de voix particulière, une signature unique. Ce type d’authentification est peu utilisé, car encore peu fiable tout en étant relativement couteux.
On va se baser sur une reconnaissance de la voix, une reconnaissance des mouvements, de la fréquence de la frappe au clavier, et même une reconnaissance sur la façon de signer.
- Où le sujet est: Il s’agit généralement de déterminer d’où le sujet s’authentifie. On se basera sur une IP, un nom d’hôte ou encore un numéro de téléphone.
- Utilisation d’une tierce partie : On va faire confiance à une tierce partie pour authentifier la personne à qui on s’adresse. C’est assez utilisé avec le système de Web of Trust et les certificats OpenPGP. C’est un système peu couteux, mais qui peut présenter des failles.
Authentification forte
L’authentification forte ou authentification à facteur multiple énonce la nécessité de deux facteurs ou plus pour s’authentifier. En effet, le fait d’utiliser deux fois ou plus le même facteur, par exemple un mot de passe (ce que l’on sait) n’augmente en rien la force du système d’authentification. Par contre, l’utilisation de deux facteurs ou plus renforce notre système d’authentification. Par exemple, l’utilisation d’un mot de passe combiné à un dispositif biométrique de scan rétinien sera beaucoup plus difficile à contrer pour un attaquant.
Exemple :
Afin d’accéder à la zone de l’entreprise dédiée à la recherche, il faut : entrer notre identifiant puis notre mot de passe et passer au scan d’empreinte digitale. On utilise donc deux facteurs d’authentification. Il s’agit d’une authentification forte.
AAA : Authorization
L’autorisation est la deuxième phase de la triade AAA. Elle agit une fois que l’utilisateur s’est authentifié. C’est dans cette phase qu’on donne ou non accès à la ressource demandée, en fonction de la politique de contrôle d’accès. Peu importe la politique utilisée, elle reste basée sur trois principes :
- Classification des informations : Chaque information nécessite un certain niveau d’accès pour les consulter.
- Niveau d’accès des utilisateurs : Détermine le niveau d’accès de chaque utilisateur.
- Permissions de l’utilisateur : Détermine quels droits l’utilisateur aura sur les fichiers, lecture, écriture, lecture et écriture.
Grâce à ses trois principes, une fois l’utilisateur authentifié il lui sera attribué certains droits sur certains fichiers. Bien sûr, cela peut aussi être des droits plus simples, mais pas moins importants, comme accéder au serveur mail ou autoriser le sujet à accéder à un secteur physique de l’entreprise.
AAA : Accounting
La dernière des trois phases de la triade AAA est désignée par le terme Accounting qui peut être traduit par traçabilité dans ce contexte. Les utilisateurs se sont authentifiés, puis ont obtenu une autorisation d’accès. Maintenant on garde une trace de toutes les actions effectuées par l’utilisateur. On dit que les actions de l’utilisateur sont loguées. Un administrateur réseaux pourra ainsi, consulter les logs afin de vérifier les actions d’un utilisateur, ou bien retrouver l’auteur de telle ou telle action.
La traçabilité est très importante pour assurer une bonne sécurité et une intervention rapide en cas de problèmes. Elle agit tout d’abord de manière préventive, les utilisateurs se sachant surveillés, ils font attention à leurs agissements. Ensuite, grâce à la traçabilité on peut détecter des actions suspectes voir interdites et mieux cibler la source d’un problème pour intervenir, ou corriger celui-ci. Enfin, elle permet d’avoir une trace légale des actions effectuées sur le système d’information de l’entreprise.
Devensys Cybersecurity - The Blog 
Votre commentaire