Définition

L’authentification est une procédure, par laquelle un système informatique certifie l’identité d’une
personne ou d’un ordinateur. Le but de cette procédure étant d’autoriser la personne à accéder à
certaines ressources sécurisées. Il va comparer les informations des utilisateurs autorisés stockées
dans une base de données (en local ou sur un serveur d’authentification) à celles fournies. L’accès
sera autorisé seulement si les informations sont identiques. C’est l’administrateur du système
d’information qui octroie les droits et paramètre l’accès. L’utilisateur possédant un compte
d’accès (identifiant + mot de passe) n’aura accès qu’aux ressources dont il est autorisé à voir.

4 facteurs d’authentification
Il existe 4 facteurs d’authentifications qui peuvent être utilisés dans le processus d’autorisation
d’accès à des ressources bloquées et sécurisées :

 Ce que l’on connait (facteur mémoriel) : une information que l’utilisateur a mémorisée et
que lui seul connait (exemple : un mot de passe, un nom)
 Ce que l’on possède (facteur matériel) : une information que seul l’utilisateur possède et
enregistrée dans un support (exemple : une clé USB).
 Ce que l’on est (facteur corporel) : une information qui caractérise l’utilisateur avec une
empreinte qui lui est propre (exemple : voix, pupille, empreinte digitale)
 Ce que l’on sait faire (facteur réactionnel) : une information ou un geste que seul
l’utilisateur peut produire (exemple : une signature)

Cette authentification permet d’identifier l’utilisateur et d’apporter la preuve que cette

personne est bien autorisée à accéder à un compte sécurisé.

Vérification : protocole d’authentification

Grâce aux différents facteurs d’identifications cités ci-dessus, des méthodes de vérifications ont été
mises en place pour qualifier le degré d’authentification. C’est-à-dire que l’on peut combiner un ou
deux facteurs pour renforcer la vérification.
Il existe 3 familles d’authentification : simple, forte et unique.
L’authentification simple ne repose que sur un seul facteur alors l’authentification unique permet
une seule authentification permettant d’accéder à plusieurs applications informatiques. Quant à
l’authentification forte, elle repose sur deux facteurs ou plus.

Qui est concerné ?

Toutes les entreprises (financière, bancaire, logicielle) et entités publiques possédant un système
d’information, un site e-commerce, un logiciel applicatif accessible sur internet, etc. Toutes les
entités permettant la création d’un compte d’accès à des données sécurisées doit mettre un
système d’authentification efficace et sécurisé.

Pourquoi est-ce important pour une entreprise ?

Les enjeux pour une entreprise sont grands. En effet, toutes entreprises ou entités possèdent des
données sensibles et privées. Ainsi chaque administrateur système de l’entreprise doit créer un

1
compte personnel d’accès à chaque salarié. Les personnes externes de l’entreprise ne pourront ainsi
pas accéder aux données.
L’authentification forte doit être privilégiée, car les tentatives de fraudes et de vols de données
contre une somme d’argent sont de plus en plus fréquentes. Par exemple, en plus d’entrer son mot
de passe, il faut fournir un autre moyen d’authentification qui peut être un numéro de téléphone,
une reconnaissance vocale, une image, un code alphanumérique…
Aujourd’hui, les entreprises ne doivent en aucun c

2
Qu'est-ce que l'authentification ?
L'authentification est un processus qui consiste à prouver qu'un fait ou un document est authentique.
En informatique, ce terme est généralement associé à la preuve de l'identité d'un utilisateur.
Habituellement, un utilisateur prouve son identité en fournissant ses informations d'identification,
c'est-à-dire un élément d'information convenu et partagé entre l'utilisateur et le système.

Authentification par nom d'utilisateur et mot de passe

La combinaison d'un nom d'utilisateur et d'un mot de passe est le mécanisme d'authentification le
plus populaire, également connu sous le nom d'authentification par mot de passe.

Un exemple bien connu est l'accès à un compte utilisateur sur un site Web, ou un fournisseur de
services tel que Facebook ou Gmail. Avant de pouvoir accéder à votre compte, vous devez prouver
que vous possédez les bons identifiants de connexion. Les services affichent généralement une
fenêtre qui demande un nom d'utilisateur ainsi qu'un mot de passe. Ils comparent ensuite les
données saisies par l'utilisateur avec les valeurs précédemment stockées dans un référentiel interne.

Si vous saisissez une combinaison valide de ces informations d'identification, le fournisseur de

services vous permettra de continuer et vous donnera accès à votre compte.

Alors que le nom d'utilisateur peut être public, par exemple une adresse e-mail, le mot de passe doit
rester confidentiel. En raison de sa confidentialité, le mot de passe doit être protégé contre les
tentatives de vols organisés par des cybercriminels. En fait, bien que les noms d'utilisateur et les
mots de passe soient largement utilisés sur Internet, ils sont réputés être un mécanisme de sécurité
faible que les pirates exploitent régulièrement.

La première façon de les protéger est d'imposer un niveau élevé de force des mots de passe, c'est-à-
dire un niveau de complexité tel que les attaquants malveillants ne puissent pas les deviner
facilement. En règle générale, une combinaison complexe de lettres minuscules et majuscules, de
chiffres et de caractères spéciaux donne un mot de passe fort. Dans le cas contraire, une
combinaison simple donne un mot de passe faible.

Les utilisateurs finaux ont notoirement tendance à utiliser des mots de passe faibles. Dans un
rapport annuel, SplashData, une société de sécurité Internet, a identifié les 25 mots de passe les plus
courants. Cette liste, basée sur des millions de mots de passe révélés par des violations de données,
indique que des millions d'utilisateurs utilisent des mots de passe tels que « 123456 » et «
motdepasse » pour s'authentifier.

C'est une question de facilité d'utilisation, car les mots de passe faibles sont évidemment plus faciles
à retenir. En outre, ils réutilisent souvent le même mot de passe avec différents sites Web ou
services.

La combinaison de ces situations peut générer des problèmes de sécurité, car les mots de passe
faibles sont faciles à deviner et le mot de passe divulgué peut être utilisé pour accéder à plusieurs
services.

D'un autre côté, les mots de passe forts utilisés pour l'authentification peuvent résister aux attaques
par force brute, mais restent impuissants contre des attaques comme le phishing et les logiciels
enregistreurs de frappe ou le bourrage de mot de passe. Ces types d'attaques n'essaient pas de
deviner le mot de passe de l'utilisateur, mais le lui dérobent directement.

Les mots de passe posent également problème lorsqu'ils ne sont pas stockés de manière sécurisée.
Par exemple, dans un reportage récent, Facebook a révélé avoir stocké des millions de mots de
passe Instagram en texte clair. Les mots de passe doivent toujours être stockés en utilisant les
meilleures pratiques, telles que le hachage.
3
Facteurs d’authentification
Une catégorie spécifique d'informations d'identification, comme le nom d'utilisateur et le mot de
passe, est généralement appelée facteur d'authentification. Même si l'authentification par mot de
passe est le type d'authentification le plus connu, d'autres facteurs d'authentification sont
disponibles. Les trois principaux types de facteurs d'authentification sont généralement classés
comme suit :

Quelque chose que vous savez, par exemple un mot de passe

Quelque chose que vous avez, par exemple un smartphone

Quelque chose que vous êtes, par exemple une authentification biométrique

Quelque chose que vous savez

Ce facteur d'authentification exige que l'utilisateur montre qu'il connaît une information donnée. En
général, il s'agit d'un mot de passe ou d'un numéro d'identification personnel (PIN) partagé entre
l'utilisateur et le système de gestion des identités et des accès (IAM).

Pour utiliser ce facteur, le système demande à l'utilisateur de fournir ces informations partagées.

Quelque chose que vous avez

Dans ce cas, l'utilisateur doit prouver qu'il possède quelque chose, comme un smartphone, une carte
à puce, une boîte aux lettres. Le système pose à l'utilisateur une question ou un défi. Sa réponse
prouvera s’il a ou non le facteur d'authentification requis. Par exemple, il peut lui envoyer un mot
de passe à usage unique basé sur le temps (TOTP) dans un message texte sur son smartphone. Il
peut également lui envoyer un code texte par e-mail.

Quelque chose que vous êtes

Ce facteur d'authentification est basé sur une information stockée dans le profil de l'utilisateur et qui
est absolument spécifique à cet utilisateur (facteur d'inhérence). Généralement, cette information est
une caractéristique biométrique, comme les empreintes digitales ou la voix. La reconnaissance
faciale fait également partie de ce type de facteur d'authentification.

De l'authentification à un seul facteur à l'authentification multi-

facteur
Le processus d'authentification basé sur un seul facteur est appelé Authentification à un seul
facteur.

Il s'agit du cas courant de l'utilisation de noms d'utilisateur et de mots de passe pour

l'authentification des utilisateurs, mais cela s'applique à tout autre facteur d'authentification. Comme
nous l'avons vu plus haut, l'authentification par mot de passe peut être un mécanisme
d'authentification faible. Des recherches ont montré qu'environ 76% des entreprises ont subi une
attaque de phishing, tandis que 81% des violations de données sont basées sur des mots de passe
volés ou faibles.

4
Vous pouvez utiliser des facteurs d'authentification supplémentaires pour renforcer la sécurité du
processus d'authentification. Par exemple, dans votre compte Google, vous pouvez activer la
transmission d'une notification à votre appareil mobile après l'authentification habituelle basée sur
le nom d'utilisateur et le mot de passe. Dans ce cas, vous utilisez une authentification à deux
facteurs (2FA): un mécanisme d'authentification basé sur deux catégories d'informations
d'identification : quelque chose que vous savez et quelque chose que vous avez. En ajoutant ce
deuxième facteur, votre compte est plus sécurisé. En effet, même si un attaquant vole votre mot de
passe, il ne peut pas s'authentifier car il lui manque le deuxième facteur d'authentification.

Vous pouvez combiner plusieurs facteurs d'authentification, ce qui renforce encore la sécurité de
votre identité. Dans ce cas, vous utilisez une authentification multi-facteur (MFA). Bien sûr, la
méthode 2FA n'est qu'une forme de MFA.

Authentification sans mot de passe

Comme son nom l'indique, l'authentification sans mot de passe est un mécanisme d'authentification
qui ne demande pas de mot de passe. La principale motivation de ce type d'authentification est
d'atténuer la frustration et les efforts que causent les mots de passe, c'est-à-dire l'effort constamment
nécessaire de mémoriser des mots de passe fort et de les protéger.

Ne pas avoir à mémoriser des mots de passe contribue à rendre inutiles les attaques de phishing.

Vous pouvez effectuer une authentification sans mot de passe avec n'importe quel facteur
d'authentification en fonction de ce que vous avez et de ce que vous êtes. Par exemple, vous pouvez
permettre à l'utilisateur d'accéder à un service ou à une application en envoyant un code par e-mail
ou par reconnaissance faciale.

L'authentification chez Auth0

Comme Auth0 est une société d'identité en tant que service, l'authentification est au cœur de nos
services. Chaque mois, Auth0 gère 2,5 milliards de processus d'authentification pour aider les
entreprises de toutes tailles à sécuriser leurs systèmes. Chaque employé d'Auth0 participe d'une
manière ou d'une autre à rendre les processus d'authentification plus sûrs et plus faciles à mettre en
œuvre.

Des certifications de conformité telles que ISO27001 et SOC 2 Type II aux fonctions de sécurité
comme la détection des usurpations de mot de passe, les employés d'Auth0 travaillent 24 heures sur
24 pour fournir des solutions d'authentification de classe mondiale qui répondent aux besoins de
chaque entreprise.

5
L'authentification est le processus qui consiste à déterminer si quelqu'un ou quelque
chose est, en fait, qui ou ce qu'il prétend être. La technologie d'authentification permet de
contrôler l'accès aux systèmes en vérifiant si les informations d'identification d'un
utilisateur correspondent aux informations d'identification contenues dans une base de
données d'utilisateurs autorisés ou dans un serveur d'authentification des données. Ce
faisant, l'authentification garantit la sécurité des systèmes, des processus et des
informations de l'entreprise.
‍

Pourquoi l'authentification est-elle importante en matière de cybersécurité ?

‍
L'authentification permet aux organisations de sécuriser leurs réseaux en autorisant
uniquement les utilisateurs ou les processus authentifiés à accéder à leurs ressources
protégées. Il peut s'agir de systèmes informatiques, de réseaux, de bases de données
sensibles, de sites Web et d'autres applications ou services basés sur le réseau.

Une fois authentifié, un utilisateur ou un processus est généralement soumis à un

processus d'autorisation pour déterminer si l'entité authentifiée doit être autorisée à
accéder à une ressource ou un système protégé spécifique. Un utilisateur peut être
authentifié mais ne pas être autorisé à accéder à une ressource spécifique si cet
utilisateur n'a pas reçu l'autorisation d'y accéder.

Quels sont les différents types d'authentification ?

‍
L'authentification traditionnelle repose sur l'utilisation d'un fichier de mots de passe, dans
lequel les identifiants des utilisateurs sont stockés avec les hachages des mots de passe
associés à chaque utilisateur. Lors de la connexion, le mot de passe soumis par
l'utilisateur est haché et comparé à la valeur contenue dans le fichier de mots de passe. Si
les deux hachages correspondent, l'utilisateur est authentifié.

Cette approche de l'authentification présente plusieurs inconvénients, notamment pour les

ressources déployées sur différents systèmes. D'une part, les attaquants qui parviennent
à accéder au fichier des mots de passe d'un système peuvent utiliser des attaques par
force brute contre les mots de passe hachés pour extraire les mots de passe. De plus,
cette méthode nécessiterait des authentifications multiples pour les applications modernes
qui accèdent aux ressources sur plusieurs systèmes.

Les faiblesses de l'authentification par mot de passe peuvent être corrigées dans une
certaine mesure par des noms d'utilisateur et des mots de passe plus intelligents, basés
sur des règles telles que la longueur et la complexité minimales, utilisant des lettres
majuscules et des symboles. Cependant, l'authentification basée sur un mot de passe et
l'authentification basée sur la connaissance sont plus vulnérables que les systèmes qui
nécessitent plusieurs méthodes indépendantes.

Il existe plusieurs types d'authentification :

6
  2FA. Ce type d'authentification ajoute une couche supplémentaire de protection au processus
en demandant aux utilisateurs de fournir un deuxième facteur d'authentification en plus du mot
de passe (code de vérification reçu par message texte sur un téléphone mobile, ou un code
généré par une application d'authentification)
 MFA. Ce type d'authentification exige que les utilisateurs s'authentifient avec plus d'un facteur
d'authentification, y compris un facteur biométrique (empreinte digitale ou une reconnaissance
faciale) ; un facteur de possession, comme un porte-clés de sécurité ; ou un jeton généré par
une application d'authentification.
 OTP. Un OTP est une chaîne de caractères numérique ou alphanumérique générée
automatiquement qui authentifie un utilisateur. Ce mot de passe n'est valable que pour une
seule session de connexion ou transaction et est généralement utilisé pour les nouveaux
utilisateurs ou pour les utilisateurs qui ont perdu leur mot de passe et qui reçoivent un OTP
pour se connecter et changer de mot de passe.
 Authentification à trois facteurs. Ce type d'MFA utilise trois facteurs d'authentification: un facteur
de connaissance (un mot de passe), associé à un facteur de possession (un jeton de sécurité),
et un facteur d'inhérence (un élément biométrique).
 Authentification mobile. L'authentification mobile consiste à vérifier les utilisateurs via leurs
appareils ou à vérifier les appareils eux-mêmes. Cela permet aux utilisateurs de se connecter à
des lieux et des ressources sécurisés depuis n'importe où. Le processus d'authentification
mobile implique une MFA qui peut inclure des OTP, une authentification biométrique ou un
code de réponse rapide.
 Authentification continue. Avec l'authentification continue, au lieu qu'un utilisateur soit connecté
ou déconnecté, l'application d'une entreprise calcule en permanence un score d'authentification
qui mesure le degré de certitude que le propriétaire du compte est la personne qui utilise
l'appareil.

Dans l'ensemble, et pour conclure, les outils d'authentification multifactorielle valent la

peine d’être déployés, d'autant plus que le nombre d'exploits liés aux mots de passe ne
cesse d'augmenter. Les entreprises ont besoin de meilleurs moyens pour protéger les
informations de connexion des utilisateurs au-delà de la simple combinaison nom
d'utilisateur et mot de passe.

7
Authentification : définition et méthodes
Dernière mise à jour : 7 févr.
Un des aspects les plus importants en cybersécurité est de réussir à identifier les utilisateurs qui vont
accéder à vos services ou à votre réseau informatique. On se concentre ici sur l’interaction entre
l’utilisateur et le service aussi appelé IHM (Interface Human-Machine).

Et c’est là que l’authentification entre en jeu.

Que ce soit pour améliorer votre sécurité interne, pour offrir une meilleure expérience utilisateur ou
pour rassurer vos clients, il est important de comprendre ce qu’est l’authentification et comment
bien la mettre en place. Un mécanisme d’authentification renforcé garantit la confidentialité des
informations sensibles des utilisateurs. Il est le premier rempart faisant face aux cybercriminels
convoitant ces données.

Qu’est-ce que l’authentification ?

Il est très facile de trouver une définition générique en prenant le premier lien des résultats d’une
recherche Google (souvent Wikipédia).

L’authentification est l’ensemble des mécanismes de sécurité vérifiant la légitimité de l’interaction

soit entre machines, soit entre l'humain et la machine.
Cependant, cette vérification ne concerne que la demande d’accès. L'authentification seule ne
permet pas d’identifier la personne ou la machine demandant l’accès. Si les bonnes informations
d’identification sont présentées (identifiants/mots de passe, badge, etc…), l’accès sera autorisé.
Ainsi, plusieurs groupes de personnes peuvent posséder les mêmes clés d’accès à une ressource (ce
qui n’est pas très recommandé). Pour remédier à cela, des mécanismes plus avancés ont été
développés, mais on verra cela plus tard dans cet article.

8
 Comment l’authentification fonctionne ?

Pour obtenir l'accès, l’utilisateur (ou la machine) doit prouver au système qu'il est bien la personne
qu'il prétend être. L'ID et la clé suffisent à confirmer l'identité de l'utilisateur, ce qui permettra au
système d'autoriser l'accès à cet utilisateur.
Il est important de noter que l'autorisation, en revanche, est ce qui dicte ce que les utilisateurs
peuvent voir et faire lorsqu'ils se connectent. Bien que l'autorisation et l'authentification soient
souvent utilisées de manière interchangeable, ces deux termes différents fonctionnent ensemble
pour créer un processus de connexion sécurisé.

Tout simplement, l’authentification doit :

 Gérer l’interaction entre le demandeur et le système :
o Demander les informations d’identification.
o Créer un tunnel sécurisé pour transmettre ces informations.
 Vérifier la validité de ces informations d’identification
 Approuver (ou refuser) la demande d’accès afin que le système puisse autoriser l’accès aux
ressources.
Voici un exemple de processus d’authentification :
1. L’utilisateur rempli un formulaire avec ses informations d’identification.
2. Le système d’authentification récupère ces informations de façon sécurisée (tunnel chiffré par
exemple) et essaye de trouver une correspondance avec sa base d’identification.
3. Si une correspondance est trouvée, le système authentifie l’utilisateur et lui donne accès aux
ressources. Sinon, l’utilisateur est invité à saisir de nouveau ses informations d’identification. Si les
tentatives infructueuses s’enchainent, il est recommandé de mettre un mécanisme de blocage de
compte automatique pour éviter des attaques de types brut force et de le signaler au gestionnaire du
système ainsi qu'au possesseur du compte.

Quelques méthodes d’authentification

Dans les parties précédentes, nous avons déjà brièvement énoncé le principe d’information
d’identification aussi appelé "facteur d’authentification". Ces facteurs sont définis en trois
catégories :
 Ce que je sais : il peut s'agir d'un nom d'utilisateur, d'un mot de passe ou d'un code PIN. Le
problème avec ces facteurs est qu'ils peuvent être faibles en termes de sécurité car ils peuvent être
partagés ou devinés.
 Ce que je possède : il peut s’agir de jetons de mot de passe à usage unique tels que les codes
temporaires fournis par une application OTP, les porte-clés, les cartes d'identité et les jetons
physiques.
 Ce que je suis : tout processus d'authentification biométrique, comme la numérisation des
empreintes digitales et la reconnaissance faciale, entre dans cette catégorie.

9
 Et pour chacune de ces catégories, plusieurs méthodes existent. En voici quelques-unes :

1. Le combo identifiant / mot de passe

Il s'agit d’une des méthodes les plus utilisées, avec laquelle les utilisateurs sont les plus familiers.
Lorsque vous arrivez sur la page, il vous est demandé de saisir votre nom d'utilisateur et votre mot
de passe.
Vos informations d'identification sont envoyées au serveur d’identification et comparées aux
informations qu'il détient dans sa base.
Lorsqu'une correspondance est trouvée, vous pouvez accéder à votre compte.

Les mots de passe sont souvent utilisés pour sécuriser des comptes personnels comme les profils de
réseaux sociaux, les sites de banques en ligne et de commerce électronique, ainsi que d'autres
ressources en ligne. Cependant, l'utilisation de mots de passe n'est pas une option aussi sûre qu'elle
en a l'air. Et les dégâts peuvent être catastrophiques si un pirate parvient à accéder à l'un de ces
comptes ou à la base contenant toutes les informations d’identification.

De plus, les utilisateurs ont souvent des difficultés à se souvenir de plusieurs mots de passe
(personnels et professionnels) et la plupart choisissent la facilité en utilisant un mot de passe unique
pour tous les accès.
Et pour couronner le tout, c’est souvent un mot de passe simple, que l'on peut trouver en faisant
quelques recherches sur la personne (e.g. nom du lycée + année d’obtention du diplôme :
Bonaparte1991 ; ou nom de sa petite fille avec l’année de sa naissance : Julie2006, etc.).
Cette méthode est la plus utilisée et de fait, la plus facile à casser.

2. L'authentification biométrique

L'authentification biométrique repose sur les caractéristiques biologiques uniques d'un utilisateur
afin de vérifier son identité. Cela fait de la biométrie l'une des méthodes d'authentification les plus
sûres à l'heure actuelle. En outre, elle entraîne moins de frictions pendant le processus
d'authentification que les méthodes mentionnées précédemment, ce qui rend l'expérience de
l'utilisateur plus agréable. Les identifiants les plus courants sont la numérisation des empreintes
digitales, la reconnaissance faciale et l'identification par la voix.

Cependant, pour pouvoir utiliser ce genre de méthodes, il faut investir dans des lecteurs
d’empreintes ou dans des technologies de reconnaissance vocale / faciale. Cette méthode est l'une
des plus efficaces mais elle a un coût. De plus, selon le facteur choisi, il peut y avoir plus ou moins
d’erreurs provoquant tout aussi bien des faux positifs que de faux négatifs.

10
 Enfin, il reste la question de vie privée car il s'agit de stocker des informations très personnelles et
sensibles sur l’utilisateurs. La sécurité qui doit être mise en place pour protéger ces
informations doit être drastique.

3. QR Code / Push Notifications / SMS OTP

Ce genre de méthode d’authentification est souvent liée à une double authentification permettant
d’ajouter une étape supplémentaire de sécurité, soit pour demander un accès à une ressource
sensible (MFA, ou Multi Factor Authentication pour accéder au site de votre banque), soit pour
valider une transaction (QR Code affiché sur un site web après un achat qui doit être scanné via
l’application de votre banque).
Dans certains cas, il sert à authentifier directement l’utilisateur sur une application. Par exemple,
Uber Eats envoyant un code d’authentification par SMS (le numéro de téléphone étant l’ID) ou
alors Slack envoyant un mail avec un lien que lequel cliquer pour s’authentifier.

4. Interaction comportementale.

L'authentification comportementale vérifie l'identité d'un utilisateur sur la base de schémas uniques
enregistrés pendant l'interaction avec des appareils.

Exemple :
 Sur téléphone : un schéma enregistrant le pattern de mouvement, les angles "sélectionnés", la
vitesse exécutée, etc.
 Sur ordinateur : Windows Hello proposait de charger une image et de sélectionner un nombre de
point précis sur l’image que seul l’utilisateur connait.
Ces facteurs d’identification sont semblables à la méthode "combo identifiant / mot de passe" car ils
se trouvent dans la catégorie "ce que je sais" mais au lieu d’utiliser des lettres et des chiffres, on
utilise des "dessins".

Améliorer ces méthodes d’authentification

Maintenant que nous avons une meilleure compréhension de l’authentification, hâtons-nous sur
comment la rendre plus sûre, plus efficace et, si possible, plus plaisante pour l’utilisateur.

11
 Appliquer une politique de mot de passe forte

Nous avons vu que l’utilisation de mots de passe n’est pas la méthode la plus sécurisée, mais elle a
l'avantage de n'être pas cher et facile à mettre en place. Pour permettre d’améliorer cette méthode, il
est nécessaire de mettre en place une politique de mot de passe permettant d’atténuer les faiblesses
de cette méthode :
 Des mots de passe plus longs. Les experts en sécurité suggèrent de créer des mots de passe d'au
moins 12 caractères.
 Des mots de passe complexes. Les mots de passe comportant une combinaison aléatoire de lettres
majuscules et minuscules, de chiffres et de symboles sont plus difficiles à craquer / deviner.
 Éviter d’utiliser des mots du dictionnaires. Les attaques par brut force par dictionnaire sont très
fréquentes et plus efficaces que les attaques par brut force classiques. Aussi, évitez d’utiliser des
méthodologies d’obfuscation comme changer la lettre "A" par le caractère "@" ou lettre "I" par le
chiffre "1". Ces méthodologies ont déjà été intégrées dans les attaques brut force par dictionnaire
pour contrer ces obfuscations.

P@$$w0rd : les bonnes pratiques

 Ne pas réutiliser le même mot de passe sur différents services / site web.
 Changer fréquemment ces mots de passe.
Vous pouvez essayer vous même de tester la sécurité de vos mots de passe avec l’outil
howsecureismypassword.net.

Source : capture d'écran du site howsecureismypassword.net.

Ici, voici un exemple de mot de passe à 17 caractères avec de la complexité (majuscule, minuscule,
chiffre et caractères spéciaux) et qui n’est pas un mot du dictionnaire : le site nous explique ainsi
qu'il faudrait 93 trillions d'années à un ordinateur pour craquer ce mot de passe.

12
Utiliser un gestionnaire de mot de passe

Après avoir appliqué une bonne politique de mot de passe, il faut maintenant les retenir mais il peut
être difficile de retenir "9sKJ5?k-He8F". C’est là qu’interviennent les gestionnaires de mots de
passe. Ils permettent de stocker les mots de passe de façon sécurisée mais aussi de les générer
facilement, et certains d’entre eux proposent également d’auto-remplir les formulaires sur les sites
web. Ainsi, il n'y aura plus qu'un seul mot de passe à retenir : celui qui permettra d'ouvrir le
gestionnaire de mots de passe et d'accéder aux autres.

Si on y met un peu de bonne volonté, on pourra peut-être enfin détrôner les grands champions, à
savoir les mots de passe les plus utilisés ces 7 dernières années : "123456" et "password".

Implémenter des authentifications SSO

Le terme d'authentification SSO, ou Single Sign-On, définit les processus permettant de rester
connecté à un compte et d’utiliser plusieurs ressources différentes. Ce système est idéal pour les
organisations qui ont divers produits et services situés sur différents serveurs ou sites Web.
Google est un excellent exemple du fonctionnement de ce système. Lorsqu'un utilisateur se
connecte à son compte Gmail, il a accès à tous les services de Google (YouTube, Google Analytics,
Google Drive, etc.) sans avoir à se reconnecter.

13
Lorsque l'authentification SSO est utilisée, les utilisateurs peuvent considérablement réduire le
nombre de comptes à gérer. Avec moins de mots de passe à retenir, les utilisateurs peuvent se
concentrer sur la création (et la mémorisation !) d'identifiants plus solides.

Authentification Multi-Facteur (MFA)

Malgré tous les mots de passe, il existe de nombreux services qui vous permettent d'ajouter un
deuxième niveau de sécurité, grâce à l'utilisation d'une authentification à deux facteurs. Il peut s'agir
d'un code généré sur votre appareil ou envoyé sur votre téléphone. Il est également possible de
générer un tel code sur un appareil externe.

14
Source : visual-guard.com

À première vue, ce type d'authentification peut sembler beaucoup plus fiable que les simples mots
de passe. Néanmoins, il y a aussi quelques écueils. Le problème est que l'utilisateur peut perdre
l'accès à sa carte SIM, à sa carte téléphonique et dans le pire des cas, l'utilisateur peut perdre son
appareil.

Conclusion

En espérant que cet article sur l'importance de l'authentification ait été compréhensible. En ajoutant
quelques petites améliorations, vous maîtriserez les accès sécurisés. De l'authentification par
courrier électronique à la vérification par jeton en passant par la biométrie, il existe plusieurs
options différentes, chacune ayant ses propres avantages et inconvénients.
Les technologies d’authentification sont en constante évolution. Certes, aucune n’est infaillible,
mais elles permettent tout de même d’avoir une longueur d’avance sur les attaquants.

15