Securité

l’Authentification
l’Authentification

• L'authentification est un élément important du contrô le d'accès. C'est la

pratique de sécurité permettant de confirmer qu'un individu est bien celui
qu'il prétend être. Un voyageur montrant son passeport à un agent des
douanes en est un exemple.

• Dans le domaine de la cybersécurité, l'exemple d'authentification le plus

courant est la connexion à un service sur le Web, comme la connexion à Gmail
dans un navigateur Web ou la connexion à l'application Facebook. Lorsqu'un
utilisateur fournit une combinaison nom d'utilisateur / mot de passe, le
service peut confirmer ces détails et les utiliser pour l'authentifier.
l’Authentification
l’Authentification
Facteur d'authentification
Les facteurs d'authentification sont différentes classes de méthodes de vérification
d'identité:
• Connaissances : il s'agit d'une information que seul l'utilisateur doit connaître, comme un
mot de passe ou la réponse à une question de sécurité.
• Possession : ce facteur repose sur le fait que l'utilisateur conserve la possession physique
d'un objet. Par exemple, une clé matérielle qui peut générer des codes d'accès ou un
appareil mobile qui peut recevoir des codes.
• Données biométriques: Ce sont des traits biologiques uniques de l'utilisateur qui peuvent
être utilisés dans l'authentification. Les exemples incluent les empreintes digitales, les
scans rétiniens et l'identification faciale.
• Emplacement : des outils basés sur la localisation comme le GPS peuvent être utilisés pour
restreindre l'authentification aux utilisateurs dans une zone géographique spécifique.
• Temporel: limite l’authentification de l’utilisateur à une fenêtre temporelle spécifique dans
laquelle la connexion est autorisée, et limite l’accès au système en dehors de cette fenêtre.
Facteur de connaissance

• Mot de passe ou information que seul celui qui cherche à s’authentifier connais dans
le contexte
• Cette méthode d’authentification a de nombreuses faiblesses, néanmoins elle a
• aussi des avantages :

• les mots de passe sont gratuits

• la mise en œuvre est relativement simple comparée aux autres méthodes
Qualité des mots de passe

• Mot de passe “simple”

Tanger, EMSI, 2022,…
• Mots de passe moins simple :
o2)!8ze%&u/\:), scjh8é”7sh6,…
• En théorie une clé cryptographique :
Sur 64 bits : il y a 264 possibles et une attaque doit tenter 263 clés ?
• Un mot de passe sur 8 caractères à autant de possibilité (8 bits par caractère *8) soit
264, mais dans les faits c’est différent, les mots ont un sens et sont dans le dictionnaire
!
Qualité des mots de passe
Méthodes et durées de piratage:
• En théorie, il n’y a pas de mot de passe infaillible. Il existe aujourd’hui des programmes capables de calculer toutes
les combinaisons de caractères possibles afin d’accéder à n’importe quel mot de passe. D’autres programmes passent
en revue les mots du dictionnaires en plusieurs langues ainsi que les suites logiques les plus connues. La faille de ces
programmes réside dans le temps de traitement des données. En effet, plus le mot de passe que vous allez créer sera
long et complexe, plus le programme mettra de temps afin de trouver la combinaison.

• chapeau : 2 millisecondes
• Chapeau : 26 secondes
• Chapeau4 : 2 heures
• Ch@peau4 : 9 heures
• +Ch@peau_4 : 53 ans

• Un mot de passe sû r n’est donc pas un mot de passe inviolable mais un mot de passe dont la longueur et la
complexité sont telles qu’un programme malveillant devra mettre plusieurs centaines voire milliers d’années avant
de trouver la combinaison.
Mécanismes de sécurité

• Assignation des mots de passe par le système

• Changement périodique des mots de passe
• Freiner les attaques par dictionnaire
• Mettre une temporisation en cas d’échec de l’authentification
• Quel temporisation
• Skype après un certain nombre de refus attente 24h !
• Déblocage administrateur (personne)
Mécanismes de sécurité

• Comment se protéger convenablement ?

• Mélanger les signes et symboles
• Ne jamais mettre moins de 9 caractères
• É viter d’enregistrer le mot de passe dans le navigateur
• Ne pas faire de suite logique ou de mot entier
• Ne pas mettre de numéros ou d’informations personnelles
• Créer un compte = Un mot de passe différent
• Ne jamais le communiquer, même à ses proches
• Lorsque vous créez votre mot de passe, ne l’écrivez jamais en clair
• Modifier ses mots de passe existants
Mécanismes de sécurité
• Voici une premiè re rè gle simple, recommandé par l'ANSSI : choisissez des mots de passe d’au moins 12 caractè res de diffé rents types (majuscules, minuscules,
chiffres, caractè res spé ciaux).
• La méthode phonétique
• Choisissez une phrase facile à retenir que vous écrivez phonétiquement :
par exemple,« J'ai acheté huit CD pour cent euros cet après-midi » deviendra « ght8CD%E7am »
ou bien « J’ai écrit 300 pages de texte » qui donnera « Gécri300paj2txt »

• La méthode des premières lettres

• Elle consiste à ne conserver que les premières lettres de chaque mot d’une phrase ; choisissez de préférence une phrase contenant des chiffres et suivez ces quelques règles :
• conservez uniquement la première lettre de chaque mot ;
• conservez la ponctuation et remplacez les chiffres par des nombres (Un par 1) ;
• mettez une majuscule si le mot est un nom commun ou un nom propre et une minuscule pour tout autre terme.
• Prenons l’exemple de la phrase « J’apprends facilement sur le site EMSI.com » : avec la méthode des premières lettres, elle deviendra : « j’afslSE.c ».
• Comptez le nombre de mots de la phrase et augmentez encore la force du mot de passe en ajoutant un chiffre : « j’afslSO.c7 ».
• Enfin, terminez en encadrant votre mot de passe avec des caractères spéciaux : « *j’afslSO.c7* ».

• Méthode de la phrase entière

• Choisissez une phrase assez simple dont vous vous souviendrez aisément et créez votre mot de passe en tapant entièrement la phrase, sans espace.
• Par exemple, « Jesuis3courssurEMSI.com » est un mot de passe de plus de 30 caractères, mélangeant minuscules, majuscules et chiffres

• La « méthode XKCD »
• On l'appelle aussi la méthode des 4 mots (selon l’auteur de Comics Randall Munroe)
• Elle consiste à associer 4 mots de votre choix, sans lien les uns avec les autres, en utilisant une majuscule comme première lettre de chaque mot.
• Un mot de passe tel que « CoursAspirateurApprendreSoleil » ou bien « SécuritéCanapéCourirGirafe » vous protègera tout autant que « *j’afslSO.c7* ».
Biométrie
L’authentification biométrique est un moyen de vérifier qu’une personne est bien celle
qu’elle prétend, sans laisser de place au doute en s’intéressant à des caractéristiques
biologiques ou comportementales spécifiques.

Un système d’authentification fonctionne en comparant des données fournies aux

informations validées concernant l’utilisateur, qui sont stockées dans une base de
données.
Dans les systèmes classiques, ces informations sont constituées par des mots de passe.
Dans l’authentification biométrique, ces informations sont définies comme des traits
physiques ou comportementaux.

Par exemple, dans un système de reconnaissance faciale, différentes caractéristiques

faciales sont traitées et converties en données numériques, qui sont stockées dans une
base de données. Lorsqu’une personne essaie de se connecter, le système recapture son
visage, extrait les données numériques, puis les compare avec les informations stockées
dans la base de données.
Biométrie
Biométrie
Biométrie

Trois catégories de technologies biométriques

– Analyses biologiques :
• Odeur, sang, salive, urine, ADN, cheveux...
– Analyses comportementales :
• La dynamique de la signature (la vitesse de déplacement du stylo, les
accélérations, la pression exercée, l'inclinaison), la façon d'utiliser un clavier
d'ordinateur (la pression exercée, la vitesse de frappe), la voix, la manière de
marcher
– Analyses morphologiques :
• Empreintes digitales, forme de la main, traits du visage, dessin du réseau veineux
de l'œil
Biométrie

La biométrie comportementale vérifie l’identité en analysant le comportement

physique et cognitif d’un utilisateur. Cette technologie utilise des algorithmes
d’apprentissage automatique pour définir les schémas de comportement et d’activité
de l’utilisateur. Ces schémas sont ensuite utilisés pour détecter si une personne est
bien qui elle prétend être.

Voici quelques exemples de biométrie comportementale :

• Utilisation d’écran tactile (quelle proportion de l’écran est utilisée)

• Dynamique de saisie (raccourcis clavier ou vitesse de saisie)
• Activité de la souris
Biométrie

L’authentification biométrique peut-elle être piratée ?

L’intérêt des données biométriques est qu’elles sont uniques. Sachant cela, vous
pourriez penser que l’authentification biométrique ne peut être piratée. Mais vous
auriez tort. Comme n’importe quel autre système, l’authentification biométrique n’est
pas à l’abri du piratage. Les algorithmes d’IA modernes peuvent être utilisés pour
générer des empreintes digitales capables de tromper les lecteurs d’empreintes
digitales.

De plus, certaines vulnérabilités ont été observées dans les processus de collecte,
traitement, mise en correspondance et enregistrement des données, même dans les
systèmes biométriques les plus sophistiqués.
Biométrie

Qu’est-ce que l’authentification biométrique multimodale ?

Un système d’authentification biométrique unimodal est susceptible de faire l’objet
d’une usurpation d’identité.

L’authentification biométrique multimodale contrô le plusieurs informations

biométriques pour la vérification d’identité. L’usurpation d’identité par une personne
malveillante devient ainsi beaucoup plus difficile.

Par exemple, un hacker pourra sans doute trouver la photo d’une personne sur
Internet, et est susceptible de l’utiliser pour tromper un système de reconnaissance
faciale. Mais si le système lui demande de fournir d’autres informations, par exemple
une vidéo de la personne disant son mot de passe, il est très improbable qu’il puisse la
trouver.
Biométrie

De plus, le fait de combiner la biométrie physique et la biométrie comportementale

peut aussi renforcer la sécurité.
Même si une personne malveillante parvient à usurper une empreinte digitale, le
système est capable de détecter un changement de comportement et pourra refuser
l’accès.
Par exemple, la vitesse d’interaction avec le système peut être plus lente qu’avec le
véritable utilisateur, ou la personne malveillante utilise des raccourcis clavier que
l’utilisateur réel n’a jamais utilisés.
Biométrie
Quelle technologie choisir pour son application?
Biométrie
Architecture d’un système biométrique
Biométrie
Architecture d’un système biométrique
Biométrie

Les données biométriques peuvent naturellement varier légèrement d’une fois à

l’autre.

Exemple :
empreinte de voix différente à cause d’un mal de gorge
Ou
iris dilaté différemment à cause de la prise de médicament.

Il faut être capable de prendre en compte cette variabilité naturelle à l’intérieur du

système d’authentification par biométrie.
Empreinte digitale
Une des plus anciennes formes d’authentification biométrique.
Représente les caractéristiques d’une empreinte digitale sous forme de points
caractéristiques appelés minuties.
La probabilité de trouver deux individus avec des empreintes similaires est de 1 sur
1024

Remarque : les jumeaux ont des empreintes très proches mais non semblables.

Avantages:
• facile à mettre en place et à utiliser et donne un bon taux de détection.

Inconvénients:
• il est relativement facile de copier les empreintes digitales d’une personne.
• Demande aussi à faire une nouvelle capture des données si l’utilisateur se coupe ou
se brû le
Empreinte digitale
Système de reconnaissance faciale et vocale

Prend une empreinte (fingerprint en anglais) du visage ou de la voix d'un individu.

Avantages:
facile à utiliser tout comme les systèmes d'empreintes digitales.
Inconvénients:
peut être trompé par la photographie d’un visage ou l'enregistrement d'une voix.
Système de reconnaissance faciale et vocale
Scan d'iris et de rétine

Fait une capture de l'iris ou de la rétine.

La probabilité de trouver deux individus avec des iris ayant des caractéristiques
similaires est de 1 sur 1072

L'identification peut faire jouer la lumière pour changer en temps réel l'image de l'iris
mesurée.
Avantages:
méthode qui offre un des meilleurs taux d'identification et considéré comme étant un
des plus surs du fait de la difficulté de faire une capture du comportement d'une iris.
Même deux jumeaux possèdent un scan d'iris et de rétine différent.
Inconvénient:
procédure de capture plus contraignante.
Scan d'iris et de rétine
Authentification par possession
Le facteur de possession utilise les appareils et les jetons qu'un individu possède.
Le facteur possession : quelque chose que vous possédez

L'authentification de possession couvre un ensemble d'informations d'identification

dont dispose actuellement un utilisateur.

Ces éléments d'information uniques, généralement contenus dans un périphérique

matériel, sont idéalement inconnus de quiconque autre que son propriétaire.
Ce facteur d'authentification limite les interférences d'accès que pourraient effectuer
des pirates professionnels.
Authentification par possession
1. Jetons logiciels

Un jeton logiciel est demandé à un serveur ou à un administrateur. Il est transmis

numériquement à un appareil mobile ou à un ordinateur.

Ce facteur d'authentification est généralement utilisé avec des facteurs de

connaissance tels que les mots de passe.
Authentification par possession
2. OTP (one-time password)

OTP signifie mot de passe à usage unique, qui est un code de vérification temporaire
généralement transmis par SMS ou e-mail.

Les OTP restent actifs pendant une courte période. L'utilisateur devra demander un
autre OTP s'il ne peut pas l'utiliser dans le délai imparti.
Authentification par possession
3. Kits de développement logiciel (SDK) de jetons logiciels

Généralement intégrés dans les applications mobiles, les SDK utilisent des systèmes
cryptographiques pour l'authentification des appareils.
Ce processus de vérification s'avère pratique car il élimine le besoin de basculer entre
les plates-formes.

Un utilisateur nécessitant l'accès à un compte reste sur le même appareil où

l'application est enregistrée.
Authentification par possession
4. Service de messages courts (SMS)

Semblable aux OTP, votre numéro de mobile enregistré reçoit un mot de passe à des
fins de vérification d'identité. Il n'est pas nécessaire de télécharger une application ou
d'utiliser un périphérique matériel pour passer le processus d'authentification.
Authentification par possession
6. Cartes à puce

Une personne autorisée reçoit une carte à utiliser pour authentifier son identité.
Le risque le plus évident ici est la perte de la carte physique.
Dans un tel cas, l'incident doit être signalé au plus vite afin que la carte soit
immédiatement désactivée.
Authentification par possession
7. Clés de sécurité

Les clés de sécurité dépendent d'un périphérique principal tel qu'un ordinateur. Une
clé de sécurité peut être insérée dans un port USB, entre autres mécanismes, pour la
vérification d'identité.
Facteur d'authentification
Les facteurs d'authentification sont différentes classes de méthodes de vérification
d'identité:
Authentification à deux facteurs
• L'authentification à deux facteurs peut fonctionner de plusieurs façons. L'un des
exemples les plus courants d'authentification à double facteur est la vérification du
nom d'utilisateur et du mot de passe et la vérification par SMS.

• Dans cet exemple, lorsque l'utilisateur crée un compte pour un service, il doit fournir un nom
d'utilisateur unique, un mot de passe et son numéro de téléphone mobile. Lorsque l'utilisateur se
connecte à ce service, il fournit son nom d'utilisateur et son mot de passe. Cela fournit le premier
facteur d'authentification (connaissance ; l'utilisateur a prouvé qu'il connaissait ses identifiants
de connexion uniques).

• Ensuite, le service enverra à l'utilisateur un message texte automatisé contenant un code

numérique. L'utilisateur sera ensuite invité à saisir ce code numérique. En supposant que le code
est correct, l'utilisateur a fourni un deuxième facteur d'authentification (possession ; l'utilisateur
est en possession de son appareil mobile). Les conditions pour le 2FA sont maintenant remplies et
l'utilisateur peut être authentifié et avoir accès à son compte.
Authentification à deux facteurs
• L’identification de ces facteurs d’authentification est assez facile lorsque nous
reconsidérons le contexte de l’exemple de carte bancaire. Pour retirer de l’argent,
vous devez d’abord vous authentifier. Votre carte bancaire sert de «quelque chose
que vous avez» (possession) et votre code PIN personnalisé est «quelque chose que
vous savez» (connaissances).
• En théorie, différents facteurs ou conditions pourraient être appliqués. Votre carte bancaire pourrait
nécessiter une empreinte digitale au lieu du code PIN. Le repect des obligations du MFA serait
toujours appliqué en remplaçant «quelque chose que vous savez» par «quelque chose que vous êtes»
(Inhérence). Si votre banque limite le nombre de distributeurs automatiques de billets auxquels vous
avez accès, un facteur de localisation est en vigueur. Des limites sur le volume de transactions sur une
journée, imposent un facteur temps..
• Si Bob de New York a soudainement utilisé sa carte à Los Angeles à plusieurs reprises, elle peut être
considérée comme suspecte. Il est peut-être en vacances, mais l’activité périphérique semble suspecte.
En conséquence, le compte est automatiquement verrouillé en cas de vol de votre identité ou de votre
numéro de carte. Tenter de s’authentifier dans des circonstances trop bizarres devrait sû rement
allumer le voyant rouge.
Utilité de l’authentification à deux facteurs
• La sécurité basée sur les mots de passe est devenue trop facile à exploiter. Avec la
prévalence des escroqueries par phishing et la réutilisation des mots de passe, il est
devenu de plus en plus facile pour les attaquants de recueillir des informations de
connexion volées. Ces identifiants volés peuvent être vendus pour être utilisés dans
des attaques par bourrage d'identifiants .

• Le renforcement de la vérification de l'identité a également gagné en importance

avec la généralisation du travail à distance. Puisque la présence physique des
employés au bureau ne peut pas être utilisée pour vérifier leur identité, des mesures
comme le 2FA permettent de s'assurer que leurs comptes n'ont pas été compromis.
Inconvénients à l'authentification à deux facteurs
• Tous les utilisateurs ne disposent pas des smartphones modernes requis pour de
nombreuses méthodes 2FA.
• Les données mobiles sont très chères dans certaines parties du monde
• 2FA impose également des frais commerciaux à ceux qui gèrent le service.
• 2FA est beaucoup plus difficile à mettre en œuvre que l'authentification par mot de
passe uniquement, et une entreprise fournissant 2FA devra soit engager des frais
d'installation, soit payer un service tiers pour fournir l'authentification à un coû t
permanent.
• Les petites entreprises peuvent renoncer à la sécurité accrue de 2FA car elles ne
peuvent tout simplement pas se permettre de la prendre en charge.
Authentification à Multi facteurs
• MFA fait référence à une stratégie de cybersécurité en couches. Il permet une
validation plus stricte de l'identité d'un utilisateur grâ ce à plusieurs processus de
vérification. En conséquence, MFA rend difficile pour les cybercriminels d'accéder à
des comptes à l'aide d'informations d'identification volées.
Authentification adaptative
• L’authentification adaptative, également appelée authentification basée sur les
risques, constitue un autre sous-ensemble de MFA. Ce mode d’authentification
analyse les facteurs supplémentaires en tenant compte du contexte et du
comportement lors de l’authentification, et utilise souvent ces valeurs pour attribuer
un niveau de risque associé à la tentative de connexion. Par exemple :

• À partir d’où l’utilisateur essaie-t-il d’accéder aux informations ?

• Quand essayez-vous d’accéder aux informations d’entreprise ? Pendant ou en dehors des heures
de travail ?
• Quel type d’appareil est utilisé ? Est-ce le même que celui utilisé hier ?
• La connexion se fait-elle via un réseau privé ou public ?
Authentification adaptative