Authentification : Autorisation : Explorer les différences et les similitudes

L’authentification et l’autorisation représentent deux des trois « A » dans la gestion de l’identité et des accès (IAM). Avec la comptabilité, elles sont cruciales pour la stratégie de cybersécurité d’une organisation. Sans la capacité de vérifier l’identité et les privilèges d’un utilisateur, il est impossible de différencier l’accès légitime aux systèmes d’entreprise et les attaques potentielles.

L’authentification vérifie l’identité d’un utilisateur, confirmant ainsi qu’il est bien celui qu’il prétend être. Une fois l’utilisateur vérifié, l’autorisation détermine et accorde le niveau d’accès que l’utilisateur a à des ressources spécifiques. Alors que l’authentification répond à la question : « Qui êtes-vous ? », l’autorisation répond à la question : « Que pouvez-vous faire ? »

Comment fonctionne l’authentification

L’authentification implique de prouver qu’un utilisateur est bien celui qu’il prétend être. Cela se fait en demandant à l’utilisateur de présenter un ou plusieurs facteurs d’authentification. Dans la plupart des cas, ceux-ci proviennent des trois types de facteurs suivants :

• Quelque chose que vous savez : Les facteurs basés sur la connaissance incluent les mots de passe, les codes PIN, les questions de sécurité et les clés API.
• Quelque chose que vous avez : Les facteurs basés sur la possession incluent les mots de passe à usage unique (OTP) générés par ou envoyés à un appareil spécifique (smartphone, clé matérielle, etc.) ou des certificats numériques stockés sur un appareil ou une carte intelligente.
• Quelque chose que vous êtes : Les systèmes d’authentification biométrique peuvent identifier les utilisateurs en fonction de leur visage, de leur empreinte digitale, de leur voix, de leur démarche ou d’autres caractéristiques physiques ou comportementales uniques.

Un système d’authentification stockera une copie du facteur d’authentification ou un moyen de vérifier son authenticité. Lorsque l’utilisateur présente le(s) facteur(s), le système vérifie s’ils correspondent. Si tel est le cas, l’identité de l’utilisateur est vérifiée.

Différents types de facteurs d’authentification offrent des niveaux de sécurité variés. Par exemple, les facteurs basés sur la connaissance sont généralement les plus faibles en raison de la menace des mots de passe faibles et des attaques de phishing. Les facteurs basés sur la possession sont vulnérables à la perte ou au vol.

Deux moyens de remédier à ces faiblesses incluent :

• Multi Factor Authentication L’AMF utilise deux ou plusieurs types de facteurs d’authentification, comme un mot de passe et un OTP généré par une application d’authentification. Cette combinaison de facteurs rend plus difficile pour un attaquant d’accéder à tous les facteurs en même temps.
• Authentification sans mot de passe : L’authentification sans mot de passe utilise uniquement des facteurs de type « quelque chose que vous avez » ou « quelque chose que vous êtes » pour l’authentification, éliminant complètement les facteurs basés sur la connaissance faibles. L’AMF sans mot de passe utilisera à la fois un facteur d’authentification basé sur la possession et un facteur d’authentification biométrique.

Comment fonctionne l’autorisation

L’autorisation suppose que l’identité de l’utilisateur a déjà été vérifiée via l’authentification. Son rôle est de déterminer si l’utilisateur authentifié a le droit d’effectuer une action demandée.

Cette décision est basée sur les droits et privilèges attribués à l’utilisateur et, potentiellement, sur le contexte de la demande. Par exemple, un utilisateur peut être autorisé à consulter des documents hautement sensibles en raison de son rôle dans l’organisation. Cependant, ce privilège peut ne s’appliquer que lors de l’utilisation d’un appareil appartenant à l’entreprise avec une connexion sécurisée au réseau de l’entreprise (soit directement, soit via un VPN).

Les contrôles d’accès utilisés pour prendre des décisions d’autorisation peuvent être gérés via différents modèles, tels que :

• Contrôle d’accès discrétionnaire (DAC) : Dans le DAC, le propriétaire d’une ressource définit les contrôles d’accès pour celle-ci. Par exemple, un Google Doc met en œuvre le DAC, où le créateur décide qui peut le lire ou l’éditer.
• Contrôle d’accès obligatoire (MAC): Avec le MAC, l’accès est géré et défini de manière centralisée en utilisant des niveaux de classification et des habilitations. Le système Top Secret/Secret/Classifié/Non classifié est un exemple de MAC.
• Contrôle d’accès basé sur les rôles (RBAC): Le RBAC crée divers rôles, attribue des privilèges à ces rôles et assigne à chaque utilisateur un rôle. Par exemple, un développeur peut se voir attribuer un rôle de Développeur, ce qui lui donne accès aux outils et systèmes nécessaires pour accomplir son travail.
• Contrôle d’accès basé sur les attributs (ABAC): L’ABAC attribue des attributs aux utilisateurs et définit des contrôles d’accès en fonction de combinaisons d’attributs. Par exemple, un responsable informatique aurait les attributs IT et responsable et pourrait accéder aux ressources nécessitant un ou les deux, telles que les environnements de développement (IT) et les dossiers des employés (responsable).

Principales différences entre l’authentification et l’autorisation

L’authentification et l’autorisation jouent des rôles très différents dans le processus de contrôle d’accès. L’objectif de l’authentification est de déterminer si quelqu’un est bien celui qu’il prétend être. L’autorisation suppose que l’identité alléguée de l’utilisateur est légitime et cherche à déterminer si cet utilisateur doit avoir accès à une ressource particulière.

Principales similitudes entre l’authentification et l’autorisation

L’authentification et l’autorisation sont similaires en ce sens que leur objectif final est de vérifier la légitimité d’une demande d’accès. Tout d’abord, l’authentification valide l’identité de l’utilisateur, puis l’autorisation vérifie que l’utilisateur dispose des accès et des privilèges nécessaires pour faire la demande.

Quels sont les principaux défis et risques de sécurité liés à l’authentification ?

L’authentification repose sur l’hypothèse que seul le propriétaire d’un compte peut présenter des facteurs d’authentification pour celui-ci. Certaines menaces à l’authentification réussie incluent :

• Mots de passe faibles : Les mots de passe faibles et réutilisés constituent une menace courante pour la sécurité de l’authentification. L’authentification échoue si un attaquant peut deviner le mot de passe d’un utilisateur ou utiliser un mot de passe compromis d’un compte pour accéder à un autre.
• Attaques de Phishing: Les cybercriminels utilisent couramment le phishing pour tromper les utilisateurs afin qu’ils remettent leurs mots de passe ou OTP. Un utilisateur dirigé vers une page de phishing ressemblant à un site légitime peut entrer son mot de passe ou OTP, permettant à l’attaquant de s’authentifier sur le vrai site.
• Malware De nombreux types de logiciels malveillants tentent de voler les identifiants de connexion d’un utilisateur. Par exemple, les infostealers peuvent extraire des mots de passe à partir de l’endroit où ils sont mis en cache par un système.
• Cookies Volés: Les cookies stockent des informations sur la session d’un utilisateur et mettent en œuvre la fonction « Se souvenir de moi », permettant aux utilisateurs de sauter l’authentification lors de leur prochaine visite. Si ces fichiers sont volés depuis l’appareil d’un utilisateur, l’attaquant peut accéder à son compte tout en contournant l’authentification.
• Appareils Perdus/Volés: Les smartphones sont couramment utilisés pour recevoir/générer des OTP ou stocker des certificats numériques pour l’authentification. Si ces appareils sont volés, l’attaquant peut être en mesure d’accéder à ce facteur d’authentification.
• Authentification : Un système d’authentification peut mettre en œuvre un algorithme faible ou ne pas appliquer les meilleures pratiques. Par exemple, un mot de passe par défaut peut être intégré dans un système, ou il peut exister un moyen de contourner l’authentification à des fins de maintenance.
• Stockage Insecure des Identifiants: Les systèmes d’authentification doivent souvent stocker des données sensibles pour vérifier les demandes d’authentification, ce qui peut poser problème si ces données sont mal stockées. Par exemple, des violations de données historiques ont révélé des mots de passe stockés en texte clair, dans des fichiers journaux, hachés avec des algorithmes faibles, et hachés mais non salés. Tous ces éléments facilitent le vol et le craquage de ces mots de passe par un attaquant pour accéder au compte d’un utilisateur.

Quels sont les principaux défis et risques de sécurité liés à l’autorisation ?

Une autorisation réussie permet aux utilisateurs d’accéder uniquement aux ressources dont ils ont un besoin légitime. Certaines manières dont cela peut mal tourner incluent :

• Permissions excessives: Les utilisateurs se voient souvent attribuer des accès et des privilèges supérieurs à ce qui est nécessaire pour leur travail. Par exemple, la plupart des utilisateurs n’ont pas besoin d’un accès de niveau Administrateur à leur propre ordinateur, et le leur accorder introduit des risques supplémentaires pour l’entreprise.
• Autorisation non sécurisée: Les schémas d’autorisation peuvent être non sécurisés ou vulnérables à des contournements. Par exemple, un attaquant peut être en mesure de modifier les listes de contrôle d’accès (ACL) gérant l’accès à une ressource en exploitant une vulnérabilité du système.

Questions fréquentes

L’authentification SSO est-elle une autorisation ou une authentification?

Le single sign-on (SSO) est un mécanisme d’authentification qui permet à un utilisateur de s’authentifier une fois auprès du système d’authentification et d’accéder à plusieurs ressources. Ce système fournit une preuve de l’identité de l’utilisateur aux autres systèmes, leur permettant d’effectuer l’autorisation sans nécessiter que l’utilisateur s’authentifie plusieurs fois.

OAuth est-il une authentification ou une autorisation?

OAuth est un schéma d’autorisation qui permet l’accès de tiers aux ressources sans partager les identifiants de l’utilisateur. Les applications se voient accorder des permissions et sont gérées à l’aide de jetons d’accès.

L’autorisation peut-elle être accordée sans authentification?

L’autorisation doit toujours être associée à l’authentification pour valider l’identité de l’utilisateur. Les comptes invités, qui accordent aux utilisateurs certains privilèges sans vérifier leur identité, sont risqués et devraient fournir un accès minimal.

Qu’est-ce qui vient en premier, l’authentification ou l’autorisation?

L’authentification vient avant l’autorisation. L’autorisation suppose que l’utilisateur a été authentifié et vise à déterminer l’accès attribué à cet utilisateur.

Gérez à la fois l’authentification et l’autorisation avec la solution SASE de Cato

L’authentification et l’autorisation sont essentielles pour gérer l’accès et le contrôle des ressources d’une organisation. Une authentification forte vérifie que quelqu’un est bien celui qu’il prétend être, et l’autorisation vérifie qu’un utilisateur authentifié a le droit d’effectuer une action particulière.

Le Secure Access Service Edge (SASE) intègre l’accès réseau basé sur la confiance zéro (ZTNA) comme l’une de ses capacités de sécurité convergées. Le ZTNA permet aux organisations de mettre en œuvre une gestion des accès basée sur le principe du moindre privilège — y compris une authentification et une autorisation fortes — sur le WAN de l’entreprise.
Avec le Cato SASE Cloud, les entreprises peuvent tirer parti d’une authentification et d’une autorisation fortes ainsi que de diverses capacités de sécurité clés et d’un réseau privé de classe mondiale. Pour en savoir plus sur la manière dont le Cato SASE Cloud peut améliorer la sécurité et les performances de votre WAN d’entreprise, inscrivez-vous pour une démo.