Passwords - Evolution de l'authentification
Last updated
Last updated
L'histoire de l'authentification commence avec les mots de passe dans les années 1960, lorsque les premiers ordinateurs ont été mis à la disposition du grand public.
À l'époque, les ordinateurs étaient énormes, ridiculement chers et lents - par rapport aux normes actuelles. Le fait que seule une poignée d'universités et de grandes entreprises possédaient un véritable ordinateur rendait la demande exceptionnellement élevée. Pour répondre à cette demande, des universités telles que le MIT ont introduit des systèmes d'exploitation à temps partagé tels que le Compatible Time-Sharing System (CTSS), qui permettait à plusieurs utilisateurs de partager les ressources fournies par un seul ordinateur.
En résolvant le problème de la demande, la confidentialité des fichiers au sein d'un système de fichiers partagés est devenue un défi. Il est important de noter que les utilisateurs étaient des chercheurs et des étudiants qui utilisaient l'ordinateur pour calculer et stocker leurs recherches et leurs nouvelles découvertes - personne ne s'inquiétait de perdre son dossier "vie privée".
En fait, tout le monde avait accès à tout. La solution est apparue en 1961 grâce à Fernando Corbató, chercheur puis professeur au MIT.
Corbató a mis en place un programme de mot de passe simple, c'est-à-dire très rudimentaire:
Les mots de passe étaient stockés dans un fichier en clair dans le système de fichiers.
Il n'a pas fallu longtemps pour que quelqu'un déchiffre le code. Allan Scherr, dans une tentative de prolonger sa session limitée à quatre heures d'utilisation de l'ordinateur du MIT, a simplement trouvé l'emplacement du fichier et imprimé la liste complète des mots de passe des utilisateurs.
La conclusion des années 60 était claire :
stocker les mots de passe dans un fichier en clair est une mauvaise idée.
Les erreurs commises par le passé ont poussé le développement à ajouter un membre supplémentaire à l'histoire de l'authentification. Robert Morrison a repris un concept de la cryptographie: la fonction de hachage.
Cryptographie:
En général, la cryptographie est une technique d'écriture où un message chiffré est écrit à l'aide de codes secrets ou de clés de chiffrement. La cryptographie est principalement utilisée pour protéger un message considéré comme confidentiel. Cette méthode est utilisée dans un grand nombre de domaines, tels que la défense, les technologies de l'information, la protection de la vie privée, etc. Il existe de nombreux algorithmes cryptographiques qui peuvent être utilisés pour chiffrer (et déchiffrer pour le destinataire) le message. Définition: ORACLE
Fonction de hachage:
1) On nomme fonction de hachage une fonction particulière qui, à partir d'une donnée fournie en entrée, calcule une empreinte servant à identifier rapidement, bien qu'incomplètement, la donnée initiale. Les fonctions de hachage sont utilisées en informatique et en cryptographie.
Définition: Techno-Science 2) L’utilisation d’une fonction de hachage permet de ne pas stocker les mots de passe en clair dans la base mais uniquement de stocker une empreinte de ces derniers. Il est important d’utiliser un algorithme public réputé fort afin de calculer les dites empreintes. A ce jour, MD5 ne fait plus partie des algorithmes réputés forts. Définition: CNIL
Lorsque la fonction de hachage est devenue une norme, les pirates informatiques ont réussi à la contourner. Une protection supplémentaire a été introduite sous la forme de "salage"(de l'anglais SALT) des éléments aléatoires qui rendaient le hachage initial encore plus unique et difficile à décrypter. Le stockage des mots de passe par hachage a constitué une véritable percée à l'époque.
Salage (SALT): Le salage est une méthode permettant de renforcer la sécurité des informations qui sont destinées à être hachées (par exemple des mots de passe) en y ajoutant une donnée supplémentaire afin d’empêcher que deux informations identiques ne conduisent à la même empreinte (la résultante d’une fonction de hachage). Le but du salage est de lutter contre les attaques par analyse fréquentielle, les attaques utilisant des rainbow tables, les attaques par dictionnaire et les attaques par force brute. Pour ces deux dernières attaques, le salage est efficace quand le sel utilisé n’est pas connu de l’attaquant ou lorsque l’attaque vise un nombre important de données hachées toutes salées différemment. Définition: WIKIPEDIA
Outre le hachage, d'autres techniques de cryptographie se sont avérées bénéfiques pour le développement de l'authentification. La cryptographie asymétrique, plus connue sous le nom d'infrastructure à clé publique, est l'une de ces techniques. Sans entrer dans les détails de son fonctionnement, cette technologie repose sur deux clés. Une clé publique que l'on peut partager en toute sécurité avec le reste du monde afin de prouver son identité, et une clé privée pour la signature numérique utilisée pour vérifier son identité. Un certificat numérique est en fait une combinaison des deux - un certificat de clé publique signé avec votre clé privée pour vérifier qu'il vous appartient.
Cependant, l'utilisation généralisée de l'infrastructure à clé publique n'a pas eu lieu avant le début des années 90. La raison est que cette technologie était hautement confidentielle et réservée aux institutions gouvernementales.
Alors que les mesures de sécurité se renforcent, les pirates informatiques se multiplient. Le secteur de la sécurité doit donc constamment améliorer son jeu et rechercher des solutions d'authentification plus sûres. Les mots de passe statiques n'étaient plus fiables. Les pirates pouvaient facilement voler, intercepter ou deviner votre mot de passe et le rejouer autant de fois qu'ils le souhaitaient. C'est dans ce contexte qu'est née une idée. Et si un utilisateur disposait d'un mot de passe complètement différent à chaque fois qu'il souhaite accéder à un service ? C'est à cette époque que sont nés les mots de passe à usage unique.
Lors de l'élaboration du concept d'authentification par mot de passe unique, deux défis principaux doivent être relevés :
Comment générer aléatoirement un nouveau mot de passe imprévisible que le système reconnaît comme correct ? Comment transmettre ces mots de passe dynamiques aux utilisateurs finaux ? Après avoir trouvé les réponses aux défis susmentionnés, le produit final était un OTP basé sur le temps, délivré par le biais d'un matériel spécial. Au fil des ans, les normes OTP ont évolué, passant de méthodes basées sur le temps, le défi/réponse, le hachage à des méthodes basées sur l'événement. La livraison des OTP a finalement abandonné le besoin d'un dispositif matériel spécifique - les mots de passe à usage unique sont livrés par SMS, par courrier électronique ou par des applications mobiles spécialisées.
Le secret des années 70 autour de l'infrastructure à clé publique a finalement été dévoilé durant les années 90. La force motrice derrière la nécessité de la PKI (Public Key Infrastructure) était l'avènement du World Wide Web. Avec une multitude de données confidentielles en ligne, l'identification des utilisateurs de services est devenue cruciale.
Comme mentionné précédemment, la PKI intègre des certificats numériques ainsi que des paires de clés privées et publiques. Cela a conduit au développement du protocole SP4, qui a ensuite été rebaptisé en protocole TLS (Transport Layer Security), plus largement reconnu. Quelques années plus tard, le protocole SSL (Secure Sockets Layer) a été introduit, incluant l'authentification du serveur et les composants clés.
Au fil du temps, les fonctions principales de la technologie PKI ont évolué pour inclure les éléments suivants : la création, le stockage et la distribution des certificats numériques. Ces fonctions comprennent également :
CA (Autorité de Certification): chargé de délivrer et de signer les certificats numériques
RA (Autorité d'Enregistrement): responsable de la vérification de l'identité des utilisateurs soumettant des demandes de certificats numériques
Répertoire central: destiné au stockage des clés
CMS (Système de Gestion des Certificats): gérant les activités opérationnelles (accès aux certificats stockés, etc.)
Politique de certification: une déclaration décrivant les exigences de la PKI
L'authentification à facteurs multiples (MFA) nécessite une combinaison de plusieurs facteurs d'authentification pour vérifier l'identité d'une personne. Avec les OTP des années 80, nous avons commencé à effleurer ce sujet. Les années 2000 ont éliminé le besoin d'un dispositif matériel spécifique pour générer des mots de passe dynamiques. Les technologies émergentes et la numérisation ont apporté des applications mobiles spécialisées pour MFA et la génération d'OTP utilisateur.
Les trois éléments d'authentification principaux nécessaires pour une vérification réussie de l'identité sont les suivants :
Connaissance - quelque chose que l'utilisateur connaît, comme un code PIN ou un mot de passe.
Possession - quelque chose que l'utilisateur possède ; un certificat numérique, une carte à puce, un appareil mobile, etc.
Inhérence - quelque chose qui vérifie directement que c'est l'utilisateur, c'est-à-dire des informations biométriques (par exemple, la reconnaissance des empreintes digitales, du visage ou de la voix).
L'authentification réussie implique la combinaison d'au moins deux éléments de sécurité. Si un attaquant obtient un mot de passe, il devrait également avoir accès au deuxième ou même au troisième facteur utilisé pour s'authentifier.
La connexion unique (SSO - Single Sign-On) a représenté une avancée significative dans le domaine de l'authentification. Le principe de base de la SSO est que les utilisateurs ne peuvent pas être considérés comme fiables avec les mots de passe. Nous avons tendance à sous-estimer l'importance des mots de passe, à les réutiliser à plusieurs reprises et parfois même à les partager avec des amis, des membres de la famille ou des collègues. Il n'est pas étonnant que nous oublions nos mots de passe puisque nous en avons besoin d'un différent pour chaque service que nous utilisons. Pour résoudre ces problèmes et d'autres encore, le concept d'un tiers de confiance responsable de la vérification d'identité est né.
La SSO repose sur un tiers de confiance pour authentifier les utilisateurs, éliminant ainsi le besoin de vérifier les informations d'identification sur chaque site web ou service. Lorsqu'un utilisateur se connecte à un site web, le site vérifie si un fournisseur de SSO a déjà authentifié cet utilisateur. Si la vérification est réussie, l'utilisateur accède au site sans avoir besoin de se connecter à nouveau ; sinon, l'utilisateur doit se connecter au site web. Bien que pratique, la SSO présente également certains risques. Par exemple, si le compte Gmail d'un utilisateur est compromis, tous les sites web ou services pour lesquels il a utilisé Gmail pour se connecter sont également exposés au risque.
L'authentification biométrique utilise les caractéristiques physiques pour déterminer l'identité de l'utilisateur. Cela comprend la numérisation des empreintes digitales, la reconnaissance faciale, la reconnaissance vocale, la numérisation de l'iris, etc. Fondamentalement, les biométriques couvrent l'élément d'authentification "quelque chose que vous êtes" dans l'exigence de l'authentification forte.
À la surprise de tous, les iPhones n'ont pas été les premiers à intégrer des biométriques dans leur offre. Le tout premier smartphone permettant l'authentification par empreinte digitale était le Motorola ATRIX, alimenté par Android. Apple a suivi le même chemin trois ans plus tard en remplaçant la fonction pratique des empreintes digitales par Face ID en 2017. 30 000 points infrarouges scannent le visage de l'utilisateur et déterminent son identité.
Aujourd'hui, les biométriques font partie de notre routine quotidienne - déverrouillage de nos smartphones, confirmation d'achats en ligne, etc. Ils sont extrêmement difficiles à falsifier et sont considérés comme l'une des méthodes d'authentification les plus sécurisées disponibles. Cependant, des débats sur les préoccupations liées à la vie privée continuent de soulever des questions juridiques.