Retour
Cybersécurité

Identification, Authentification et Certification2

Ces trois mots prêtent souvent à confusion auprès de notre audience, il est temps de les démystifier très rapidement.
Gaël DEMETTE
21/12/2023 - 5 minutes

Identification

[…] moyen de « connaître » l’identité d’une entité, souvent à l’aide d’un identifiant tel qu’un nom d’utilisateur […]
— Wikipedia

Par analogie, l’identification, c’est demander à quelqu’un son identité. Si je mets un masque de panda, et que je dis “je suis un panda”, je me suis identifié correctement.

L’identifiant n’est pas caractérisé par son format, il peut être un email, un numéro de téléphone, un numéro unique, ou n’importe quoi. Il peut avoir un sens ou ne pas en avoir.
Par exemple, un numéro de sécurité sociale est un identifiant vis-à-vis de l’administration, il a un sens, car contient le sexe, le département de naissance, etc…
Identifier une personne par sa position dans une file d’attente peut également être un identifiant.
Un nom aléatoire attribué à une fête peut être un identifiant, etc…

Authentification

Cette fois, il s’agit de prouver mon droit/ma légitimité d’accès. Pour cela, c’est assez simple, là où l’identification est une présentation formelle, l’authentification sous-entend que l’accès aux ressources est restreint. Qu’il faut avoir un niveau d’accréditation pour y accéder. On va vérifier cette identité en vérifiant un certain nombre de facteurs/preuves d’identité.

Facteurs d’authentification

On parle de facteur ou de preuve pour parler de chaque élément me rapprochant d’une certitude quant à la légitimité de la personne pour accéder au service.

Pensez au mot de passe demandé dans un film pour accéder à la salle sécrète d’un restaurant où se déroule des jeux d’argent clandestins. Les personnes légitimes sont celles qui connaissent le mot de passe ou la combinaison sécrète de coups à frapper à la porte.

Je peux également arriver à la porte, donner le mot de passe, ce qui prouve ma légitimité, et donner mon nom, ce qui m’identifie. Si le vigile vérifie que mon nom se trouve bien sur la liste, cela devient un facteur d’authentification.

Maintenant, je veux accéder à un nouveau prototype militaire ultra secret, je vais passer un premier point de contrôle où on va vérifier mon identité (je bip avec un badge que l’on m’a donné), un second mes empreintes digitales, un troisième mon iris, et un dernier mon ADN. Ici, chaque élément pris indépendamment se trouve être des moyens d’identification. Croiser tous ses éléments donne une authentification à 4 facteurs. L’authentification c’est-à-dire l’action prouvant ma légitimité (raisonnement binaire, j’ai le droit ou je n’ai pas le droit) s’est effectuée à partir de 4 facteurs.

Quand on parle de MFA (multi factor authentication), c’est à cela qu’on pense. Attention, souvent le 2FA (two factor authentication) considère que le premier critère (nom d’utilisateur, email, numéro de téléphone…) n’a qu’un rôle d’identification (trouver l’utilisateur dans la base de données) afin de tester sur deux autres critères (jeton envoyé sur le téléphone et mot de passe par exemple) cette légitimité d’accès. En réalité si on considère le nom d’utilisateur comme un facteur, cela voudrait dire qu’il s’agit d’un 3FA.

Certification

Enfin, la certification c’est quand j’accompagne un ami à une soirée, que je me présente (ou qu’on me reconnaît) et qu’enfin je le présente. J’agis comme un tiers de confiance qui certifie que je connais cette personne et qu’elle est bien celle qu’elle prétend être. Cela peut être pour une ressource également, un collectionneur qui certifie qu’un objet est bien fonctionnel.

On utilise tous les jours la certification en informatique, premièrement coté logiciel, par exemple quand j’ouvre un logiciel téléchargé depuis une bibliothèque d’applications (play store, apple store, windows store, APT, …), souvent la plateforme certifie que le logiciel téléchargé provient bien de l’éditeur du dit logiciel, ce qui évite qu’un logiciel malveillant soit téléchargé par erreur.

Authentification unique

Quand je me connecte à un site via un tiers (“Me connecter via …”), on peut parler en un sens de certification, je me suis connecté au tiers, il partage des informations avec des éléments permettant au service de vérifier mon identité, et assure que ces informations sont fiables.

Il s’agit ici d’un cas particulier : l’authentification unique (ou SSO pour Single Sign-On).

Certification via blockchain

Dans ce contexte, considérez que la blockchain est un réseau d’ordinateurs permettant de créer une donnée, et d’assurer qu’elle n’a pas été modifiée. Plus le réseau comporte de membres (ordinateurs), plus il est considéré incorruptible. (C’est une explication partiellement fausse, mais qui tiens en trois lignes)

Un tier peut alors pousser une certification sur le réseau, certifiant qu’un individu, identifié par une liste de critères, est bien la personne qu’il prétend être. On peut alors considérer que c’est ce réseau qui certifie de l’identité d’une personne. D’un point de vue technique c’est pratique, le réseau ne peut pas être corrompu.

Cependant, il ne faut pas confondre confiance en ce réseau, et confiance en l’autorité certifiante (le tier de confiance). Il n’est pas possible de croire automatiquement un certificat émis sur le réseau, ce moyen technologique ne change rien en ces fondamentaux.

A vous de voir alors si vous avez besoin et si vous souhaitez sacrifier rapidité et énergie en faveur de cette fiabilité technique pour la diffusion du certificat.

Liens