L’enjeu de l’identité sur Internet
Sur Internet, média universellement accessible, d’usage quasiment gratuit, et indispensable à un grand nombre de services de la vie quotidienne moderne, le sujet de l’identité prend une dimension spécifique. Il existe bien entendu de nombreux contextes dans lesquels l’internaute préfère garder l’anonymat ou employer un pseudonyme plutôt que de révéler son identité.
Mais le problème est plutôt l’inverse : dans un monde où l’anonymat ou l’usage d’un pseudonyme est quasiment la règle, comment peut-on prouver qui l’on est, et inversement, comment vérifier à qui l’on a affaire ?
En effet, le nombre d’utilisateurs de services dématérialisés se compte aujourd’hui en milliards, et pourtant Internet ne s’est pas structuré à la manière d’un pays, dans lequel un registre d’État civil et des titres officiels d’identité permettent à chaque citoyen de prouver son identité, et à chaque service (banque, douane, etc.) de la vérifier.
La fonction d’identification des utilisateurs est donc entièrement laissée à la charge de chaque service dématérialisé. En fonction de la nature et des enjeux du service, les choix pourront être extrêmement différents.
Identification et authentification
La gestion d’identités et le contrôle d’accès sont fréquemment réunis sous le sigle IAM pour « Identity and Access Management ». Cet acronyme qui reproduit la phrase « I am » (« Je suis » en anglais) nous renvoie à deux notions très proches mais différentes : l’identification et l’authentification.
- S’identifier, c’est dire qui l’on est.
- S’authentifier, c’est le prouver.
Les différents modes d’identification et d’authentification
Selon le contexte et les enjeux du projet, l’identification et l’authentification pourront reposer sur des éléments de nature très différente, parmi lesquels on peut citer :
- l’identifiant et le mot de passe ;
- le mot de passe à usage unique ;
- le certificat d’authentification, pour un utilisateur ou pour un serveur ;
- le défi par question secrète.
Authentification faible et authentification forte
L’identification faible est caractérisée par le fait qu’elle repose sur un seul secret, et qu’elle est rejouable : si un pirate espionne la ligne et y écoute le secret, il pourra à son tour s’authentifier en lieu et place de l’utilisateur.
Un exemple de mode d’authentification faible est le mot de passe.
A contrario, l’authentification forte repose sur deux secrets complémentaires, et n’est pas rejouable en cas d’écoute : elle fonctionne sur la base d’un « défi – réponse » qui change à chaque accès.
Un exemple de mode d’authentification forte est l’usage du certificat : le défi est un aléa à usage unique, la réponse est un calcul mathématique réalisé sur ce défi à l’aide de la clef privée de la personne qui s’authentifie. Le correspondant vérifie la réponse à l’aide du certificat correspondant.
Annuaire, méta-annuaire et SSO
La constitution d’un référentiel d’entreprise est un défi complexe, tant les sources d’identité à mutualiser sont en général nombreuses dans une grande organisation : annuaires des différents services, ressources humaines, applications métier, annuaire téléphonique… On estime en général à 20% la quantité d’information erronée contenue dans les référentiels d’entreprise !
La mise en œuvre d’un méta-annuaire permet de fédérer et de synchroniser toutes ces sources d’information disparates afin de constituer un référentiel global, qui pourra alors servir à centraliser la fonction de contrôle d’accès grâce à un service d’authentification unique, le Single Sign-On (SSO).
Étendu au-delà des limites de l’entreprise, le SSO prend le nom de « fédération d’identités » et permet alors, en s’authentifiant auprès d’un système d’information, d’accéder également aux services de son cercle de confiance