Authentification / habilitation
Les authentifications, privilèges et habilitations des utilisateurs
Notions théoriques
Authentification et habilitation
-
Authentification : C'est le processus de vérification de l'identité d'une personne ou d'un système. Lorsque vous entrez votre mot de passe pour vous connecter à votre compte de messagerie, par exemple, vous vous authentifiez auprès du système de messagerie.
-
Habilitation : Une fois que vous êtes authentifié, l'habilitation détermine ce à quoi vous avez accès. Par exemple, un utilisateur standard peut ne pas avoir l'autorisation d'installer de nouveaux logiciels, tandis qu'un administrateur le peut.
Techniques d'authentification
Il existe plusieurs techniques d'authentification, parmi lesquelles :
-
Authentification par mot de passe : C'est la méthode la plus courante, qui consiste à entrer un mot de passe connu pour prouver son identité.
-
Authentification biométrique : Cette méthode utilise des caractéristiques physiques ou comportementales uniques, comme une empreinte digitale ou un modèle de frappe au clavier.
-
Authentification à deux facteurs (2FA) : Cette méthode utilise deux types de preuves d'identité, généralement quelque chose que vous savez (comme un mot de passe) et quelque chose que vous possédez (comme un téléphone mobile sur lequel vous recevez un code).
Compte local / itinérant
Compte local
Sous Linux
TODO : /etc/passwd et /etc/shadow
Sous Windows (base SAM)
Un compte local Windows est un compte utilisateur qui est spécifique à un ordinateur et les informations d'identification de ces comptes sont stockées localement sur l'ordinateur où ils ont été créés.
- La base SAM (Security Account Manager) est une base de données dans Windows qui stocke les comptes d'utilisateurs locaux.
Compte itinérant (Kerberos, LDAP)
Les comptes itinérants sont des comptes d'utilisateurs qui sont stockés sur un serveur et peuvent être accessibles depuis n'importe quel ordinateur sur le réseau.
-
Kerberos est un protocole d'authentification réseau qui permet l'authentification mutuelle entre un client et un serveur dans un environnement non sécurisé. Il utilise des "tickets" pour prouver l'identité des utilisateurs et des services, ce qui permet une authentification sécurisée sans avoir à transmettre des mots de passe en clair sur le réseau.
-
LDAP (Lightweight Directory Access Protocol) est un protocole qui permet d'accéder et de maintenir des informations distribuées dans un annuaire. Dans le contexte des comptes itinérants, LDAP peut être utilisé pour stocker et récupérer des informations sur les utilisateurs et leurs comptes.
TODO : Parler de l'Active Directory
Techniques d'habilitation
L'habilitation est généralement gérée par le système d'exploitation ou l'application.
Sous Linux
TODO : chmod et chown (rappel)
Sous Windows
Les utilisateurs peuvent être classés en plusieurs types, chacun ayant des niveaux d'habilitation différents :
-
Comptes administrateurs : Ces comptes ont le plus haut niveau d'habilitation et peuvent généralement effectuer toutes les tâches sur un système.
-
Comptes d'utilisateurs : Ces comptes ont des habilitations plus limitées et ne peuvent effectuer que certaines tâches, comme l'utilisation de logiciels spécifiques ou l'accès à certains fichiers.
-
Comptes invités : Ces comptes ont les habilitations les plus limitées et ne peuvent généralement effectuer que des tâches très basiques, comme naviguer sur Internet.
Bonnes pratiques
Il y a plusieurs bonnes pratiques en matière d'authentification et d'habilitation :
-
Utilisez toujours des mots de passe forts :
Un mot de passe fort est long (au moins 12 caractères), utilise une combinaison de lettres, de chiffres et de symboles, et n'est pas facile à deviner (par exemple, il n'utilise pas de noms ou de dates de naissance).
https://www.cnil.fr/fr/mots-de-passe
-
Utilisez l'authentification à deux facteurs lorsque c'est possible :
Cela ajoute une couche de sécurité supplémentaire et rend beaucoup plus difficile pour quelqu'un d'accéder à votre compte sans autorisation.
L'authentification à deux facteurs (2FA)
L'authentification à deux facteurs (2FA) est une méthode de vérification de l'identité d'un utilisateur qui nécessite 2 types distincts de preuves d'identité parmi les 3 types de preuves suivants :
-
Quelque chose que l'utilisateur sait : C'est généralement un mot de passe, un code PIN ou une réponse à une question de sécurité. C'est le type de preuve le plus couramment utilisé dans l'authentification en ligne.
-
Quelque chose que l'utilisateur possède : Cela peut être un objet physique comme une carte à puce, un token de sécurité, un téléphone mobile (sur lequel un code peut être envoyé par SMS ou généré par une application), ou même une adresse e-mail (où un lien d'authentification peut être envoyé).
-
Quelque chose que l'utilisateur est : Cela se réfère à des caractéristiques biométriques, comme les empreintes digitales, la reconnaissance faciale, la reconnaissance de l'iris ou la reconnaissance vocale. Ces caractéristiques sont uniques à chaque individu, ce qui les rend difficiles à copier ou à voler.
L'utilisation de l'authentification à deux facteurs augmente considérablement la sécurité, car un attaquant aurait besoin de compromettre deux types de preuves d'identité différents pour accéder au compte d'un utilisateur.
-
-
Limitez les habilitations au strict nécessaire :
Les utilisateurs ne devraient avoir que les habilitations dont ils ont besoin pour effectuer leurs tâches. Par exemple, un utilisateur qui n'a pas besoin d'installer de nouveaux logiciels ne devrait pas avoir cette habilitation.
-
Faites régulièrement des audits de sécurité :
Vérifiez régulièrement les habilitations de tous les utilisateurs pour vous assurer qu'ils sont appropriés.