0. Authentification

Créé le: Mis à jour:

7. Authentification à 2 facteurs (2FA)

TP 5. OAuth avec Google
TP 4. OAuth avec GitHub

Le contrôle des accès

Sommaire

v 0.1

Introduction

La confidentialité des données est assurée par le contrôle d'accès.
cf. 2. Trois grands principes de la sécurité CID

Le contrôle d'accès consiste à mettre en oeuvre les solutions matérielles et logicielles pour interdire les accès non autorisés à un ordinateur, un réseau, une base de données ou d'autres ressources dans le réseau d'une organisation.

La mise en oeuvre d'un contrôle d'accès recouvre trois services de sécurité désignés par les lettres AAA :

  • l'authentification ((Authentication),
  • l'autorisation (Authorization),
  • la journalisation (Accounting).

L'authentification

L'authentification permet de vérifier l'identité d'un utilisateur afin d'empêcher tout accès non autorisé.

Pour cela, un utilisateur doit :

  • prouver son identité au moyen d'un nom d'utilisateur ou d'un identifiant unique,
  • confirmer leur identité en fournissant l'un ou plusieurs des éléments suivants (facteurs):
    • Un élément qu'ils connaissent (comme un mot de passe) : facteur de connaissance,
    • Une chose qu'ils possèdent (comme un jeton ou une carte) : facteur de possession,
    • Un élément qui les caractérise (comme une empreinte digitale) : facteur d'inhérence.

cf. 7. Authentification à 2 facteurs (2FA)

L'autorisation

Une authentification réussie ne suffit pas pour accéder aux ressources de l'organisation.

Les services d'autorisation consistent :

  • à identifier les ressources auxquelles les utilisateurs peuvent accéder,
  • définir les opérations que les utilisateurs peuvent effectuer.

Les autorisations (ou privilèges) correspondent en général à une liste de contrôle d'accès ou ACL (Access Control List).

Les autorisations d'accès peuvent aussi contrôler les périodes au cours desquelles un utilisateur peut accéder à une ressource spécifique.

La journalisation

La journalisation permet de garder une trace et donc de suivre les actions des utilisateurs :

  • les ressources auxquels ils accèdent,
  • le temps d'accès aux ressources,
  • les modifications effectuées.

cf. 0. Les logs

Retour Haut de page