Pour protéger l’accès aux services digitaux, il est nécessaire d’utiliser des identifiants propres à chacun. Dans le cas de Facebook, une adresse email et un mot de passe. Pour l’assurance maladie via ameli.fr, un numéro de sécurité sociale et un code d’accès.
La multiplication des applications au quotidien dans le cadre privé et professionnel nous oblige à mémoriser toujours plus d’identifiants et de mots de passe.
Combien pouvez-vous en retenir sans vous tromper et vous résoudre à cliquer sur le petit « Mot de passe oublié » ? À cause de la difficulté, de nombreuses personnes utilisent les mêmes mots de passe ou des mots simples à retenir. Ces pratiques nous rendent pourtant extrêmement vulnérables aux attaques par dictionnaire. Pire encore, trop de gens continuent de noter leurs codes d’accès sur des post-it, là où tout le monde peut les voir.
Le SSO et la fédération d’identités ont vu le jour pour pallier ces différents mésusages.
Le Single Sign-On (SSO) : l’authentification unique
Rappels :
Tout d’abord, une identité est le moyen de distinguer un individu parmi d’autres dans un groupe. Pour un être humain, ce sont ses nom, prénom, adresse, date et lieu de naissance, etc. De même, en informatique, il est nécessaire d’effectuer la même démarche pour les individus et les machines. Ainsi, l’identification est un processus déclaratif qui permet d’attribuer une identité numérique à un être humain ou à un ordinateur. Cela peut être à l’aide d’adresses IP ou d’identifiants tels qu’email, pseudonyme, nom, numéro de sécurité sociale ou fiscal. Un utilisateur possède une multitude d’identités numériques, qui ne sont pas toutes caractérisées par les mêmes attributs.
L’authentification consiste à vérifier l’identité de l’utilisateur, afin de corréler son identité réelle, qui est unique, et son identité numérique. À cette fin, différents types de facteurs d’authentification existent :
- Le savoir : mot de passe, code d’accès, questions/réponses.
- L’existence : données biométriques, empreintes digitales, rétiniennes
- La possession : un téléphone mobile, une clé USB, une carte à puce.
Bien sûr, plusieurs facteurs peuvent être combinés pour s’assurer que le sujet est bien celui qu’il prétend être. Cela se décide selon le niveau d’authentification souhaitée.
Single Sign-On (SSO) : l’authentification unique
Le SSO, ou authentification unique, désigne un mécanisme dans lequel un utilisateur accède à plusieurs services par une seule authentification.
Plusieurs moyens techniques existent :
- Serveur LDAP : service d’annuaire informatique, une base d’infos sur les utilisateurs.
- Système CAS : Central Authentication Service par l’Université de Yale
- La fédération d’identités
Selon la méthode, il est possible de préciser Web Single Sign-On (WebSSO) ou Enterprise Single Sign-On (eSSO).
Premièrement, WebSSO fournit un framework d’authentification : un portail entre l’utilisateur et l’application. C’est une approche plus intégrée que le SSO simple, qui se concentre sur les applications Web.
Ensuite, eSSO consiste à installer un agent SSO (un exécutable) sur le poste de l’utilisateur. Celui-ci fournit automatiquement les identifiants utilisateur aux applications. eSSO supporte pratiquement tous les types d’applications, pas seulement Web.
Les deux technologies peuvent être intégrées ensemble pour répondre le mieux possible aux besoins clients.
SSO : simplicité, réduction des coûts de gestion et renforcement de la sécurité
Les avantages à mettre en œuvre le SSO dans les entreprises sont nombreux :
- Une plus grande commodité et un gain de temps aux utilisateurs.
- Réduction des coûts de support : ayant moins de mots de passe à retenir, les utilisateurs requièrent moins d’assistance pour créer, supprimer ou mettre à jour leurs facteurs d’authentification.
- Renforcement de la sécurité : la robustesse des mots de passe individuels peut être améliorée pour mieux résister aux attaques.
La fédération d’identités
Puisque l’utilisateur se connecte à de nombreuses applications différentes, afin de résoudre les mésusages cités plus haut, il est nécessaire de :
- Coordonner différents domaines de sécurité.
- Répondre à un besoin de confiance de l’utilisateur et de toutes les entités concernées, surtout pour les services régaliens ou sensibles.
- Avoir une identité numérique unique, ou au moins pouvoir mieux gérer celles que l’on possède.
- N’avoir à se connecter qu’une fois pour accéder à tous ces services.
L’authentification unique se concentre seulement sur ce dernier point.
Pour aller plus loin, la fédération d’identités propose une réponse commune à ces enjeux, tout en conservant le confort du SSO.
Définitions préliminaires
Un fournisseur d’identité, ou Identity Provider (IdP), est une entité qui crée, maintient et gère les identités numériques de l’utilisateur ainsi que ses facteurs d’authentification. Pour ces derniers, l’IdP s’appuie généralement sur un serveur d’authentification. Google, Facebook et Amazon Web Services (AWS) font partie des IdP les plus populaires. Pour les entreprises, citons par exemple les fournisseurs d’identité Microsoft Active Directory et OpenLDAP.
Un fournisseur de service, ou Service Provider (SP), est un prestataire qui fournit des logiciels ou des services informatiques à ses clients via un réseau, en général Internet. C’est le cas des services de l’Etat, de santé, les banques et assurances mais aussi de toutes les applications qui ne sont pas de confiance (TikTok, réseaux sociaux, e-commerce…).
Qu’est-ce que la fédération d’identités ?
Il s’agit d’une association entre fournisseurs de service (SP) et fournisseurs d’identité (IdP) de différents domaines de sécurité. Certains IdP sont aussi SP : le site des impôts, La Poste ou ameli. Le mot fédération signifie ici regroupement. Elle se met en place grâce à des règles de gouvernance. Ces règles spécifient comment les IdP peuvent échanger des informations d’identité. Une relation de confiance se crée alors entre les différents acteurs : l’utilisateur, les SP et IdP.
Différents protocoles assurent cette relation :
- SAML2
- WS-Federation
- OpenID Connect
Lorsqu’un individu souhaite se connecter à une application protégée, il est redirigé vers l’IdP. Si l’authentification réussit, ce dernier délivre un jeton d’accès à l’utilisateur. Ce jeton est une identité numérique sécurisée pour une seule session de connexion. Le fournisseur de service l’évalue ensuite pour donner accès au service.
La fédération d’identités peut être établie par une multinationale ou un consortium d’entreprises ou d’associations. Les attributs d’identité échangés par les IdP sont souvent non vérifiés et virtuels, tel qu’un pseudonyme ou une adresse mail. Si l’identité numérique se base sur l’identité réelle d’un citoyen (base d’Etat-civil), les attributs partagés entre les IdP et les SP sont vrais. On parle de fédération d’identités souveraine. C’est le cas de FranceConnect.
Différence d’identification et d’authentification avec et sans fédération d’identités
Pour chaque fournisseur de service, l’utilisateur s’authentifie avec des identifiants spécifiques à chaque SP.
Mais ne doit s’authentifier qu’avec l’identifiant et facteur d’authentification de l’IdP en cas de fédération d’identités.
Exemple de fédération d’identités et SSO grâce à FranceConnect
L’authentification par IdP de confiance
Si un utilisateur veut se connecter au site impots.gouv.fr, il a deux options. Il peut se créer un compte personnel ou s’identifier via le dispositif FranceConnect. Ce dernier vérifie son identité grâce à un autre IdP de confiance choisi par l’utilisateur, comme ameli. L’utilisateur saisit alors son numéro de sécurité sociale et son code d’accès sur ameli. Une fois l’authentification réussie, ameli renvoie les informations d’identité nécessaires à FranceConnect, qui les valide auprès de l’INSEE (base d’Etat-civil). Le SP ameli joue ici le rôle d’IdP. FranceConnect fournit ensuite les informations au SP impots.gouv.fr pour que l’utilisateur puisse accéder au site.
Ce modèle démontre également comment la fédération d’identités rend possible l’authentification unique (SSO). En effet, l’utilisateur ne s’authentifie qu’une fois et accède ensuite à une multitude de services : impots.gouv.fr, permisdeconduire.ants.gouv.fr, etc. Il faut cependant mentionner qu’une création de compte est parfois nécessaire après la connexion via FranceConnect.
C’est le cas par exemple du site info-retraite.fr. En se connectant via FranceConnect avec authentification sur ameli, certaines parties de l’identité de l’utilisateur sont partagés. Il s’agit ici de noms, prénoms, date de naissance, civilité, etc. L’individu est informé de la liste complète. Il doit ensuite créer un compte info-retraite et fournir notamment son numéro de sécurité sociale. En effet, cette donnée n’a pas été transmise par ameli : elle ne fait pas partie du socle minimal d’informations partagées.
Un système cependant non sans risques
Si un individu malveillant réussit à trouver l’identifiant et le code d’accès ameli d’un utilisateur, il peut se connecter à tous les autres services via FranceConnect. Il est donc recommandé de :
- Choisir un mot de passe robuste plus résistant aux attaques, notamment par force brute.
- Ne pas réutiliser le même mot de passe. En effet, si l’identité numérique d’une personne est découverte avec son moyen d’authentification (comme par exemple un couple identifiant/mot de passe) alors on se restreint à un seul SP piraté. Pour accéder aux autres fournisseurs de services, il faut casser d’autres mots de passe.
- Mettre en place une authentification forte.
Nous vous accompagnons de bout en bout dans vos projets pour renforcer la manière dont vous vous authentifiez, depuis le choix de la solution adaptée à vos besoins métiers jusqu’à la formation des administrateurs et utilisateurs de la solution.