Sécurité : Authentifier les utilisateurs


Reconnaître ses utilisateurs pour pouvoir ensuite leur donner les accès nécessaires.

Pour assurer qu’un utilisateur accède uniquement aux données dont il a besoin, il doit être doté d’un identifiant qui lui est propre et doit s’authentifier avant toute utilisation des moyens informatiques.

Les mécanismes permettant de réaliser l’authentification des personnes sont catégorisés selon qu’ils font intervenir :

  • ce que l’on sait, par exemple un mot de passe ;
  • ce que l’on a, par exemple une carte à puce ;
  • une caractéristique qui nous est propre, par exemple une empreinte digitale, ou la manière de tracer une signature manuscrite. Pour rappel, la loi Informatique et Libertés subordonne l’utilisation de la biométrie à l’autorisation préalable de la CNIL.

L’authentification d’un utilisateur est qualifiée de forte lorsqu’elle a recours à une combinaison d’au moins deux de ces catégories.

Les précautions élémentaires

Définir un identifiant unique par utilisateur et interdire les comptes partagés entre plusieurs utilisateurs. Dans le cas où l’utilisation d’identifiants génériques ou partagés est incontournable, exiger une validation de la hiérarchie et mettre en œuvre des moyens pour les tracer.

Respecter la recommandation de la CNIL dans le cas d’une authentification des utilisateurs basée sur des mots de passe, notamment en stockant les mots de passe de façon sécurisée et en appliquant les règles de complexité suivantes pour le mot de passe :

  • au moins 8 caractères comportant 3 des 4 types de caractères (majuscules, minuscules, chiffres, caractères spéciaux) si l’authentification prévoit une restriction de l’accès au compte (cas le plus courant) comme :
    • une temporisation d’accès au compte après plusieurs échecs ;
    • un « Captcha » ;
    • un verrouillage du compte après 10 échecs ;
  • 12 caractères minimum et 4 types de caractères si l’authentification repose uniquement sur un mot de passe ;
  • plus de 5 caractères si l’authentification comprend une information complémentaire. L’information complémentaire doit utiliser un identifiant confidentiel d’au moins 7 caractères et bloquer le compte à la 5ème tentative infructueuse ;
  • le mot de passe peut ne faire que 4 caractères si l’authentification s’appuie sur un matériel détenu par   la personne et si le mot de passe n’est utilisé que pour déverrouiller le dispositif matériel détenu en propre par la personne (par exemple une carte à puce ou téléphone portable) et qui celui-ci se bloque à la 3ème tentative infructueuse.

Des moyens mnémotechniques permettent de créer des mots de passe complexe, par exemple :

  • en ne conservant que les premières lettres des mots d’une phrase ;
  • en mettant une majuscule si le mot est un nom (ex : Chef) ;
  • en gardant des signes de ponctuation (ex : ’) ;
  • en exprimant les nombres à l’aide des chiffres de 0 à 9 (ex : Un -> 1) ;
  • en utilisant la phonétique (ex : acheté > ht).

Exemple, la phrase « un Chef d’Entreprise averti en vaut deux » peut correspondre au mot de passe 1Cd’Eaev2.

Obliger l’utilisateur à changer, dès sa première connexion, tout mot de passe attribué par un administrateur ou automatiquement par le système lors de la création du compte ou d’un renouvellement consécutif à un oubli.

Ce qu’il ne faut pas faire

  • Communiquer son mot de passe à autrui.
  • Stocker ses mots de passe dans un fichier en clair, sur un papier ou dans un lieu facilement accessible par d’autres personnes.
  • Enregistrer ses mots de passe dans son navigateur sans mot de passe maître.
  • Utiliser des mots de passe ayant un lien avec soi (nom, date de naissance, etc.).
  • Utiliser le même mot de passe pour des accès différents.
  • Conserver les mots de passe par défaut.
  • S’envoyer par e-mail ses propres mots de passe.

Pour aller plus loin

  • Privilégier l’authentification forte lorsque cela est possible.
  • Limiter le nombre de tentatives d’accès aux comptes utilisateurs sur les postes de travail et bloquer temporairement le compte lorsque la limite est atteinte.
  • Imposer un renouvellement du mot de passe selon une périodicité pertinente et raisonnable.
  • Mettre en œuvre des moyens techniques pour faire respecter les règles relatives à l’authentification (par exemple : blocage du compte en cas de non renouvellement du mot de passe).
  • Éviter, si possible, que les identifiants (ou logins) des utilisateurs soient ceux des comptes définis par défaut par les éditeurs de logiciels et désactiver les comptes par défaut.
  • Utiliser des gestionnaires de mots de passe pour avoir des mots de passe différents pour chaque service, tout en ne retenant qu’un mot de passe maître.
  • Stocker les mots de passe de façon sécurisée au minimum hachés avec une fonction de hachage cryptographique utilisant un sel ou une clé, et au mieux transformés avec une fonction spécifiquement conçue à cette fin utilisant toujours un sel ou une clé (voir fiche n° 17). Une clé ne doit pas être stockée dans la même base de données que les empreintes.
  • Se référer aux règles et recommandations concernant les mécanismes d’authentification publiées  par l’ANSSI dès lors que des mécanismes d’authentification forte sont mis en œuvre, notamment ses annexes B3 et B1 s’agissant respectivement des mécanismes d’authentification et des mécanismes cryptographiques.

Les mots clés associés à cet article