Guide complet sur l’authentification par jeton

Les questions relatives à la gestion des identités peut être un peu abstraites. L’authentification vous est probablement déjà familière, ce que j’ai expliqué dans un article précédent. Au fond, l’authentification est une méthode permettant de vérifier qu’un utilisateur est bien celui qu’il prétend être, afin que des acteurs malveillants ne puissent pénétrer dans votre réseau. Contrairement aux mots de passe, qui peuvent être facilement compromis et utilisés par des hackers pour voler des données, les jetons sont plus sécurisés.

Poursuivez votre lecture pour découvrir :

• Un jeton, c’est quoi ?

• Pourquoi utiliser des jetons ?

• Qu’est-ce que l’authentification par jeton et comment fonctionne-t-elle ?

• Les avantages de l’authentification par jeton

• Types de protocoles d’authentification, utilisations et limites

Pour mieux comprendre l’authentification par jeton, prenons quelques exemples de « jetons », qui sont en fait des sortes de phrases ou de mots de passe secrets utilisés pour vérifier les identités.

Un personnage de dessin animé frappe (knocks) à une porte, une trappe s’ouvre laissant apparaître un visage qui attend une phrase secrète (« Joe m’a envoyé ») avant d’ouvrir la porte et de laisser les indésirables dehors. Il pourrait aussi s’agit d’une série spéciale de knocks (on frappe deux fois, pause, on frappe trois fois) au lieu d’une phrase secrète. 

Vous préférez peut-être les films d’espionnage, où deux personnes doivent trouver une manière discrète de vérifier leurs identités lorsqu’elles se rencontrent pour la première fois dans un lieu public. Le code secret est un message qu’elles ont convenu. L’espion qui cherche son contact dans un bar fait un commentaire qui semble anodin, auquel son contact réplique avec la bonne réponse pour vérifier son identité. C’est alors que la conversation ou la remise d’informations confidentielles pourra avoir lieu.

Qu’ils s’agisse de dessins animés ou de films, les jetons d’authentification sont des outils incroyablement utiles lorsque nous réalisons des transactions en ligne pour prouver notre identité lors des connexions, des mises à jour, des achats et autres procédures. Ce qui est bien avec les jetons, c’est qu’ils peuvent être simples, comme dans le cas d’une expérience de connexion, ou pas trop, en appliquant des « frictions » (supplémentaires ou ajoutées manuellement) comme je l’ai expliqué dans de précédents articles, pour s’assurer que vous êtes bien qui vous prétendez être et que vous voulez bien réaliser une action en particulier.

Étant donné que les jetons ne doivent pas contenir les données personnelles d’un utilisateur et qu’ils sont générés par algorithme/logiciel, ils protègent ces données des hackers. C’est une grande amélioration pour les entreprises qui utilisent le numéro de sécurité sociale de quelqu’un ou d’autres informations personnelles/privées telles que leur numéro de compte, qui permettent aux acteurs malveillants de voler plus facilement leurs identités. Ou les utilisateurs qui incluent des données personnelles dans leurs mots de passe, comme le nom de leur animal de compagnie, qui peuvent être facilement trouvés par les acteurs malveillants avec une recherche rapide sur les réseaux sociaux de l’utilisateur.

L’authentification avec des jetons peut être comparée à une conversation qui commence en ligne avec quelqu’un. Mais au lieu d’avoir deux personnes qui communiquent, des codes communiquent entre eux en coulisses, ayant convenu le même code secret ou symbole qu’ils partageant pour générer un jeton qui finalise le processus d’authentification. Vérifier l’identité de l’utilisateur avec un jeton empêche les utilisateurs non autorisés d’accéder à vos ressources.

Les jetons peuvent être utilisés à différentes étapes du processus d’authentification, notamment lors de l’authentification multi-facteurs (MFA) et à travers des protocoles travaillant sur le backend entre les applications, les API et/ou les sites web.

Oubliez un instant la technologie même pour regarder le problème que vous essayez de résoudre. Pour tenir les acteurs malveillants hors de votre réseau (où ils peuvent voler des données, installer des ransomwares, etc.), vous demandez aux utilisateurs légitimes de prouver leur identité. Lorsque nous utilisons un jeton qui vient d’une application telle que PingID, un badge ou un dongle que l’on branche sur notre ordinateur, nous empêchons les acteurs extérieurs d’interférer car le jeton est basé sur la clé privée qui se trouve dans l’appareil. Si vous rendez cela plus compliqué, ils choisiront le service d’un concurrent plutôt que le vôtre. Le « pourquoi », c’est choisir une solution d’authentification par jeton qui vérifie les utilisateurs sans entraîner de frictions ni de frustrations. Un processus qui fonctionne simplement rend les gens contents et maintient les données en sécurité. 

Bien sûr, la technologie n’est pas infaillible. Une mauvaise planification ou mise en œuvre peuvent empirer les choses, comme on a pu le voir dans les entreprises qui utilisent la technologie pour automatiser et simplifier les opérations pour améliorer l’expérience utilisateur, tout en réduisant le personnel. On connaît les attentes des clients. Lorsque l’authentification ou les systèmes automatisés ne fonctionnent pas, les gens sont frustrés et fâchés. Imaginez une compagnie aérienne avec une panne de système qui empêcherait les clients d’accéder à leur compte en ligne pour acheter des billets, s’enregistrer ou faire de nouvelles réservations. Les clients doivent patienter pendant des heures ou faire une longue queue à l’aéroport après l’annulation de leur vol. Reprendront-ils l’avion avec cette compagnie ?

Cela me rappelle une histoire. Ma mère avait pris l’avion pour un vol domestique, dans le cadre d’une visite. Je ne citerai pas la compagnie, aussi tentant que ce soit. Si ma mère prétend qu’elle ne maîtrise pas la technologie, ce n’est pas vrai. Elle a passé 30 minutes à essayer de confirmer sa réservation en ligne, sans jamais parvenir à entrer dans le système. Finalement elle a dû appeler et une employée sympathique lui est venue en aide. Lorsque cette employée lui a demandé si elle pouvait faire quelque chose d’autre, ma mère a demandé si les frais de 25 dollars pour l’assistance téléphonique pourraient être supprimés. L’employée a répondu par la négative, jusqu’à ce que ma mère lui rappelle que le site de la compagnie aérienne ne lui permettait pas d’effectuer sa confirmation en ligne. L’employée a finalement accepté de supprimer les frais. Les entreprises qui ne mesurent pas bien le poids de la technologie ou qui ne comprennent pas l’expérience utilisateur sont destinées à décevoir des clients et à les perdre.

Regardez cette courte vidéo sur l’identité client pour comprendre pourquoi l’expérience utilisateur est si importante.

Qu’ils s’agisse d’une compagnie aérienne, d’une banque ou d’un autre service, comprendre les applications auxquelles vos clients et vos employés doivent accéder pendant une session fait partie du processus permettant d’identifier les jeton qui seront nécessaires. Où se trouvent les applications (sur cloud ou sur site) et à qui appartiennent-elles (à votre entreprise ou à un partenaire) ? Les utilisateurs qui vérifient en ligne le solde de leur compte ne souhaitent pas devoir créer et utiliser des connexions différentes pour payer leurs factures et commander des carnets de chèques. Le plus simple est d’adopter une authentification forte, pouvant être utilisée le plus largement possible.

L’authentification par jeton est par essence plus sécurisée que d’autres formes d’authentification, en particulier les mots de passe. Voilà à quoi cela se résume.

Les avantages incluent :

• Apatride (autonome)

• Fournit un contrôle précis des accès

• Flexible : délai d’expiration (session ou plus long), échangeable et rafraîchissable

• Généré depuis n’importe où

• Simplifie le processus d’authentification

Désormais, les applications ne vivent plus nécessairement dans vos ordinateurs, elles sont dans le cloud. Votre ordinateur peut communiquer avec les applications cloud de votre entreprise, les applications cloud de votre partenaire ou des sites potentiellement non sûrs. Il y a une tendance croissante à communiquer avec les applications du cloud par le biais d’API (interfaces de programmation d’application), notamment des API RESTful. Ces connexions doivent être sécurisées pour que nos informations personnelles soient protégées.

Il existe de nombreux outils que nous pouvons utiliser pour l’authentification par jeton. Commençons par définir plusieurs protocoles d’authentification.

L’Open Authorization (OAuth) est née du Web social pour permettre aux utilisateurs de préciser les permissions d’autorisation sans dévoiler les identifiants des réseaux sociaux. OAuth est le standard qui décrit comment une application client obtient initialement un jeton d’accès. OAuth définit de nombreux types d’octroi pour s’adapter à divers flux et expériences utilisateur.

Le Security Assertion Markup Language (SAML) est le grand-parent des protocoles d’authentification et constitue toujours le pilier de l’authentification unique sur le Web (SSO, Single Sign-On). En permettant d’accéder à un ensemble de ressources avec un seul jeu d’identifiants, vous pouvez offrir un accès transparent aux ressources et éliminer la prolifération de mots de passe non sécurisés. En réalité le SAML ne précise aucune méthode d’authentification du côté du fournisseur d’identité.

OpenID Connect (OIDC), dans sa version 2.0 actuelle, est idéale pour les connexions entre des applications modernes trouvées sur le Web et différents types d’application qui utilisent les API RESTful. À mesure que les applications monopages (SPA, Single Page Application) gagnent en popularité, l’OIDC se révèle de plus en plus important.

Le Client Initiated Backchannel Authentication (CIBA) est une extension de OpenID Connect. Le CIBA dissocie l’application du client et le serveur d’authentification sans redirection par le biais du navigateur de l’utilisateur.

JSON Web Token (JWT) est un standard ouvert qui contient des objets JSON codés, notamment un ensemble de revendications qui ne peuvent pas être modifiées une fois qu’un jeton a été délivré. JWT est souvent utilisé pour les API Web, y compris les API RESTful, pour authentifier un utilisateur souhaitant accéder à l’API. 

Vous devez examiner vos besoins, vos cas d’utilisation et la structure de l’identité pour choisir le meilleur protocole pour votre entreprise. Par exemple, comparons SAML et OIDC.

• Chaque fois que vous travaillez avec une application monopage (SPA, Single Page Application), le SAML ne le supporte pas vraiment.

• Les nouvelles applications ont tendance à favoriser l’OIDC avec le CIBA.

• Probablement le plus important, l’OIDC peut être utilisé avec les applications (surtout les applis mobiles) tandis que le SAML est uniquement pour les applications Web.

Le choix du meilleur jeton d’authentification dépend de la situation. La décision de choisir OAuth, SAML, JWT ou un autre jeton d’authentification devrait s’appuyer sur vos applications, vos besoins et vos cas d’utilisation. 

Mon collègue, Lee Brewer, propose ci-dessous une présentation rapide de l’utilisation des jetons. Bien qu’elle ne soit pas complète, c’est un bon point de départ pour parler des jetons d’authentification et les choisir.

L’authentification par jeton pour les API Web est le processus d’authentification des utilisateurs ou les processus pour les applications dans le cloud. L’application de l’utilisateur envoie une demande au service d’authentification, qui confirme l’identité de l’utilisateur et délivre un jeton. L’utilisateur peut ensuite accéder à l’application.

L’authentification par jeton pour les API RESTful est plus simple à utiliser que les API Web les plus basiques. Il s’agit souvent d’un jeton JWT open standard ; le format ressemble à celui d’une adresse Web avec une longue série de caractères, un verbe (GET, PUT ou POST) et un point. Si vous voulez en savoir un peu plus sur le fonctionnement des API RESTful, le lien suivant pourrait vous intéresser..

Les jetons physiques et les jetons logiciels font partie du facteur d’authentification « quelque chose que vous avez » dans l’authentification multi-facteurs, typiquement utilisé après le « quelque chose que vous savez », comme la combinaison nom d’utilisateur-mot de passe, pour vérifier l’identité d’un utilisateur.

Les jetons physiques, également appelés jetons connectés, incluent les clés, les dongles et autres appareils à brancher dans votre ordinateur. Un mot de passe à usage unique ou passcode (OTP) est généré pour authentifier l’utilisateur avec le serveur d’authentification. Si nous voulons davantage sécuriser cet événement, nous pouvons aussi envisager d’ajouter un code PIN. Des frictions risquent d’être introduites, mais cela entraîne une authentification multi-facteurs en ajoutant « quelque chose que vous savez » au dongle « quelque chose que vous avez ».

Les jetons logiciels, également appelés jetons déconnectés, sont générés par des logiciels à travers des appareils que l’utilisateur a, comme les téléphones portables. Les OTP peuvent être utilisés pour authentifier l’identité de l’utilisateur, comme par exemple la biométrie avec le touch ID.

J’espère que dans cet article vous avez réussi à en savoir plus sur les raisons pour lesquelles une organisation pourrait vouloir inclure des jetons dans ses objectifs généraux d’authentification. Inclure des jetons d’authentification renforce la sécurité de cette partie de votre planification d’IAM. Pour en lire plus sur ce sujet, merci de consulter le Guide d’achat sur l’authentification multi-facteurs de Ping Identity pour en savoir plus sur la manière dont les jetons peuvent intégrer votre stratégie d’authentification.