Identification et authentification : similarités et différences

Dans un monde de plus en plus connecté, les utilisateurs font constamment l’objet d’identifications, d’authentifications et d’autorisations. Ces termes sont souvent employés de manière interchangeable, mais ils ne désignent pas la même chose et fonctionnent différemment pour accomplir des tâches spécifiques. 

L’identification consiste à identifier un utilisateur particulier, souvent par le biais d’un nom d’utilisateur. L’authentification consiste à vérifier l’identité de cet utilisateur, ce qui exige généralement la saisie d’un mot de passe. 

Ce n’est qu’une fois qu’un utilisateur a été identifié et authentifié qu’il peut être autorisé à accéder à des systèmes ou se voir octroyer des privilèges. L’attribution de droits et de privilèges pour des ressources spécifiques intervient lors du processus d’autorisation. L’identification et l’authentification répondent à des objectifs précis et sont des composants nécessaires de la sécurité des données. 

Identification et authentification : définitions

L’identification est la première étape de la plupart des transactions en ligne. Elle exige qu’un utilisateur « s’identifie », généralement en indiquant un nom, une adresse e-mail, un numéro de téléphone ou un nom d’utilisateur. Il s’agit du processus par lequel une personne décline son identité. 

Dans un environnement en ligne, il peut toutefois être difficile de vérifier qu’un individu donne sa véritable identité et qu’il est celui qu’il prétend être. 

Les identités peuvent être vérifiées en demandant des informations supplémentaires, souvent une pièce d’identité officielle. Le processus de vérification n’intervient généralement que lorsque vous créez un compte ou accédez à un site pour la première fois. Votre identité sera ensuite authentifiée, souvent par la création d’un mot de passe associé à votre nom d’utilisateur.

Lors de votre inscription, de votre premier accès ou de votre onboarding dans un système, un service ou une entreprise, après que votre identité a été vérifiée, une forme d’authentification est configurée. Elle sera requise lors de chaque nouvel accès au service ou à l’application. 

L’authentification numérique exige l’un des éléments suivants :

• Une information que vous connaissez : un mot de passe ou une question de sécurité
• Un élément que vous possédez : un jeton, une carte à puce, une carte d’identité ou une clé cryptographique
• Une caractéristique qui vous est propre : des données biométriques, comme votre visage ou une empreinte digitale

Le processus d’authentification est un moyen pour les utilisateurs de prouver qu’ils sont toujours ceux qu’ils prétendaient être pendant la phase d’identification. Les méthodes d’authentification les plus sécurisées ont recours à l’authentification multifacteur (MFA), qui exige l’utilisation de plusieurs formes d’authentification.

Autorisation : définition

L’autorisation consiste à accorder à un utilisateur un accès à des services ou au système, en lui octroyant des droits et des privilèges en fonction de l’identification et de l’authentification déjà effectuées. 

En 2020, on a comptabilisé près de 5 millions de signalements de cas de fraude et de vol d’identité. Les cybercriminels volent des informations personnelles et se font passer pour des utilisateurs légitimes. 

Le processus d’autorisation aide à s'assurer qu’une personne est celle qu’elle prétend être, qu’elle est autorisée à accéder à des services particuliers et qu’elle dispose de certains privilèges. Pour être efficace, l’autorisation doit intervenir après l’identification et l’authentification.

À quel moment chaque protocole est appliqué

L’identification a lieu pendant la phase de configuration initiale des comptes et services, et pendant l’onboarding dans une entreprise. Il est nécessaire de fournir des informations personnelles pour identifier une personne et vérifier son identité par la suite. 

La vérification de l’identité peut impliquer de fournir des documents d’identification, de renseigner des informations que seule la personne est censée connaître ou de saisir des données à caractère personnel comme un numéro de sécurité sociale ou un numéro d’identification national. En général, l’identification intervient chaque fois qu’un utilisateur accède à un compte ou à un service à l’aide d’un nom d’utilisateur.

L’authentification intervient dans un second temps. Elle met en correspondance un utilisateur avec les informations précédemment fournies pour s’assurer qu’il est bien celui qu’il prétend être. L’authentification a lieu lorsqu’un utilisateur saisit un mot de passe ou fournit les informations demandées. Le système compare alors les informations fournies avec celles qu’il a enregistrées précédemment et s’assure qu’elles correspondent.

Les systèmes d’authentification peuvent également demander un code de vérification à usage unique pour s’assurer que l’identité de l’utilisateur est légitime. Ce code est souvent envoyé à une adresse e-mail ou à un numéro de téléphone précédemment fourni, et doit être saisi par l’utilisateur comme facteur d’authentification supplémentaire. Ce n’est qu’une fois l’identification et l’authentification effectuées que l’autorisation intervient.

Enfin, le système accordera un accès ou octroiera des droits et des privilèges à l’utilisateur après l’avoir autorisé. L’autorisation permet de protéger les ressources d’un système ainsi que les utilisateurs individuels en prévenant les utilisations et les accès non autorisés. 

Comment l’identification, l’authentification et l’autorisation sont utilisées

Prenons un exemple :

1. L’utilisateur s'enregistre dans le système en fournissant des informations d’identification.
2. L’utilisateur configure un facteur d’authentification, tel qu’un mot de passe, pour les accès ultérieurs.
3. L’utilisateur revient pour se connecter et le système demande l’identification (nom d’utilisateur) et le facteur d’authentification (mot de passe).
4. Le système authentifie l’utilisateur en vérifiant que les informations sont correctes et qu’elles correspondent aux informations enregistrées.
5. L’utilisateur se voit accorder un accès aux systèmes et ressources que l’administrateur a autorisés.

Ressources supplémentaires

Pour sécuriser vos données à caractère personnel en ligne, vous devez protéger votre identité et utiliser des processus d’authentification forte. Voici quelques conseils pour créer un mot de passe fort. 

Un gestionnaire de mots de passe peut vous aider à conserver un mot de passe fort et difficile à deviner par les cybercriminels. Modifiez régulièrement vos mots de passe et n’utilisez pas le même mot de passe sur plusieurs sites. 

Il est également recommandé d’employer un processus d’authentification à deux facteurs minimum, par exemple un mot de passe et un code de vérification. De nombreux sites intègrent l’authentification à deux facteurs de manière native. 

Une authentification multifacteur utilisant trois facteurs d’authentification ou plus est encore mieux. Plus vous fournissez de facteurs d’authentification, plus votre compte sera sécurisé. L’utilisation d’informations biométriques (empreintes digitales, scans de la rétine, reconnaissance faciale) peut également renforcer la sécurité.

L’authentification est sans aucun doute essentielle pour protéger les comptes en ligne et renforcer la sécurité des données et ressources.

Références

Multi-Factor Authentication : Who Has It and How to Set It Up. Janvier 2022. PC Mag. 

Facts + Statistics : Identity Theft and Cybercrime. 2022. Insurance Information Institute, Inc. 

What Makes a Good Password ? 9 Rules to Protect You From Cyberattacks. Février 2022. CNET.

Biometrics. Décembre 2021. U.S. Department of Homeland Security (DHS).