mots de passe

Identification, authentification et autorisation : quelles sont les différences

Nous prenons l’exemple du raton laveur pour vous expliquer les différences entre l’identification, l’autorisation et l’authentification, et pourquoi la 2FA est nécessaire.

Alex Drozhzhin
22 Sep 2020

De nos jours cela arrive à tout le monde. Nous sommes constamment identifiés, authentifiés et autorisés par plusieurs systèmes. Pourtant, beaucoup ne comprennent pas bien le sens de ces mots et les mélangent. Ils parlent d’identification ou d’autorisation alors qu’en réalité ils font référence à l’authentification.

Ce n’est pas très important tant qu’il s’agit de conversations banales et que tout le monde se comprend. Il vaut mieux connaître le sens des mots que vous utilisez parce que tôt ou tard vous allez rencontrer un geek dont les explications vont vous rendre fou : autorisation versus authentification, ceci ou cela, plus ou moins, etc.

Qu’est-ce que les mots identification, authentification et autorisation veulent dire ? En quoi le processus est-il différent dans un cas ou dans un autre ? Nous allons d’abord demander à Wikipédia :

« L’identification est l’action consistant à identifier un objet ou un individu. »
« L’authentification est un processus permettant au système de s’assurer de la légitimité de la demande d’accès faite par une entité […] afin d’autoriser l’accès de cette entité à des ressources du système. » Par exemple, en comparant le mot de passe saisi avec celui stocké dans la base de données.
« L’autorisation est la fonction spécifiant les droits d’accès vers les ressources. »

Vous comprenez pourquoi certaines personnes qui ne connaissent pas bien ces concepts peuvent les confondre.

Des ratons laveurs pour expliquer les concepts d’identification, d’authentification et d’autorisation

Nous allons prendre un exemple pour que vous puissiez facilement comprendre. Imaginons qu’un utilisateur veuille se connecter à son compte Google. Google est un bon exemple parce que son processus de connexion est clairement divisé en plusieurs étapes de base. Voilà à quoi le système ressemble :

Tout d’abord, le système demande un identifiant. L’utilisateur le saisit et le système le reconnaît comme authentique. C’est l’identification.
Google demande ensuite un mot de passe. L’utilisateur le saisit et si le mot de passe correspond à celui de la base de données alors le système considère que l’utilisateur semble bien réel. C’est l’authentification.
Dans la plupart des cas Google demande alors d’introduire le code de vérification à usage unique reçu par SMS ou via une application d’authentification. Si l’utilisateur ne commet pas d’erreur alors le système reconnaît finalement qu’il est le véritable propriétaire du compte. C’est l’authentification à deux facteurs.
Enfin, le système autorise l’utilisateur à lire les messages de la boîte de réception et autres. C’est l’autorisation.

Une authentification sans identification n’a aucun sens. Il serait inutile de lancer la vérification avant même que le système ne sache quelle authenticité il doit vérifier. L’utilisateur doit d’abord se présenter.

De même, il serait absurde d’avoir une identification sans authentification. N’importe qui pourrait écrire un des identifiants de la base de données même si le système aurait besoin du mot de passe. Quelqu’un pourrait jeter un coup d’œil au mot de passe ou le deviner. Il vaut mieux demander une deuxième preuve que seul le vrai propriétaire peut avoir, comme un code de vérification à usage unique.

À l’inverse, il est possible d’avoir une autorisation sans identification, et encore moins avec une authentification. Par exemple, vous pouvez autoriser publiquement l’accès au document que vous stockez dans Google Drive pour que tout le monde puisse le voir. Dans ce cas, on vous dit peut-être qu’un raton laveur anonyme consulte votre document. Même si le raton laveur est anonyme, le système l’a autorisé et lui a donc permis de voir le document.

Pourtant, si vous n’avez autorisé que certains utilisateurs à lire le fichier, le raton laveur aurait dû être identifié (en fournissant son identifiant) puis authentifié (en introduisant son mot de passe et le code de vérification à usage unique) pour pouvoir avoir le droit de lire le document (autorisation).

Lorsqu’il s’agit de visionner le contenu de votre boîte de réception, Google n’autorisera jamais un raton laveur anonyme à lire vos messages. Le raton laveur devra se présenter comme étant vous, avec votre identifiant et votre mot de passe, et c’est à ce moment-là qu’il ne sera plus un raton laveur anonyme. Google vous identifie comme étant vous.

Vous savez désormais quelles sont les différences identification, authentification et autorisation. Un autre élément particulièrement important : l’authentification est peut-être le processus clé en termes de sécurité pour votre compte. Si vous utilisez un mot de passe faible pour vous authentifier alors un raton laveur pourrait pirater votre compte. Ainsi :

Choisissez des mots de passe complexes et uniques pour chaque compte.
Si vous n’arrivez pas à vous souvenir de tous vos mots de passe, un gestionnaire de mots de passe peut vous aider. Il vous permet aussi de générer de bons mots de passe.
Activez l’authentification à deux facteurs, avec un code de vérification à usage unique que vous recevez par SMS ou via une application d’authentification, lorsque le service est compatible. Si vous ne le faites pas, un raton laveur anonyme qui aura mis le grappin sur votre mot de passe pourra lire vos messages confidentiels ou faire quelque chose de bien plus méchant.

Le chat de Schrödinger : comment TikTok peut aider vos enfants à étudier

En configurant le fil d’actualités de vos enfants vous pouvez faire en sorte qu’ils voient des contenus pédagogiques.

Conseils

Souris, le petit oiseau (le vrai) va sortir, ou de nouvelles façons de reconnaître les deepfake

Comment distinguer une photo ou vidéo réelle d’un trucage et retracer sa provenance.

Passer à Kaspersky : guide de migration pas à pas

Comment faire passer la cyberprotection de votre ordinateur ou de votre smartphone à la solution de sécurité la plus primée de Kaspersky ?

Patron ou escroc ? Escroquerie sous couvert de demandes de votre patron

Vous avez reçu un message inattendu de la part de votre patron ou d’un collègue qui vous demande de « régler un problème » ? Attention aux escrocs ! Comment pouvez-vous vous protéger, vous et votre entreprise, contre une attaque potentielle ?

Assurer la sécurité du domicile

Les entreprises de sécurité proposent des technologies intelligentes, principalement des caméras, pour protéger votre maison contre les vols, les incendies et les autres incidents. Mais qu’en est-il de la protection des systèmes de sécurité eux-mêmes contre les intrus ? Nous comblons cette lacune.

Protection des enfants

Identification, authentification et autorisation : quelles sont les différences

Des ratons laveurs pour expliquer les concepts d’identification, d’authentification et d’autorisation

Le hack du jour : les mots de passe émoji

Utilisez-vous toutes les fonctionnalités de Kaspersky Password Manager ?

Le chat de Schrödinger : comment TikTok peut aider vos enfants à étudier

Conseils

Souris, le petit oiseau (le vrai) va sortir, ou de nouvelles façons de reconnaître les deepfake

Passer à Kaspersky : guide de migration pas à pas

Patron ou escroc ? Escroquerie sous couvert de demandes de votre patron

Assurer la sécurité du domicile

Abonnez-vous et recevez tous nos titres à la une par e-mail

Solutions pour les particuliers

TPE

PME

Grande entreprise

Securelist

Eugene Personal Blog

Encyclopédie de Kaspersky