Les autres moyens d’authentification

Publié le mardi 13 décembre 2016 par Virginie Cours


Nous avons vu précédemment comment créer des mots de passe sécurisés à partir d’une phrase facile à mémoriser. Cette première étape, indispensable et essentielle, ne suffit plus.

En effet, un mot de passe peut être transmis à un tiers et être ainsi utilisé par plusieurs personnes à la fois. Il n’y a aucun moyen de savoir, à un instant T, qui a connaissance de ces identifiants. Nous touchons ici aux limites du couple login/password qui apporte peu de garanties sur l’authentification. Il convient alors de s’intéresser à l’authentification forte.

L’identification consiste à dire qui l’on est, l’authentification consiste à le prouver.

L’authentification repose sur l’un, au moins, des trois facteurs suivants:

  • ce que l’on sait (un mot de passe)
  • ce que l’on est (biométrie)
  • ce que l’on possède (carte, certificat)

 

On parlera :

 

- d'authentification simple lorsqu’elle ne repose que sur un seul élément ou « facteur ». L'utilisateur indique son mot de passe.

 

- d'authentification forte ou dite « multi-facteurs » lorsqu’elle repose sur deux facteurs ou plus. Par exemple:

  • l’utilisateur utilise une carte à puce, ou une clé USB contenant un certificat, ainsi que le code PIN associé ⇒ ce qu’il connaît, le code PIN, et ce qu’il possède, la carte ou clé USB
  • l’utilisateur utilise son mot de passe et reçoit un OTP (One Time Password, code à usage unique) par téléphone (il aura préalablement renseigné le n° de téléphone utilisé, auprès du site concerné par cette authentification) ⇒ ce qu’il connait, le password, ce qu’il possède, le téléphone.
  • l’utilisateur utilise une carte génératrice d’OTP (type SecurID) ⇒ ce qu’il possède, la carte, ce qu’il connaît, le code PIN associé à la carte qui permet de générer l’OTP,

 

ex. Certains fournisseurs de services comme Google, Facebook, Apple ou encore Paypal proposent de mettre en place une double authentification. Concrètement cela permet, en plus du login et du mot de passe classique, de valider l’authentification en une seconde étape qui consiste généralement à saisir un code à usage unique envoyé par SMS. Une fois l’accès validé, l’ordinateur (ou autre) fait parti des périphériques dit « de confiance ».

 

ex. Les banques pour les paiements en ligne avec réception d’un OTP pour valider l’utilisation de la carte bancaire.

 

La carte CPS ou carte de professionnel de santé est une carte d’identité professionnelle électronique. Elle contient les données d’identification de son porteur (identité, profession, spécialité) mais aussi ses situations d’exercice (cabinet ou établissement).  Elle constitue le maillon final d’une chaîne de confiance qui permet à son titulaire d’attester de son identité et de ses qualifications professionnelles. Elle est protégée par un code confidentiel propre à son porteur (code PIN : personal identification number).  

Elle permet aux professionnels de santé de :

  • S’identifier et s’authentifier afin d’éviter une usurpation de leur identité;
  • Apposer leur signature électronique sur des documents ;
  • Transmettre les feuilles de soins électroniques aux organismes d’Assurance Maladie obligatoires et complémentaires ;
  • Créer, alimenter et consulter le Dossier Médical Personnel de leurs patients;
  • Réaliser des actes médicaux à distance (télémédecine) ;
  • Utiliser la messagerie sécurisée des professionnels de santé ;
  • Grâce à la technologie sans contact de la version 3, elle peut être utilisée pour d’autres applications comme l’accès à des locaux.

La carte de professionnel de santé, jusqu’à présent utilisée principalement dans le cadre de la production des feuilles de soins électroniques de l’assurance maladie, est dorénavant inscrite dans la loi (article L.1110-4 du code de la santé publique) comme un outil obligatoire imposé pour l’accès aux données de santé à caractère personnel.

Chargement en cours