CHAPITRE 2

APPLIQUER LES DROITS NÉCESSAIRES

POUR SÉCURISER L’INFORMATION

Ce que vous allez apprendre dans ce chapitre :

• Définir les principes relatifs au contrôle d’accès

• Découvrir les différentes méthodes d’authentification (mot
de passe, biométrique, renforcée, etc.)
• Présenter les règles d’autorisation et le besoin de la
traçabilité

4 heures
 CHAPITRE 2
APPLIQUER LES DROITS NÉCESSAIRES
POUR SÉCURISER L’INFORMATION

1. Contrôle d’accès
2. Méthodes d’authentification
3. Règles d’autorisation et traçabilité
4. Quiz sur les notions de la sécurisation de l’information
 02 - Appliquer les droits nécessaires pour sécuriser
l’information
Contrôle d’accès

Contrôle d’accès
• Le contrôle d'accès est un concept fondamental de la sécurité de l’information.
• Il dicte qui ou quoi est autorisé à utiliser des ressources dans un environnement informatique.
• Deux types de contrôle d'accès peuvent être distingués :
Le contrôle d'accès physique : limite l'accès aux lieux (bâtiments, salles, etc.) et aux ressources informatiques physiques (serveurs, disques durs, etc.).
Le contrôle d'accès logique : limite les connexions aux systèmes informatiques, aux réseaux, aux fichiers et aux données.

• Comme illustré dans la figure ci-contre, les éléments de base du contrôle d’accès sont trois :
• Sujet : entité capable d’accéder à un objet. Généralement, un sujet est tenu
d’être responsable des actions qu'ils exécutent sur un objet. Trois classes de
sujets peuvent être distingués : groupe, propriétaire, tout le monde ;
• Objet : ressource généralement utilisée pour contenir et/ou recevoir des
informations sensibles. Pour cette raison, l’accès à cet objet est contrôlé pour le
PARTIE 2

limiter aux sujets autorisés ;

• Droit d’accès : décrit la manière d’accès à un objet. Les principaux droits d’accès
à un objet sont : lire, écrire, exécuter, supprimer, créer, et rechercher.

Les éléments de base du contrôle d'accès

Copyright - Tout droit réservé - OFPPT 83
 02 - Appliquer les droits nécessaires pour sécuriser
l’information
Contrôle d’accès

Étapes de gestion de contrôle d’accès

• Le contrôle d’accès peut être assuré via trois étapes primordiales, qui sont :
Authentification, Autorisation, et Traçabilité (Accounting, en anglais). L’abréviation de Authentification
ces étapes est AAA.
• Authentification : processus de vérification de l’identité d’une entité (utilisateur,
application, etc.) qui demande d’accéder à une ressource. Comme illustré dans la figure
ci-contre, une entité, qui s’est authentifiée avec succès (c.à.d., il a pu prouver son Autorisation
identité), peut passer à la deuxième étape du contrôle d’accès ;
• Autorisation : processus de vérification des permissions accordées à l’entité en
question vis-à-vis de la ressource sollicitée. Généralement, la vérification utilise les
informations de preuve d’identité fourni dans l’étape d’authentification. Après Accounting
vérification, une entité autorisée pourra accéder à la ressource sollicitée. Dès que
l’entité bénéficie de l’accès à la ressource, la troisième étape sera lancée ;
• Traçabilité : processus de suivi des activités d’une entité durant son accès à une ou Les étapes de gestion du contrôle d’accès
plusieurs ressources, tel que la durée d’accès, les modifications effectuées, etc. Les
informations collectées durant ce processus, souvent appelés traces numériques, sont
PARTIE 2

conservées dans des fichiers journaux (log).

Copyright - Tout droit réservé - OFPPT 84

 CHAPITRE 2
APPLIQUER LES DROITS NÉCESSAIRES
POUR SÉCURISER L’INFORMATION

1. Contrôle d’accès
2. Méthodes d’authentification
3. Règles d’autorisation et traçabilité
4. Quiz sur les notions de la sécurisation de l’information
 02 - Appliquer les droits nécessaires pour sécuriser
l’information
Méthodes d’authentification

Méthodes d’authentification
Trois grandes classes de méthodes d’authentification peuvent être distinguées. Ces trois classes ainsi qu’un ensemble d’exemples sont illustrés dans la figure ci-dessous.
PARTIE 2

Classification des méthodes d’authentification

Copyright - Tout droit réservé - OFPPT 86

 02 - Appliquer les droits nécessaires pour sécuriser
l’information
Méthodes d’authentification

Authentification avec mot de passe

• L’authentification avec mot de passe est une méthode d'authentification qui est basée sur la vérification d’un secret partagé avec l’utilisateur.
• C’est la méthode d’authentification la plus répandue, pour les raisons suivantes :
• La plus simple à mettre en œuvre ;
• La moins gourmande en consommation d’énergie (à cause de la simplicité des algorithmes de vérification) ;
• La moins couteuse (ne nécessite pas des équipements de vérification spécifiques).
• Toutefois, l’authentification avec mot de passe offre un minimum de sécurité qui dépend essentiellement de la robustesse du mot de passe (longueur, niveau de
complexité, caractères aléatoires, etc.).
• L’authentification avec mot de passe présente plusieurs risques qui reposent sur :
• L'utilisation des mots de passe simples (vulnérable aux attaques par dictionnaire) ;
• L'échange des mots de passe sur les réseau informatique (vulnérable aux attaques d’interception de trafic) ;
• Le stockage des mots de passe en claire ;
• L'utilisation fréquente du même mot de passe pour une longue période (vulnérable aux attaques par force brute).
PARTIE 2

• Attaque par dictionnaire : une attaque qui profite de l’utilisation des mots courant et des mots de passe courts. Elle consiste à essayer une liste de mots courants et un
dictionnaire de mots de passe. Généralement, exécuté à l’aide d’un logiciel tel que John the ripper.
• Attaques par force brute : une attaque qui profite de l’utilisation d’un mot de passe pour une longue période. Elle consiste à tester toutes les combinaisons possibles
jusqu’à la découverte du mot de passe

Copyright - Tout droit réservé - OFPPT 87

 02 - Appliquer les droits nécessaires pour sécuriser
l’information
Méthodes d’authentification

Authentification par Jeton

• L’athentification par jeton est une méthode basée sur l’authentification avec mot de passe. Toutefois, elle permet de faire face à certaines limites de l’authentification
avec mot de passe (utilisation fréquente des mots de passe et échanges dans le réseau) tout en bénéficiant de ses avantages.
• Le principe de l’authentification par jeton est le suivant :
Un utilisateur qui désire accéder à une (aux) ressource(s) dont l’accès est contrôlé, fournit ses identifiants (le couple login/mot de passe) via une interface
affichée par un client ;
Ce couple est transmis à un serveur d’authentification qui vérifie l’authenticité de l’utilisateur ainsi que l’autorisation d’accès accordée ;
Un utilisateur autorisé qui s’est authentifié avec succès, reçoit un jeton d’accès unique (un code aléatoire) pour une durée limitée via le client ;
Grâce au jeton reçu, l’utilisateur bénéficie d’un accès à la (aux) ressource(s) demandée(s), pendant la durée de vie du jeton. Ce qui permet de réduire
l’utilisation fréquente et l’échange du mot de passe dans le réseau.
PARTIE 2

Processus d’authentification par jeton

Copyright - Tout droit réservé - OFPPT 88

 02 - Appliquer les droits nécessaires pour sécuriser
l’information
Méthodes d’authentification

Authentification par carte à puce

• Une carte à puce est une carte contenant des circuits intégrés comprenant des
composants de stockage de mémoire non volatile pour stocker :
• Des certificats numériques prouvant l’identité de l’utilisateur porteur
de la carte.
• Des permissions et des informations d’accès.
• Le principe de l’authentification par carte à puce est le suivant :
• Un utilisateur qui désire s’authentifier insère (ou approche) sa carte à
puce à l’équipement de vérification approprié. Ce dernier envoie
alors une requête à la carte qui demande les informations
d’authentification ;
• La carte à puce répond par l’envoie des informations qu’elle stocke ;
• À la réception de ces informations, l’équipement vérifie la validité de
la carte (souvent, il envoie une requête de vérification à l’autorité
délivrant cette carte). Une fois vérifiée, l’équipement demande à
PARTIE 2

l’utilisateur de saisir un code secret ;

• L’utilisateur saisit alors le code secret ; Processus d’authentification par carte à puce
• À la réception du code, l’équipement vérifie le code fournit qui sert à
prouver que l’utilisateur est le propriétaire de la carte. Une fois
vérifié, l’utilisateur accède à la ressource demandée.

Copyright - Tout droit réservé - OFPPT 89

 02 - Appliquer les droits nécessaires pour sécuriser
l’information
Méthodes d’authentification

Authentification biométrique
• Comme vu précédemment, l’authentification biométrique peut être basée sur des facteurs physiologiques ou des facteurs comportementaux.
• Quel que soit la nature du facteur biométrique utilisé, ce type d’authentification exige deux phases primordiales :
Collecte des facteurs biométriques : consiste à collecter les facteurs biométriques (tel que l’empreinte) d’un utilisateur grâce à un équipement de collecte
spécifique (lecteur d’empreinte) et les stocker dans une base de données pour les utiliser plus tard dans la phase d’authentification. Cette phase s’exécute
une seul fois par un utilisateur qui désire utiliser ses facteurs biométriques pour s’authentifier.

Phase d’authentification : pour s’authentifier, un utilisateur fournit ses facteurs biométriques (empreinte) grâce à un équipement spécifique (lecteur
d’empreinte qui assure le balayage de l’empreinte). Les facteurs collectés sont envoyés au serveur stockant les facteurs stockés (collectés durant la phase de
collecte). Le serveur vérifie alors la similitude entre les facteurs fournies et stockés grâce à des algorithmes de vérification spécifique.
PARTIE 2

Copyright - Tout droit réservé - OFPPT 90

 CHAPITRE 2
APPLIQUER LES DROITS NÉCESSAIRES
POUR SÉCURISER L’INFORMATION

1. Contrôle d’accès
2. Méthodes d’authentification
3. Règles d’autorisation et traçabilité
4. Quiz sur les notions de la sécurisation de l’information
 02 - Appliquer les droits nécessaires pour sécuriser
l’information
Règles d’autorisation et traçabilité

Règles d’autorisation et traçabilité

• Après avoir été authentifié avec succès, la deuxième phase du contrôle d’accès est de vérifier les permissions accordées à l’utilisateur authentifié pour la ressource
sollicitée. Souvent, la vérification des permissions se fait en se basant sur une liste de contrôle d’accès (Access Control List, en anglais, et l’abréviation est ACL).
• Une liste de contrôle d'accès est composée de règles qui autorisent ou refusent l'accès à un objet.
• Les deux types d’ACL les plus courants sont :
• ACL pour les systèmes de fichiers qui gère l’accès des utilisateurs aux répertoires ou aux fichiers. Elle spécifie au système d'exploitation les utilisateurs
autorisés à accéder au système, ainsi que les privilèges accordés.
• ACL réseau qui gère l’accès à un réseau. Souvent, elle fournit des instructions aux commutateurs et/ou aux routeurs quant aux types de trafics autorisés à
circuler dans le réseau. Elle dicte également les autorisations accordées aux utilisateurs (appareils) qui sont connectés au réseau.
• L’efficacité des ACL pour la protection des actifs dépends essentiellement des règles d’accès définies. Par conséquent, pour assurer une meilleure efficacité, il faut veiller
sur l’application des règles de base suivantes durant la définition des règles d’accès dans une ACL.
• Interdiction par défaut : Tout ce qui n’est pas autorisé explicitement est interdit.
• Moindres privilèges : Autoriser que le strict nécessaire.
• Toutefois, fournir l’accès à un utilisateur authentifié est insuffisant, il faut surveiller les actions exécutées par les utilisateurs. En fait, pour garantir une protection
efficace des actifs, il faut mettre en place des outils assurant la traçabilité.
PARTIE 2

• Pour garantir la non répudiation (c.à.d., garantir qu’aucun utilisateur ne peut nier sa responsabilité de l’exécution des actions collectés sous forme de trace numérique),
il faut veiller à protéger les fichiers journaux. Autrement dit, les fichiers journaux doivent être accessible en lecture uniquement afin d’éviter le risque de falsification des
traces numériques.

Copyright - Tout droit réservé - OFPPT 92

 CHAPITRE 2
APPLIQUER LES DROITS NÉCESSAIRES
POUR SÉCURISER L’INFORMATION

1. Contrôle d’accès
2. Méthodes d’authentification
3. Règles d’autorisation et traçabilité
4. Quiz sur les notions de la sécurisation de l’information
 02 - Appliquer les droits nécessaires pour sécuriser
l’information
Quiz sur les notions de la sécurisation de l’information

Énoncé
• Question 1 : Le contrôle d’accès :
❑ Est basé sur un modèle AAA (Authentication, Autorisation, and Accounting)
❑ Assure uniquement le contrôle d’accès aux données numériques
❑ Vérifie l’identité d’une entité qui demande d’accéder à une ressource
❑ dicte qui est autorisé à utiliser des objets (des ressources)
• Question 2 : Un objet est :
❑ Une ressource utilisée par un sujet
❑ Une ressource dont l’accès est contrôlé
❑ Une ressource dont l’accès n’est autorisé qu’aux administrateurs
• Question 3 : L’authentification par carte à puce est une méthode d’authentification basée sur :
❑ Ce que l’utilisateur connait
❑ Ce que l’utilisateur possède
❑ Les facteurs biométriques d’un utilisateur
PARTIE 2

• Question 4 : Parmi les propositions suivantes, quels sont celles qui peuvent être des facteurs biométriques permettant l’authentification ?
❑ Empreinte
❑ Jeton
❑ Voix
❑ Code secret
Copyright - Tout droit réservé - OFPPT 94
 02 - Appliquer les droits nécessaires pour sécuriser
l’information
Quiz sur les notions de la sécurisation de l’information

Correction
• Question 1 : Le contrôle d’accès :
 Est basé sur un modèle AAA (Authentication, Autorisation, and Accounting)
❑ Assure uniquement le contrôle d’accès aux données numériques
❑ Vérifie l’identité d’une entité qui demande d’accéder à une ressource
 dicte qui est autorisé à utiliser des objets (des ressources)
• Question 2 : Un objet est :
❑ Une ressource utilisée par un sujet
 Une ressource dont l’accès est contrôlé
❑ Une ressource dont l’accès n’est autorisé qu’aux administrateurs
• Question 3 : L’authentification par carte à puce est une méthode d’authentification basée sur :
❑ Ce que l’utilisateur connait
 Ce que l’utilisateur possède
❑ Les facteurs biométriques d’un utilisateur
PARTIE 2

• Question 4 : Parmi les propositions suivantes, quels sont celles qui peuvent être des facteurs biométriques permettant l’authentification ?
 Empreinte
❑ Jeton
 Voix
❑ Code secret
Copyright - Tout droit réservé - OFPPT 95