De nos jours cela arrive à tout le monde. Nous sommes constamment identifiés, authentifiés et autorisés par plusieurs systèmes. Pourtant, beaucoup ne comprennent pas bien le sens de ces mots et les mélangent. Ils parlent d’identification ou d’autorisation alors qu’en réalité ils font référence à l’authentification.
Ce n’est pas très important tant qu’il s’agit de conversations banales et que tout le monde se comprend. Il vaut mieux connaître le sens des mots que vous utilisez parce que tôt ou tard vous allez rencontrer un geek dont les explications vont vous rendre fou : autorisation versus authentification, ceci ou cela, plus ou moins, etc.
Qu’est-ce que les mots identification, authentification et autorisation veulent dire ? En quoi le processus est-il différent dans un cas ou dans un autre ? Nous allons d’abord demander à Wikipédia :
- « L’identification est l’action consistant à identifier un objet ou un individu. »
- « L’authentification est un processus permettant au système de s’assurer de la légitimité de la demande d’accès faite par une entité […] afin d’autoriser l’accès de cette entité à des ressources du système. » Par exemple, en comparant le mot de passe saisi avec celui stocké dans la base de données.
- « L’autorisation est la fonction spécifiant les droits d’accès vers les ressources. »
Vous comprenez pourquoi certaines personnes qui ne connaissent pas bien ces concepts peuvent les confondre.
Des ratons laveurs pour expliquer les concepts d’identification, d’authentification et d’autorisation
Nous allons prendre un exemple pour que vous puissiez facilement comprendre. Imaginons qu’un utilisateur veuille se connecter à son compte Google. Google est un bon exemple parce que son processus de connexion est clairement divisé en plusieurs étapes de base. Voilà à quoi le système ressemble :
- Tout d’abord, le système demande un identifiant. L’utilisateur le saisit et le système le reconnaît comme authentique. C’est l’identification.
- Google demande ensuite un mot de passe. L’utilisateur le saisit et si le mot de passe correspond à celui de la base de données alors le système considère que l’utilisateur semble bien réel. C’est l’authentification.
- Dans la plupart des cas Google demande alors d’introduire le code de vérification à usage unique reçu par SMS ou via une application d’authentification. Si l’utilisateur ne commet pas d’erreur alors le système reconnaît finalement qu’il est le véritable propriétaire du compte. C’est l’authentification à deux facteurs.
- Enfin, le système autorise l’utilisateur à lire les messages de la boîte de réception et autres. C’est l’autorisation.
Une authentification sans identification n’a aucun sens. Il serait inutile de lancer la vérification avant même que le système ne sache quelle authenticité il doit vérifier. L’utilisateur doit d’abord se présenter.
De même, il serait absurde d’avoir une identification sans authentification. N’importe qui pourrait écrire un des identifiants de la base de données même si le système aurait besoin du mot de passe. Quelqu’un pourrait jeter un coup d’œil au mot de passe ou le deviner. Il vaut mieux demander une deuxième preuve que seul le vrai propriétaire peut avoir, comme un code de vérification à usage unique.
À l’inverse, il est possible d’avoir une autorisation sans identification, et encore moins avec une authentification. Par exemple, vous pouvez autoriser publiquement l’accès au document que vous stockez dans Google Drive pour que tout le monde puisse le voir. Dans ce cas, on vous dit peut-être qu’un raton laveur anonyme consulte votre document. Même si le raton laveur est anonyme, le système l’a autorisé et lui a donc permis de voir le document.
Pourtant, si vous n’avez autorisé que certains utilisateurs à lire le fichier, le raton laveur aurait dû être identifié (en fournissant son identifiant) puis authentifié (en introduisant son mot de passe et le code de vérification à usage unique) pour pouvoir avoir le droit de lire le document (autorisation).
Lorsqu’il s’agit de visionner le contenu de votre boîte de réception, Google n’autorisera jamais un raton laveur anonyme à lire vos messages. Le raton laveur devra se présenter comme étant vous, avec votre identifiant et votre mot de passe, et c’est à ce moment-là qu’il ne sera plus un raton laveur anonyme. Google vous identifie comme étant vous.
Vous savez désormais quelles sont les différences identification, authentification et autorisation. Un autre élément particulièrement important : l’authentification est peut-être le processus clé en termes de sécurité pour votre compte. Si vous utilisez un mot de passe faible pour vous authentifier alors un raton laveur pourrait pirater votre compte. Ainsi :
- Choisissez des mots de passe complexes et uniques pour chaque compte.
- Si vous n’arrivez pas à vous souvenir de tous vos mots de passe, un gestionnaire de mots de passe peut vous aider. Il vous permet aussi de générer de bons mots de passe.
- Activez l’authentification à deux facteurs, avec un code de vérification à usage unique que vous recevez par SMS ou via une application d’authentification, lorsque le service est compatible. Si vous ne le faites pas, un raton laveur anonyme qui aura mis le grappin sur votre mot de passe pourra lire vos messages confidentiels ou faire quelque chose de bien plus méchant.