Skip Navigation Links Accueil   »  Tout sur CGA-Canada  »  CGA Magazine  »  2003  »  Sept.-Oct.  »  L'identification numérique

L'identification numérique 

Sélectionnez le numéro archivé que vous souhaitez consulter : 

 

Double clic

L'identification numérique

Plusieurs méthodes d'authentification permettent l'identification numérique d'un sujet. Le choix de la méthode dépend du niveau de sécurité requis.

 

TIRÉ DU NUMÉRO : SEPT.-OCT. 2003 | PAR ROBERT GAGNON

Nombreux sont les enfants qui rêvent d'être des superhéros, de vivre des aventures et d'avoir une identité secrète. Mais les superhéros n'ont plus l'exclusivité des identités secrètes : sur Internet, on peut être un journaliste inoffensif le jour et un Casanova la nuit.

Dans toutes les communications humaines, il est essentiel de savoir à qui on a affaire, que ce soit face à face, au téléphone, par télécopieur ou dans le cyberespace. Lorsque l'interlocuteur est identifié, on peut lui confier l'information confidentielle qui lui est destinée. En personne, le processus d'identification est instantané. Au téléphone ou par télécopieur, le numéro d'identification affiché permet souvent de savoir qui appelle. Mais bon nombre de gens, s'étant trompés sur l'identité de leur correspondant, ont donné leur numéro de carte de crédit au téléphone pour découvrir plus tard qu'on leur avait facturé des achats de façon frauduleuse. Il faut donc trouver un moyen de s'assurer que les interlocuteurs s'identifient clairement et honnêtement dans le monde numérique. C'est particulièrement vrai depuis le 11 septembre 2001, avec l'importance supplémentaire accordée à la sécurité.

On entend souvent parler de vers et de virus qui détruisent les informations des bases de données en effaçant les disques durs. Maintenant que les ordinateurs restent en ligne en tout temps, il faut plus que jamais faire appel aux coupe-feux et aux logiciels antivirus. Même l'ouverture d'un courriel provenant d'une source connue peut avoir un effet dévastateur : quiconque a reçu le virus « I love you » d'un être cher et l'a ouvert en espérant y lire des mots doux vous le confirmera. Les pirates informatiques ont appris à extraire les adresses électroniques des carnets d'adresses de façon à faire croire aux destinataires que les courriels proviennent d'une personne connue. Une bonne méthode d'identification, comme l'identité numérique, est l'un des nombreux outils qui permettent d'éviter les problèmes de sécurité.

Quelle est la définition d'« identité numérique »? Selon le site Web de Digital ID World : « l'identité numérique est la représentation d'une identité humaine qui est utilisée au cours d'une interaction avec d'autres machines ou d'autres personnes au sein d'un réseau réparti ». En d'autres termes, l'identité numérique augmente le niveau de confiance d'un utilisateur d'ordinateur envers une autre entité avec qui il interagit (site Web, courriel ou autre moyen de communication sur Internet) en confirmant l'identité de cette dernière. Selon le type d'interaction et la confidentialité de l'information, le degré d'authentification nécessaire peut varier considérablement. Dans la documentation informatique, il existe trois niveaux reconnus d'authentification fondés sur

  • ce qu'on connaît : une information;
  • ce qu'on possède : un objet;
  • ce qu'on est : une caractéristique physique.

Voici un bref exposé des avantages et des inconvénients de chaque type d'authentification et de ses applications.

Une information

Les mesures d'authentification les plus courantes combinent un nom d'utilisateur unique et un mot de passe confidentiel. C'est la méthode la plus utilisée parce que c'est la plus simple et la moins chère. Elle s'intègre de façon transparente à pratiquement n'importe quel site Web qui demande l'authentification des utilisateurs. Elle est facilitée par les fonctions des navigateurs qui enregistrent automatiquement le nom et le mot de passe des utilisateurs comme témoins (nommés cookies en anglais) : l'utilisateur peut ensuite avoir accès au site Web sans avoir à entrer ces données à chaque fois.

Il s'agit généralement d'un nom d'utilisateur qui est connu de tous et d'un mot de passe que seul l'utilisateur est censé connaître. Cependant, la sécurité de la combinaison nom d'utilisateur/mot de passe dépend de la capacité de chacun à ne pas divulguer l'information. On conseille toujours d'éviter les mots de passe faciles à deviner. C'est très bien en théorie, mais vu le nombre croissant de mots de passe qu'il faut utiliser, il nous est impossible de nous souvenir de mots de passe longs et compliqués.

Idéalement, les administrateurs devraient exiger des utilisateurs qu'ils changent leur mot de passe régulièrement. Mais ce n'est pas toujours le cas. Certains sites Web ne demandent jamais de modifier le mot de passe. Ceux qui le font provoquent généralement l'impatience des gens, qui se plaignent d'avoir à se souvenir de multiples mots de passe pour de nombreuses applications qui changent plusieurs fois par année à intervalles différents. En conséquence, bon nombre de sites Web ont renoncé à exiger des utilisateurs qu'ils modifient régulièrement leur mot de passe.

Cette méthode repose également sur la protection de l'information par le site Web. Dans un certain nombre de cas, des pirates informatiques ont pu accéder non seulement à la combinaison nom d'utilisateur/mot de passe, mais aussi à toute l'information qui y était reliée. Des numéros de carte de crédit ont ainsi été volés. Depuis, on a renforcé la sécurité sur les sites Web qui contiennent des renseignements sur les cartes de crédit. Mais les pirates sont très habiles et, avec le temps, réussissent à trouver le moyen de vaincre les mesures de protection les plus efficaces.

Un objet

Il s'agit d'une vaste catégorie qui comprend les cartes à puce, les jetons et d'autres accessoires codés de façon à constituer des identificateurs uniques. Selon ArticSoft, une entreprise spécialisée en sécurité en matière de TI, la méthode d'identification par jeton la plus courante est la solution SecurID de RSA Security. RSA peut fournir des solutions matérielles ou logicielles qui permettent de générer le jeton; celui-ci est fondé sur des algorithmes produisant toutes les 60 secondes un code aléatoire. Ce code, accompagné d'un NIP, sera reconnu par le serveur.

La combinaison du code aléatoire et du NIP augmente considérablement la sécurité d'un réseau et réduit au minimum les possibilités d'infiltration par des pirates informatiques. Cependant, le coût peut être exorbitant et cette technologie est généralement réservée aux applications très spécialisées. Un certain nombre de banques l'utilisent pour de grandes entreprises clientes. Mais cette méthode ne garantit pas que l'utilisateur est bien celui qu'il prétend être, car on peut donner l'accessoire et le NIP à quelqu'un d'autre.

Une caractéristique physique

N'importe quel amateur de films d'espionnage vous le dira : nous vivons à l'ère de la biométrie. Cette science permet de mesurer les caractéristiques physiques d'un individu et de les comparer à des mesures de base pour s'assurer que la personne est bien celle qu'elle prétend être. Les différents éléments pouvant être vérifiés comprennent la voix, les empreintes digitales, le visage, la rétine, l'iris et l'écriture. Il s'agit de la méthode d'identification numérique la plus perfectionnée, car elle identifie les gens selon des mesures biologiques. Bien que populaire au cinéma, la biométrie n'est pas très répandue, étant donné son coût et la réticence des gens à laisser enregistrer leurs mesures personnelles, sauf en cas de nécessité absolue.

Même si cette technologie a beaucoup évolué depuis ses débuts, elle présente encore des limites importantes liées directement à l'une des prémisses de l'identification biométrique : les caractéristiques physiques ne changent pas. Comme la méthode repose sur la comparaison des mesures que l'on prend d'une personne à contrôler avec les mesures contenues dans une base de données, le logiciel doit tenir compte de certaines différences attribuables à l'angle de mesure, à la lumière ou à la position du sujet par rapport au lecteur. Sinon, les résultats du balayage biométrique risquent d'être faussés.

Cela dit, la biométrie reste la méthode la plus évoluée d'identification numérique. Mais son coût très élevé explique pourquoi son usage est restreint à des domaines qui exigent le plus haut niveau de sécurité.

Conclusion

Fondamentalement, l'identification numérique est un moyen d'authentification qui permet à quelqu'un d'être reconnu dans le monde numérique. Le niveau de sécurité requis augmente avec le degré de confidentialité de l'information. Les méthodes d'authentification vont de la simple combinaison nom d'utilisateur/mot de passe à l'utilisation de la biométrie, en passant par l'usage de jetons. Plus le niveau d'authentification est élevé, plus il est difficile pour les superhéros de protéger leur identité secrète.

 

Sites intéressants sur l'identification numérique

CNET (www.cnet.com)
Digital ID World (www.digitalidworld.com)
ArticSoft (www.articsoft.com)
Ping ID (www.pingid.com)
VeriSign (www.verisign.com)
SC Infosecurity News (www.infosecnews.com)
Aberdeen Group (www.aberdeen.com)

[ Haut de la page ]

Robert Gagnon, CGA, est vice-président, Finances et technologie de l'information, pour Les Industries Frisco Bay Ltée, à Montréal. Il fait partie du Groupe consultatif technique sur le commerce électronique de l'Agence des douanes et du revenu du Canada depuis 2000.

© 2008 CGA-Canada

Veuillez mettre à jour votre navigateur

Les éléments graphiques du site ne sont visibles qu'au moyen d'un navigateur graphique qui accepte les standards du Web, mais son contenu est visible peu importe le navigateur ou l'appareil utilisé pour naviguer sur Internet.