Wiki du LAMA (UMR 5127) - Contributions [fr]

Authentification deux facteurs

2018-11-25T23:48:53Z

Violette :

= Introduction =

L'authentification pour un service est un processus permettant au système de s'assurer de la légitimité de la demande d'accès faite par une entité (être humain ou un autre système...) afin d'autoriser l'accès de cette entité aux services de ce système. On peut voir ce processus dans le domaine de la banque avec la signature par exemple. On va ici l'aborder dans le domaine informatique.

'''Définition''': un facteur d'authentification est un moyen de permettre à un service/logiciel de vérifier l'identité de l'utilisateur.

On peut différencier trois types de facteurs différent:
Les facteurs mémoriels : ils correspondent à ce dont on doit se souvenir, par exemple un couple 'username / password', ou la réponse à une question secrète.

Les facteurs matériels : ils caractérisent ce que l'on possède, comme par exemple un téléphone (qui va contenir une application ou recevoir un SMS) ou un token.

Les facteurs physiques : ils s'appliquent à ce que l'on est, ce qui peut correspondre à notre voix ou nos empreintes biométriques.

Lorsqu'on utilise un seul élément pour s'identifier (le plus répandu étant le couple 'username / password'), on parle d'authentification simple. C'est une authentification rapide, mais insuffisamment sécurisé.

Pour apporter plus de sécurité, il a été pensé le fait d'ajouter un autre facteur (de préférence appartenant à un autre type).

On parle ainsi d'authentification forte, mais aussi d'authentification à deux facteurs (2FA en anglais).

= Fonctionnement =

==Premier Facteur==

Nous sommes dans le schéma classique qui est aussi le moyen le plus répandu pour s'authentifier. Il s'agit d'un facteur de type mémoriel.

[[Fichier:PremierFacteur.jpg]]

L'utilisateur va s'authentifier en rentrant son username / password auprès du service auquel il souhaite accéder.
Le service va faire passer le password dans une fonction de hachage et l'envoyer au serveur dudit service, qui va le comparer avec celui qui a été enregistré lors de la création du compte, et, s'ils correspondent, l'utilisateur accèdera au service.

==Deuxième Facteur==

===Première version===

Nous sommes dans un schéma d'authentification qui est souvent associé au premier. Il s'agit d'un facteur de type matériel.

[[Fichier:DeuxièmeFacteurV1.jpg]]

L'utilisateur souhaite accéder à un service, auquel il se connecte avec son username / password.
Le serveur va alors créer un code, une suite de chiffres et de lettres généré aléatoirement, qui va être valide pendant une durée limitée (moins d'une heure).
Il va ensuite l'envoyer à l'utilisateur via un moyen choisis au préalable : par mail, par SMS, ou avec une notification provenant d'une application mobile.
Ainsi, l'utilisateur va rentrer le code ou accepter la notification pour se connecter au service.

===Deuxième version===

C'est un autre fonctionnement qui tend à se répandre de plus en plus, car il est plus sécurisé que celui vu dans la première version. Il s'agit toujours d'un facteur de type matériel.

[[Fichier:DeuxièmeFacteurV2.jpg]]

Lorsque l'utilisateur va créer un compte sur un service, il va relier un token ou une application mobile avec le serveur du service.
Cette liaison a pour but qu'un code synchronisé soit généré, ce qui va permettre l'authentification de l’utilisateur lors d'une connexion future.
Ce code est un code valide pendant une durée limitée (~20 secondes), qui va régulièrement être re-généré.

Ainsi, quand l'utilisateur souhaite accéder au service, il devra récupérer le code sur le dispositif synchronisé.
Le service va donc demander à son serveur si le code est valide, et si c'est le cas, l'utilisateur peut utiliser le service.

'''Authentifieur de type Time-based One-Time-Password TOTP'''

[[Fichier:Time-limited one time password.gif]]

C'est une extension de l'algorithme One-Time-Password OTP ( qui a pour but de générer un code à usage unique. Cet algorithme est plus sécurisé, car il prend en compte l'heure dans son calcul pour générer le code. Cet algorithme est utilisé par beaucoup d'entreprises proposant un authentifieur/token. On a donc <math>TOTP valeur(K) = OTP valeur(K,temps)</math> , avec <math>temps</math> une valeur déterminée à partir de l'heure ou le code est généré.

Cet algorithme est composé de trois paramètres :
- une fonction d'hachage (par défaut SHA1)
- une clé secrète K
- une longueur de chaine D

On commence d'abord par la génération d'un HMAC-SHA1 à partir de K et CT (compteur de temps). Ensuite, on en extrait une chaine de 31 bits avant de générer un token, on prend ces bits convertis en décimal auquel on applique le modulo <math>10^D</math>. Ceci nous donne notre token.

<math>X= HMAC(K,CT) </math>           HMAC fonction de SHA1

<math>Sbits = tronquer(X) </math>           tronquer va prendre 31 bits à partir de X

<math>T = dec(Sbits)</math> <math>mod</math> <math>10^D</math>           dec transforme Sbits en valeur décimale

==Combinatoire==

Lors de l'accès à un service, un utilisateur va d'abord entrer le premier facteur d'authentification, le facteur mémoriel, qui sert à indiquer au service à quel compte il souhaite se connecter.
Si il entre le mot de passe associé au compte, le service va enchaîner sur la seconde authentification afin de confirmer l'authenticité de l'utilisateur.
En respectant la procédure vue ci-dessus (première ou deuxième version), avec l'utilisation du second facteur d'authentification, le facteur matériel, l'identité sera confirmée et l'utilisateur pourra accéder au service.

= Exemples d'utilisations =

Les choses qui peuvent se séparer en étapes dissociables comprennent généralement plusieurs facteurs.

Il y a énormément d'exemple possibles contenant des authentifications à multiples facteurs, que ce soit au sein de la vie courante, dans un domaine professionnel, ou même sur internet.

==Vie courante==

'''Domaine bancaire'''

Par exemple, lorsqu'on va retirer des sous sur un distributeur, on utilise deux facteurs :

[[Fichier:CB.png]]

La carte bleue est la version matérielle des facteurs, et le code en est la version mémorielle.

Si on ne possède pas ces deux facteurs, il est impossible de retirer de l'argent.

Un autre exemple dans le domaine bancaire est la gestion des coffres-forts, qui fait intervenir de multiples facteurs :

Avant l'ouverture, il faut des papiers d'identités, ce qui correspond à un facteur matériel, et potentiellement physique avec la photo.

Ensuite, l'ouverture nécessite deux clés : Une que l'on possède, et une que la Banque possède.
Ces deux clés correspondent à deux autres facteurs matériels.

==Domaine professionnel==
'''Question d'accès'''

''Accès à un bâtiment :''
Dans un milieu professionnel, pour pouvoir accéder à un bâtiment il faut très souvent avoir un badge, qui est au préalable enregistré : il s'agit du premier facteur, qui est matériel.

Le fait de rencontrer ses collègues peut être considéré comme un facteur physique, car une personne n'étant pas employée ne sera pas reconnue.

Enfin, l'accès à son poste de travail peut contenir plusieurs autres facteurs (clé de casier, mot de passe d’ordinateur, etc.).

''Accès à un réseau :''
Pour accéder à un réseau privé, qui peut contenir des données sensibles ou internes à l'entreprise, on peut avoir besoin de passer une authentification supplémentaire, qui va utiliser un token ou un logiciel prévu a cet effet.

[[Fichier:Token.png|300px]]

==En ligne==
'''Contenu fréquemment utilisés'''

Lorsqu'on s'identifie à un Compte Google, il est possible d'ajouter le Google Authenticator, un mécanisme supplémentaire qui va envoyer un code par SMS, renforçant ainsi la sécurité du compte.
[[Fichier:Google Authenticator.png|300px]]

'''Plateformes de jeux vidéos'''

Du fait du grand nombre d'utilisateurs des plateformes en lignes, elles se sécurisent au mieux possibles, et notamment via des authentifications multiples :
Par exemple, Steam possède un mécanisme de sécurité qui va demander un code d'accès unique généré sur une application tiers.

[[Fichier:Steam Guard.png|300px]]

De même, Blizzard utilise une authentification par une application mobile.

[[Fichier:Authenticator Battlenet.png|300px]]

= Intérêts, problèmes potentiels=

==Sécurité==

L'intérêt principal de la mise en place d'un système d'authentification à multiples facteurs (MFA en anglais) est le gain important de sécurité, car pour chaque ajout de facteur sur un système, on va renforcer ses défenses.

La contrepartie à l'ajout de sécurité est le temps qui va être utilisé pour valider les étapes de sécurités.

Malgré l'augmentation de la sécurité, les systèmes MFA ne sont évidemment pas infaillible, il existe plusieurs façons de les craquer ou de les contourner.

Par exemple, l'interception des SMS envoyés, la lecture des cookies, ou l'option de récupération de mot de passe sont diverses méthodes permettant d'infiltrer un système MFA.

==Simplicité & Accessibilité==

Pour valider l'authentification avec les facteurs, il n'y a pas besoin de valider beaucoup d'étapes, les facteurs étant généralement accessibles.

Cette accessibilité est favorisée par l'utilisation du dispositif matériel (téléphone ou token), qui est facilement transportable et permet donc de générer le code à partir de n'importe quel emplacement.

Cependant, l'utilisation d'un tel dispositif engendre des problèmes (notamment la perte, l'endommagement, ou son oubli) qui peuvent provoquer l'incapacité à produire le facteur, et donc une erreur dans la procédure d’authentification à plusieurs facteurs.

= Sources =
- [https://korben.info/authentification-double-facteur-2fa.html https://korben.info/authentification-double-facteur-2fa.html]
- [https://www.wired.com/story/two-factor-authentication-apps-authy-google-authenticator/ https://www.wired.com/story/two-factor-authentication-apps-authy-google-authenticator/]
- [https://www.lemagit.fr/definition/Authentification-a-double-facteur https://www.lemagit.fr/definition/Authentification-a-double-facteur]
- [https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm]

Authentification deux facteurs

2018-11-25T23:47:07Z

Violette :

= Introduction =

L'authentification pour un service est un processus permettant au système de s'assurer de la légitimité de la demande d'accès faite par une entité (être humain ou un autre système...) afin d'autoriser l'accès de cette entité aux services de ce système. On peut voir ce processus dans le domaine de la banque avec la signature par exemple. On va ici l'aborder dans le domaine informatique.

'''Définition''': un facteur d'authentification est un moyen de permettre à un service/logiciel de vérifier l'identité de l'utilisateur.

On peut différencier trois types de facteurs différent:
Les facteurs mémoriels : ils correspondent à ce dont on doit se souvenir, par exemple un couple 'username / password', ou la réponse à une question secrète.

Les facteurs matériels : ils caractérisent ce que l'on possède, comme par exemple un téléphone (qui va contenir une application ou recevoir un SMS) ou un token.

Les facteurs physiques : ils s'appliquent à ce que l'on est, ce qui peut correspondre à notre voix ou nos empreintes biométriques.

Lorsqu'on utilise un seul élément pour s'identifier (le plus répandu étant le couple 'username / password'), on parle d'authentification simple. C'est une authentification rapide, mais insuffisamment sécurisé.

Pour apporter plus de sécurité, il a été pensé le fait d'ajouter un autre facteur (de préférence appartenant à un autre type).

On parle ainsi d'authentification forte, mais aussi d'authentification à deux facteurs (2FA en anglais).

= Fonctionnement =

==Premier Facteur==

Nous sommes dans le schéma classique qui est aussi le moyen le plus répandu pour s'authentifier. Il s'agit d'un facteur de type mémoriel.

[[Fichier:PremierFacteur.jpg]]

L'utilisateur va s'authentifier en rentrant son username / password auprès du service auquel il souhaite accéder.
Le service va faire passer le password dans une fonction de hachage et l'envoyer au serveur dudit service, qui va le comparer avec celui qui a été enregistré lors de la création du compte, et, s'ils correspondent, l'utilisateur accèdera au service.

==Deuxième Facteur==

===Première version===

Nous sommes dans un schéma d'authentification qui est souvent associé au premier. Il s'agit d'un facteur de type matériel.

[[Fichier:DeuxièmeFacteurV1.jpg]]

L'utilisateur souhaite accéder à un service, auquel il se connecte avec son username / password.
Le serveur va alors créer un code, une suite de chiffres et de lettres généré aléatoirement, qui va être valide pendant une durée limitée (moins d'une heure).
Il va ensuite l'envoyer à l'utilisateur via un moyen choisis au préalable : par mail, par SMS, ou avec une notification provenant d'une application mobile.
Ainsi, l'utilisateur va rentrer le code ou accepter la notification pour se connecter au service.

===Deuxième version===

C'est un autre fonctionnement qui tend à se répandre de plus en plus, car il est plus sécurisé que celui vu dans la première version. Il s'agit toujours d'un facteur de type matériel.

[[Fichier:DeuxièmeFacteurV2.jpg]]

Lorsque l'utilisateur va créer un compte sur un service, il va relier un token ou une application mobile avec le serveur du service.
Cette liaison a pour but qu'un code synchronisé soit généré, ce qui va permettre l'authentification de l’utilisateur lors d'une connexion future.
Ce code est un code valide pendant une durée limitée (~20 secondes), qui va régulièrement être régénéré.

Ainsi, quand l'utilisateur souhaite accéder au service, il devra récupérer le code sur le dispositif synchronisé.
Le service va donc demander à son serveur si le code est valide, et si c'est le cas, l'utilisateur peut utiliser le service.

'''Authentifieur de type Time-based One-Time-Password TOTP'''

[[Fichier:Time-limited one time password.gif]]

C'est une extension de l'algorithme One-Time-Password OTP ( qui a pour but de générer un code à usage unique. Cet algorithme est plus sécurisé, car il prend en compte l'heure dans son calcul pour générer le code. Cet algorithme est utilisé par beaucoup d'entreprises proposant un authentifieur/token. On a donc <math>TOTP valeur(K) = OTP valeur(K,temps)</math> , avec <math>temps</math> une valeur déterminée à partir de l'heure ou le code est généré.

Cet algorithme est composé de trois paramètres :
- une fonction d'hachage (par défaut SHA1)
- une clé secrète K
- une longueur de chaine D

On commence d'abord par la génération d'un HMAC-SHA1 à partir de K et CT (compteur de temps). Ensuite, on en extrait une chaine de 31 bits avant de générer un token, on prend ces bits convertis en décimal auquel on applique le modulo <math>10^D</math>. Ceci nous donne notre token.

<math>X= HMAC(K,CT) </math>           HMAC fonction de SHA1

<math>Sbits = tronquer(X) </math>           tronquer va prendre 31 bits à partir de X

<math>T = dec(Sbits)</math> <math>mod</math> <math>10^D</math>           dec transforme Sbits en valeur décimale

==Combinatoire==

Lors de l'accès à un service, un utilisateur va d'abord entrer le premier facteur d'authentification, le facteur mémoriel, qui sert à indiquer au service à quel compte il souhaite se connecter.
Si il entre le mot de passe associé au compte, le service va enchaîner sur la seconde authentification afin de confirmer l'authenticité de l'utilisateur.
En respectant la procédure vue ci-dessus (première ou deuxième version), avec l'utilisation du second facteur d'authentification, le facteur matériel, l'identité sera confirmée et l'utilisateur pourra accéder au service.

= Exemples d'utilisations =

Les choses qui peuvent se séparer en étapes dissociables comprennent généralement plusieurs facteurs.

Il y a énormément d'exemple possibles contenant des authentifications à multiples facteurs, que ce soit au sein de la vie courante, dans un domaine professionnel, ou même sur internet.

==Vie courante==

'''Domaine bancaire'''

Par exemple, lorsqu'on va retirer des sous sur un distributeur, on utilise deux facteurs :

[[Fichier:CB.png]]

La carte bleue est la version matérielle des facteurs, et le code en est la version mémorielle.

Si on ne possède pas ces deux facteurs, il est impossible de retirer de l'argent.

Un autre exemple dans le domaine bancaire est la gestion des coffres-forts, qui fait intervenir de multiples facteurs :

Avant l'ouverture, il faut des papiers d'identités, ce qui correspond à un facteur matériel, et potentiellement physique avec la photo.

Ensuite, l'ouverture nécessite deux clés : Une que l'on possède, et une que la Banque possède.
Ces deux clés correspondent à deux autres facteurs matériels.

==Domaine professionnel==
'''Question d'accès'''

''Accès à un bâtiment :''
Dans un milieu professionnel, pour pouvoir accéder à un bâtiment il faut très souvent avoir un badge, qui est au préalable enregistré : il s'agit du premier facteur, qui est matériel.

Le fait de rencontrer ses collègues peut être considéré comme un facteur physique, car une personne n'étant pas employée ne sera pas reconnue.

Enfin, l'accès à son poste de travail peut contenir plusieurs autres facteurs (clé de casier, mot de passe d’ordinateur, etc.).

''Accès à un réseau :''
Pour accéder à un réseau privé, qui peut contenir des données sensibles ou internes à l'entreprise, on peut avoir besoin de passer une authentification supplémentaire, qui va utiliser un token ou un logiciel prévu a cet effet.

[[Fichier:Token.png|300px]]

==En ligne==
'''Contenu fréquemment utilisés'''

Lorsqu'on s'identifie à un Compte Google, il est possible d'ajouter le Google Authenticator, un mécanisme supplémentaire qui va envoyer un code par SMS, renforçant ainsi la sécurité du compte.
[[Fichier:Google Authenticator.png|300px]]

'''Plateformes de jeux vidéos'''

Du fait du grand nombre d'utilisateurs des plateformes en lignes, elles se sécurisent au mieux possibles, et notamment via des authentifications multiples :
Par exemple, Steam possède un mécanisme de sécurité qui va demander un code d'accès unique généré sur une application tiers.

[[Fichier:Steam Guard.png|300px]]

De même, Blizzard utilise une authentification par une application mobile.

[[Fichier:Authenticator Battlenet.png|300px]]

= Intérêts, problèmes potentiels=

==Sécurité==

L'intérêt principal de la mise en place d'un système d'authentification à multiples facteurs (MFA en anglais) est le gain important de sécurité, car pour chaque ajout de facteur sur un système, on va renforcer ses défenses.

La contrepartie à l'ajout de sécurité est le temps qui va être utilisé pour valider les étapes de sécurités.

Malgré l'augmentation de la sécurité, les systèmes MFA ne sont évidemment pas infaillible, il existe plusieurs façons de les craquer ou de les contourner.

Par exemple, l'interception des SMS envoyés, la lecture des cookies, ou l'option de récupération de mot de passe sont diverses méthodes permettant d'infiltrer un système MFA.

==Simplicité & Accessibilité==

Pour valider l'authentification avec les facteurs, il n'y a pas besoin de valider beaucoup d'étapes, les facteurs étant généralement accessibles.

Cette accessibilité est favorisée par l'utilisation du dispositif matériel (téléphone ou token), qui est facilement transportable et permet donc de générer le code à partir de n'importe quel emplacement.

Cependant, l'utilisation d'un tel dispositif engendre des problèmes (notamment la perte, l'endommagement, ou son oubli) qui peuvent provoquer l'incapacité à produire le facteur, et donc une erreur dans la procédure d’authentification à plusieurs facteurs.

= Sources =
- [https://korben.info/authentification-double-facteur-2fa.html https://korben.info/authentification-double-facteur-2fa.html]
- [https://www.wired.com/story/two-factor-authentication-apps-authy-google-authenticator/ https://www.wired.com/story/two-factor-authentication-apps-authy-google-authenticator/]
- [https://www.lemagit.fr/definition/Authentification-a-double-facteur https://www.lemagit.fr/definition/Authentification-a-double-facteur]
- [https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm]

Authentification deux facteurs

2018-11-25T23:41:27Z

Violette : /* Première version */

= Introduction =

L'authentification pour un service est un processus permettant au système de s'assurer de la légitimité de la demande d'accès faite par une entité (être humain ou un autre système...) afin d'autoriser l'accès de cette entité aux services de ce système. On peut voir ce processus dans le domaine de la banque avec la signature par exemple. On va ici l'aborder dans le domaine informatique.

'''Définition''': un facteur d'authentification est un moyen de permettre à un service/logiciel de vérifier l'identité de l'utilisateur.

On peut différencier trois types de facteurs différent:
Les facteurs mémoriels : ils correspondent à ce dont on doit se souvenir, par exemple un couple 'username / password', ou la réponse à une question secrète.

Les facteurs matériels : ils caractérisent ce que l'on possède, comme par exemple un téléphone (qui va contenir une application ou recevoir un SMS) ou un token.

Les facteurs physiques : ils s'appliquent à ce que l'on est, ce qui peut correspondre à notre voix ou nos empreintes biométriques.

Lorsqu'on utilise un seul élément pour s'identifier (le plus répandu étant le couple 'username / password'), on parle d'authentification simple. C'est une authentification rapide, mais insuffisamment sécurisé.

Pour apporter plus de sécurité, il a été pensé le fait d'ajouter un autre facteur (de préférence appartenant à un autre type).

On parle ainsi d'authentification forte, mais aussi d'authentification à deux facteurs (2FA en anglais).

= Fonctionnement =

==Premier Facteur==

Nous sommes dans le schéma classique qui est aussi le moyen le plus répandu pour s'authentifier. Il s'agit d'un facteur de type mémoriel.

[[Fichier:PremierFacteur.jpg]]

L'utilisateur va s'authentifier en rentrant son username / password auprès du service auquel il souhaite accéder.
Le service va faire passer le password dans une fonction de hachage et l'envoyer au serveur dudit service, qui va le comparer avec celui qui a été enregistré lors de la création du compte, et, s'ils correspondent, l'utilisateur accèdera au service.

==Deuxième Facteur==

===Première version===

Nous sommes dans un schéma d'authentification qui est souvent associé au premier. Il s'agit d'un facteur de type matériel.

[[Fichier:DeuxièmeFacteurV1.jpg]]

L'utilisateur souhaite accéder à un service, auquel il se connecte avec son username / password.
Le serveur va alors créer un code, une suite de chiffres et de lettres généré aléatoirement, qui va être valide pendant une durée limitée (moins d'une heure).
Il va ensuite l'envoyer à l'utilisateur via un moyen choisis au préalable : par mail, par SMS, ou avec une notification provenant d'une application mobile.
Ainsi, l'utilisateur va rentrer le code ou accepter la notification pour se connecter au service.

===Deuxième version===

Mais c'est un autre fonctionnement qui tend à se répandre de plus en plus, car il est plus sécurisé que celui vu dans la première version. Il s'agit toujours d'un facteur de type matériel.

[[Fichier:DeuxièmeFacteurV2.jpg]]

Lorsque l'utilisateur va créer un compte sur un service, il va relier un token ou une application mobile avec le serveur du service.
Cette liaison a pour but qu'un code synchronisé soit généré, ce qui va permettre l'authentification de l’utilisateur lors d'une connexion future.
Ce code est un code valide pendant une durée limité (~20 secondes), qui va régulièrement être regénéré.

Ainsi, quand l'utilisateur souhaite accéder au service, il devra récupérer le code sur le dispositif synchronisé.
Le service va donc demander a son serveur si le code est valide, et si c'est le cas l'utilisateur peut alors utiliser le service.

'''Authentifieur de type Time-based One-Time-Password TOTP'''

[[Fichier:Time-limited one time password.gif]]

C'est une extension de l'algorithme One-Time-Password OTP ( qui a pour but de générer un code à usage unique. Cet algorithme est plus sécurisé, car il prend en compte l'heure dans son calcul pour générer le code. Cet algorithme est utilisé par beaucoup d'entreprises proposant un authentifieur/token. On a donc <math>TOTP valeur(K) = OTP valeur(K,temps)</math> , avec <math>temps</math> une valeur déterminée à partir de l'heure ou le code est généré.

Cet algorithme est composé de trois paramètres:
- une fonction d'hachage (par défaut SHA1)
- une clé secrète K
- une longueur de chaine D

On commence d'abord par la génération d'un HMAC-SHA1 à partir de K et CT (compteur de temps). Ensuite, on en extrait une chaine de 31 bits avant de générer un token, on prend ces bits convertis en décimal auquel on applique le modulo <math>10^D</math>. Ceci nous donne notre token.

<math>X= HMAC(K,CT) </math>           HMAC fonction de SHA1

<math>Sbits = tronquer(X) </math>           tronquer va prendre 31 bits à partir de X

<math>T = dec(Sbits)</math> <math>mod</math> <math>10^D</math>           dec transforme Sbits en valeur décimale

==Combinatoire==

Lors de l'accès à un service, un utilisateur va d'abord entrer le premier facteur d'authentification, le facteur mémoriel, qui sert à indiquer au service à quel compte il souhaite se connecter.
Si il entre le mot de passe associé au compte, le service va enchaîner sur la seconde authentification afin de confirmer l'authenticité de l'utilisateur.
En respectant la procédure vue ci-dessus (première ou deuxième version), avec l'utilisation du second facteur d'authentification, le facteur matériel, l'identité sera confirmée et l'utilisateur pourra accéder au service.

= Exemples d'utilisations =

Les choses qui peuvent se séparer en étapes dissociables comprennent généralement plusieurs facteurs.

Il y a énormément d'exemple possibles contenant des authentifications à multiples facteurs, que ce soit au sein de la vie courante, dans un domaine professionnel, ou même sur internet.

==Vie courante==

'''Domaine bancaire'''

Par exemple, lorsqu'on va retirer des sous sur un distributeur, on utilise deux facteurs :

[[Fichier:CB.png]]

La carte bleue est la version matériel des facteurs, et le code en est la version mémorielle.

Si on ne possède pas ces deux facteurs, il est impossible de retirer de l'argent.

Un autre exemple dans le domaine bancaire est la gestion des coffres forts, qui fait intervenir de multiples facteurs :

Avant l'ouverture, il faut des papiers d'identités, ce qui correspond à un facteur matériel, et potentiellement physique avec la photo.

Ensuite, l'ouverture nécessite deux clés : Une que l'on possède, et une que la Banque possède.
Ces deux clés correspondent à deux autres facteurs matériels.

==Domaine professionnel==
'''Question d'accès'''

''Accès à un bâtiment :''
Dans un milieu professionnel, pour pouvoir accéder à un bâtiment il faut très souvent avoir un badge, qui est au préalable enregistré : il s'agit du premier facteur, qui est matériel.

Le fait de rencontrer ses collègues peut être considéré comme un facteur physique, car une personne n'étant pas employée ne sera pas reconnue.

Enfin, l'accès a son poste de travail peut contenir plusieurs autres facteurs (clé de casier, mot de passe d’ordinateur, etc.).

''Accès à un réseau :''
Pour accéder à un réseau privé, qui peut contenir des données sensibles ou internes à l'entreprise, on peut avoir besoin de passer une authentification supplémentaire, qui va utiliser un token ou un logiciel prévu a cet effet.

[[Fichier:Token.png|300px]]

==En ligne==
'''Contenu fréquemment utilisés'''

Lorsqu'on s'identifie à un Compte Google, il est possible d'ajouter le Google Authenticator, un mécanisme supplémentaire qui va envoyer un code par SMS, renforçant ainsi la sécurité du compte.
[[Fichier:Google Authenticator.png|300px]]

'''Plateformes de jeux vidéos'''

Du fait du grand nombre d'utilisateurs des plateformes en lignes, elles se sécurisent au mieux possibles, et notamment via des authentification multiples :
Par exemple, Steam possède un mécanisme de sécurité qui va demander un code d'accès unique généré sur une application tiers.

[[Fichier:Steam Guard.png|300px]]

De même, Blizzard utilise une authentification par une application mobile.

[[Fichier:Authenticator Battlenet.png|300px]]

= Intérêts, problèmes potentiels=

==Sécurité==

L'intérêt principal de la mise en place d'un système d'authentification à multiples facteurs (MFA en anglais) est le gain important de sécurité, car pour chaque ajout de facteur sur un système, on va renforcer ses défenses.

La contrepartie à l'ajout de sécurité est le temps qui va être utilisé pour valider les étapes de sécurités.

Malgré l'augmentation de la sécurité, les systèmes MFA ne sont évidemment pas infaillible, il existe plusieurs façons de les craquer ou de les contourner.

Par exemple, l'interception des SMS envoyés, la lecture des cookies, ou l'option de récupération de mot de passe sont diverses méthodes permettant d'infiltrer un système MFA.

==Simplicité & Accessibilité==

Pour valider l'authentification avec les facteurs, il n'y a pas besoin de valider beaucoup d'étapes, les facteurs étant généralement accessibles.

Cette accessibilité est favorisé par l'utilisation du dispositif matériel (téléphone ou token), qui est facilement transportable et permet donc de générer le code à partir de n'importe quel emplacement.

Cependant, l'utilisation d'un tel dispositif engendre des problèmes (notamment la perte, l'endommagement, ou son oubli) qui peuvent provoquer l'incapacité à produire le facteur, et donc une erreur dans la procédure d’authentification à plusieurs facteurs.

= Sources =
- [https://korben.info/authentification-double-facteur-2fa.html https://korben.info/authentification-double-facteur-2fa.html]
- [https://www.wired.com/story/two-factor-authentication-apps-authy-google-authenticator/ https://www.wired.com/story/two-factor-authentication-apps-authy-google-authenticator/]
- [https://www.lemagit.fr/definition/Authentification-a-double-facteur https://www.lemagit.fr/definition/Authentification-a-double-facteur]
- [https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm]

Authentification deux facteurs

2018-11-25T23:40:54Z

Violette : /* Premier Facteur */

= Introduction =

L'authentification pour un service est un processus permettant au système de s'assurer de la légitimité de la demande d'accès faite par une entité (être humain ou un autre système...) afin d'autoriser l'accès de cette entité aux services de ce système. On peut voir ce processus dans le domaine de la banque avec la signature par exemple. On va ici l'aborder dans le domaine informatique.

'''Définition''': un facteur d'authentification est un moyen de permettre à un service/logiciel de vérifier l'identité de l'utilisateur.

On peut différencier trois types de facteurs différent:
Les facteurs mémoriels : ils correspondent à ce dont on doit se souvenir, par exemple un couple 'username / password', ou la réponse à une question secrète.

Les facteurs matériels : ils caractérisent ce que l'on possède, comme par exemple un téléphone (qui va contenir une application ou recevoir un SMS) ou un token.

Les facteurs physiques : ils s'appliquent à ce que l'on est, ce qui peut correspondre à notre voix ou nos empreintes biométriques.

Lorsqu'on utilise un seul élément pour s'identifier (le plus répandu étant le couple 'username / password'), on parle d'authentification simple. C'est une authentification rapide, mais insuffisamment sécurisé.

Pour apporter plus de sécurité, il a été pensé le fait d'ajouter un autre facteur (de préférence appartenant à un autre type).

On parle ainsi d'authentification forte, mais aussi d'authentification à deux facteurs (2FA en anglais).

= Fonctionnement =

==Premier Facteur==

Nous sommes dans le schéma classique qui est aussi le moyen le plus répandu pour s'authentifier. Il s'agit d'un facteur de type mémoriel.

[[Fichier:PremierFacteur.jpg]]

L'utilisateur va s'authentifier en rentrant son username / password auprès du service auquel il souhaite accéder.
Le service va faire passer le password dans une fonction de hachage et l'envoyer au serveur dudit service, qui va le comparer avec celui qui a été enregistré lors de la création du compte, et, s'ils correspondent, l'utilisateur accèdera au service.

==Deuxième Facteur==

===Première version===

Nous sommes dans un schéma d'authentification qui est souvent associé au premier. Il s'agit d'un facteur de type matériel.

[[Fichier:DeuxièmeFacteurV1.jpg]]

L'utilisateur souhaite accéder à un service, auquel il se connecte avec son username / password.
Le serveur va alors créer un code, une suite de chiffres et de lettres généré aléatoirement, qui va être valide pendant une durée limité (moins d'une heure).
Il va ensuite l'envoyer à l'utilisateur via un moyen choisis au préalable : par mail, par SMS, ou avec une notification provenant d'une application mobile.
Ainsi, l'utilisateur va rentrer le code ou accepter la notification pour se connecter au service.

===Deuxième version===

Mais c'est un autre fonctionnement qui tend à se répandre de plus en plus, car il est plus sécurisé que celui vu dans la première version. Il s'agit toujours d'un facteur de type matériel.

[[Fichier:DeuxièmeFacteurV2.jpg]]

Lorsque l'utilisateur va créer un compte sur un service, il va relier un token ou une application mobile avec le serveur du service.
Cette liaison a pour but qu'un code synchronisé soit généré, ce qui va permettre l'authentification de l’utilisateur lors d'une connexion future.
Ce code est un code valide pendant une durée limité (~20 secondes), qui va régulièrement être regénéré.

Ainsi, quand l'utilisateur souhaite accéder au service, il devra récupérer le code sur le dispositif synchronisé.
Le service va donc demander a son serveur si le code est valide, et si c'est le cas l'utilisateur peut alors utiliser le service.

'''Authentifieur de type Time-based One-Time-Password TOTP'''

[[Fichier:Time-limited one time password.gif]]

C'est une extension de l'algorithme One-Time-Password OTP ( qui a pour but de générer un code à usage unique. Cet algorithme est plus sécurisé, car il prend en compte l'heure dans son calcul pour générer le code. Cet algorithme est utilisé par beaucoup d'entreprises proposant un authentifieur/token. On a donc <math>TOTP valeur(K) = OTP valeur(K,temps)</math> , avec <math>temps</math> une valeur déterminée à partir de l'heure ou le code est généré.

Cet algorithme est composé de trois paramètres:
- une fonction d'hachage (par défaut SHA1)
- une clé secrète K
- une longueur de chaine D

On commence d'abord par la génération d'un HMAC-SHA1 à partir de K et CT (compteur de temps). Ensuite, on en extrait une chaine de 31 bits avant de générer un token, on prend ces bits convertis en décimal auquel on applique le modulo <math>10^D</math>. Ceci nous donne notre token.

<math>X= HMAC(K,CT) </math>           HMAC fonction de SHA1

<math>Sbits = tronquer(X) </math>           tronquer va prendre 31 bits à partir de X

<math>T = dec(Sbits)</math> <math>mod</math> <math>10^D</math>           dec transforme Sbits en valeur décimale

==Combinatoire==

Lors de l'accès à un service, un utilisateur va d'abord entrer le premier facteur d'authentification, le facteur mémoriel, qui sert à indiquer au service à quel compte il souhaite se connecter.
Si il entre le mot de passe associé au compte, le service va enchaîner sur la seconde authentification afin de confirmer l'authenticité de l'utilisateur.
En respectant la procédure vue ci-dessus (première ou deuxième version), avec l'utilisation du second facteur d'authentification, le facteur matériel, l'identité sera confirmée et l'utilisateur pourra accéder au service.

= Exemples d'utilisations =

Les choses qui peuvent se séparer en étapes dissociables comprennent généralement plusieurs facteurs.

Il y a énormément d'exemple possibles contenant des authentifications à multiples facteurs, que ce soit au sein de la vie courante, dans un domaine professionnel, ou même sur internet.

==Vie courante==

'''Domaine bancaire'''

Par exemple, lorsqu'on va retirer des sous sur un distributeur, on utilise deux facteurs :

[[Fichier:CB.png]]

La carte bleue est la version matériel des facteurs, et le code en est la version mémorielle.

Si on ne possède pas ces deux facteurs, il est impossible de retirer de l'argent.

Un autre exemple dans le domaine bancaire est la gestion des coffres forts, qui fait intervenir de multiples facteurs :

Avant l'ouverture, il faut des papiers d'identités, ce qui correspond à un facteur matériel, et potentiellement physique avec la photo.

Ensuite, l'ouverture nécessite deux clés : Une que l'on possède, et une que la Banque possède.
Ces deux clés correspondent à deux autres facteurs matériels.

==Domaine professionnel==
'''Question d'accès'''

''Accès à un bâtiment :''
Dans un milieu professionnel, pour pouvoir accéder à un bâtiment il faut très souvent avoir un badge, qui est au préalable enregistré : il s'agit du premier facteur, qui est matériel.

Le fait de rencontrer ses collègues peut être considéré comme un facteur physique, car une personne n'étant pas employée ne sera pas reconnue.

Enfin, l'accès a son poste de travail peut contenir plusieurs autres facteurs (clé de casier, mot de passe d’ordinateur, etc.).

''Accès à un réseau :''
Pour accéder à un réseau privé, qui peut contenir des données sensibles ou internes à l'entreprise, on peut avoir besoin de passer une authentification supplémentaire, qui va utiliser un token ou un logiciel prévu a cet effet.

[[Fichier:Token.png|300px]]

==En ligne==
'''Contenu fréquemment utilisés'''

Lorsqu'on s'identifie à un Compte Google, il est possible d'ajouter le Google Authenticator, un mécanisme supplémentaire qui va envoyer un code par SMS, renforçant ainsi la sécurité du compte.
[[Fichier:Google Authenticator.png|300px]]

'''Plateformes de jeux vidéos'''

Du fait du grand nombre d'utilisateurs des plateformes en lignes, elles se sécurisent au mieux possibles, et notamment via des authentification multiples :
Par exemple, Steam possède un mécanisme de sécurité qui va demander un code d'accès unique généré sur une application tiers.

[[Fichier:Steam Guard.png|300px]]

De même, Blizzard utilise une authentification par une application mobile.

[[Fichier:Authenticator Battlenet.png|300px]]

= Intérêts, problèmes potentiels=

==Sécurité==

L'intérêt principal de la mise en place d'un système d'authentification à multiples facteurs (MFA en anglais) est le gain important de sécurité, car pour chaque ajout de facteur sur un système, on va renforcer ses défenses.

La contrepartie à l'ajout de sécurité est le temps qui va être utilisé pour valider les étapes de sécurités.

Malgré l'augmentation de la sécurité, les systèmes MFA ne sont évidemment pas infaillible, il existe plusieurs façons de les craquer ou de les contourner.

Par exemple, l'interception des SMS envoyés, la lecture des cookies, ou l'option de récupération de mot de passe sont diverses méthodes permettant d'infiltrer un système MFA.

==Simplicité & Accessibilité==

Pour valider l'authentification avec les facteurs, il n'y a pas besoin de valider beaucoup d'étapes, les facteurs étant généralement accessibles.

Cette accessibilité est favorisé par l'utilisation du dispositif matériel (téléphone ou token), qui est facilement transportable et permet donc de générer le code à partir de n'importe quel emplacement.

Cependant, l'utilisation d'un tel dispositif engendre des problèmes (notamment la perte, l'endommagement, ou son oubli) qui peuvent provoquer l'incapacité à produire le facteur, et donc une erreur dans la procédure d’authentification à plusieurs facteurs.

= Sources =
- [https://korben.info/authentification-double-facteur-2fa.html https://korben.info/authentification-double-facteur-2fa.html]
- [https://www.wired.com/story/two-factor-authentication-apps-authy-google-authenticator/ https://www.wired.com/story/two-factor-authentication-apps-authy-google-authenticator/]
- [https://www.lemagit.fr/definition/Authentification-a-double-facteur https://www.lemagit.fr/definition/Authentification-a-double-facteur]
- [https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm]

Authentification deux facteurs

2018-11-25T23:39:11Z

Violette : /* Simplicité & Accessibilité */

= Introduction =

L'authentification pour un service est un processus permettant au système de s'assurer de la légitimité de la demande d'accès faite par une entité (être humain ou un autre système...) afin d'autoriser l'accès de cette entité aux services de ce système. On peut voir ce processus dans le domaine de la banque avec la signature par exemple. On va ici l'aborder dans le domaine informatique.

'''Définition''': un facteur d'authentification est un moyen de permettre à un service/logiciel de vérifier l'identité de l'utilisateur.

On peut différencier trois types de facteurs différent:
Les facteurs mémoriels : ils correspondent à ce dont on doit se souvenir, par exemple un couple 'username / password', ou la réponse à une question secrète.

Les facteurs matériels : ils caractérisent ce que l'on possède, comme par exemple un téléphone (qui va contenir une application ou recevoir un SMS) ou un token.

Les facteurs physiques : ils s'appliquent à ce que l'on est, ce qui peut correspondre à notre voix ou nos empreintes biométriques.

Lorsqu'on utilise un seul élément pour s'identifier (le plus répandu étant le couple 'username / password'), on parle d'authentification simple. C'est une authentification rapide, mais insuffisamment sécurisé.

Pour apporter plus de sécurité, il a été pensé le fait d'ajouter un autre facteur (de préférence appartenant à un autre type).

On parle ainsi d'authentification forte, mais aussi d'authentification à deux facteurs (2FA en anglais).

= Fonctionnement =

==Premier Facteur==

Nous sommes dans le schéma classique qui est aussi le moyen le plus répandu pour s'authentifier. Il s'agit d'un facteur de type mémoriel.

[[Fichier:PremierFacteur.jpg]]

L'utilisateur va s'authentifier en rentrant son username / password auprès du service auquel il souhaite accéder.
Le service va faire passer le password dans une fonction de hachage et l'envoyer au serveur dudit service, qui va le comparer avec celui qui a été enregistré lors de la création du compte, et, si ils correspondent, l'utilisateur accède au service.

==Deuxième Facteur==

===Première version===

Nous sommes dans un schéma d'authentification qui est souvent associé au premier. Il s'agit d'un facteur de type matériel.

[[Fichier:DeuxièmeFacteurV1.jpg]]

L'utilisateur souhaite accéder à un service, auquel il se connecte avec son username / password.
Le serveur va alors créer un code, une suite de chiffres et de lettres généré aléatoirement, qui va être valide pendant une durée limité (moins d'une heure).
Il va ensuite l'envoyer à l'utilisateur via un moyen choisis au préalable : par mail, par SMS, ou avec une notification provenant d'une application mobile.
Ainsi, l'utilisateur va rentrer le code ou accepter la notification pour se connecter au service.

===Deuxième version===

Mais c'est un autre fonctionnement qui tend à se répandre de plus en plus, car il est plus sécurisé que celui vu dans la première version. Il s'agit toujours d'un facteur de type matériel.

[[Fichier:DeuxièmeFacteurV2.jpg]]

Lorsque l'utilisateur va créer un compte sur un service, il va relier un token ou une application mobile avec le serveur du service.
Cette liaison a pour but qu'un code synchronisé soit généré, ce qui va permettre l'authentification de l’utilisateur lors d'une connexion future.
Ce code est un code valide pendant une durée limité (~20 secondes), qui va régulièrement être regénéré.

Ainsi, quand l'utilisateur souhaite accéder au service, il devra récupérer le code sur le dispositif synchronisé.
Le service va donc demander a son serveur si le code est valide, et si c'est le cas l'utilisateur peut alors utiliser le service.

'''Authentifieur de type Time-based One-Time-Password TOTP'''

[[Fichier:Time-limited one time password.gif]]

C'est une extension de l'algorithme One-Time-Password OTP ( qui a pour but de générer un code à usage unique. Cet algorithme est plus sécurisé, car il prend en compte l'heure dans son calcul pour générer le code. Cet algorithme est utilisé par beaucoup d'entreprises proposant un authentifieur/token. On a donc <math>TOTP valeur(K) = OTP valeur(K,temps)</math> , avec <math>temps</math> une valeur déterminée à partir de l'heure ou le code est généré.

Cet algorithme est composé de trois paramètres:
- une fonction d'hachage (par défaut SHA1)
- une clé secrète K
- une longueur de chaine D

On commence d'abord par la génération d'un HMAC-SHA1 à partir de K et CT (compteur de temps). Ensuite, on en extrait une chaine de 31 bits avant de générer un token, on prend ces bits convertis en décimal auquel on applique le modulo <math>10^D</math>. Ceci nous donne notre token.

<math>X= HMAC(K,CT) </math>           HMAC fonction de SHA1

<math>Sbits = tronquer(X) </math>           tronquer va prendre 31 bits à partir de X

<math>T = dec(Sbits)</math> <math>mod</math> <math>10^D</math>           dec transforme Sbits en valeur décimale

==Combinatoire==

Lors de l'accès à un service, un utilisateur va d'abord entrer le premier facteur d'authentification, le facteur mémoriel, qui sert à indiquer au service à quel compte il souhaite se connecter.
Si il entre le mot de passe associé au compte, le service va enchaîner sur la seconde authentification afin de confirmer l'authenticité de l'utilisateur.
En respectant la procédure vue ci-dessus (première ou deuxième version), avec l'utilisation du second facteur d'authentification, le facteur matériel, l'identité sera confirmée et l'utilisateur pourra accéder au service.

= Exemples d'utilisations =

Les choses qui peuvent se séparer en étapes dissociables comprennent généralement plusieurs facteurs.

Il y a énormément d'exemple possibles contenant des authentifications à multiples facteurs, que ce soit au sein de la vie courante, dans un domaine professionnel, ou même sur internet.

==Vie courante==

'''Domaine bancaire'''

Par exemple, lorsqu'on va retirer des sous sur un distributeur, on utilise deux facteurs :

[[Fichier:CB.png]]

La carte bleue est la version matériel des facteurs, et le code en est la version mémorielle.

Si on ne possède pas ces deux facteurs, il est impossible de retirer de l'argent.

Un autre exemple dans le domaine bancaire est la gestion des coffres forts, qui fait intervenir de multiples facteurs :

Avant l'ouverture, il faut des papiers d'identités, ce qui correspond à un facteur matériel, et potentiellement physique avec la photo.

Ensuite, l'ouverture nécessite deux clés : Une que l'on possède, et une que la Banque possède.
Ces deux clés correspondent à deux autres facteurs matériels.

==Domaine professionnel==
'''Question d'accès'''

''Accès à un bâtiment :''
Dans un milieu professionnel, pour pouvoir accéder à un bâtiment il faut très souvent avoir un badge, qui est au préalable enregistré : il s'agit du premier facteur, qui est matériel.

Le fait de rencontrer ses collègues peut être considéré comme un facteur physique, car une personne n'étant pas employée ne sera pas reconnue.

Enfin, l'accès a son poste de travail peut contenir plusieurs autres facteurs (clé de casier, mot de passe d’ordinateur, etc.).

''Accès à un réseau :''
Pour accéder à un réseau privé, qui peut contenir des données sensibles ou internes à l'entreprise, on peut avoir besoin de passer une authentification supplémentaire, qui va utiliser un token ou un logiciel prévu a cet effet.

[[Fichier:Token.png|300px]]

==En ligne==
'''Contenu fréquemment utilisés'''

Lorsqu'on s'identifie à un Compte Google, il est possible d'ajouter le Google Authenticator, un mécanisme supplémentaire qui va envoyer un code par SMS, renforçant ainsi la sécurité du compte.
[[Fichier:Google Authenticator.png|300px]]

'''Plateformes de jeux vidéos'''

Du fait du grand nombre d'utilisateurs des plateformes en lignes, elles se sécurisent au mieux possibles, et notamment via des authentification multiples :
Par exemple, Steam possède un mécanisme de sécurité qui va demander un code d'accès unique généré sur une application tiers.

[[Fichier:Steam Guard.png|300px]]

De même, Blizzard utilise une authentification par une application mobile.

[[Fichier:Authenticator Battlenet.png|300px]]

= Intérêts, problèmes potentiels=

==Sécurité==

L'intérêt principal de la mise en place d'un système d'authentification à multiples facteurs (MFA en anglais) est le gain important de sécurité, car pour chaque ajout de facteur sur un système, on va renforcer ses défenses.

La contrepartie à l'ajout de sécurité est le temps qui va être utilisé pour valider les étapes de sécurités.

Malgré l'augmentation de la sécurité, les systèmes MFA ne sont évidemment pas infaillible, il existe plusieurs façons de les craquer ou de les contourner.

Par exemple, l'interception des SMS envoyés, la lecture des cookies, ou l'option de récupération de mot de passe sont diverses méthodes permettant d'infiltrer un système MFA.

==Simplicité & Accessibilité==

Pour valider l'authentification avec les facteurs, il n'y a pas besoin de valider beaucoup d'étapes, les facteurs étant généralement accessibles.

Cette accessibilité est favorisé par l'utilisation du dispositif matériel (téléphone ou token), qui est facilement transportable et permet donc de générer le code à partir de n'importe quel emplacement.

Cependant, l'utilisation d'un tel dispositif engendre des problèmes (notamment la perte, l'endommagement, ou son oubli) qui peuvent provoquer l'incapacité à produire le facteur, et donc une erreur dans la procédure d’authentification à plusieurs facteurs.

= Sources =
- [https://korben.info/authentification-double-facteur-2fa.html https://korben.info/authentification-double-facteur-2fa.html]
- [https://www.wired.com/story/two-factor-authentication-apps-authy-google-authenticator/ https://www.wired.com/story/two-factor-authentication-apps-authy-google-authenticator/]
- [https://www.lemagit.fr/definition/Authentification-a-double-facteur https://www.lemagit.fr/definition/Authentification-a-double-facteur]
- [https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm]

Authentification deux facteurs

2018-11-25T23:35:25Z

Violette : /* Fonctionnement */

= Introduction =

L'authentification pour un service est un processus permettant au système de s'assurer de la légitimité de la demande d'accès faite par une entité (être humain ou un autre système...) afin d'autoriser l'accès de cette entité aux services de ce système. On peut voir ce processus dans le domaine de la banque avec la signature par exemple. On va ici l'aborder dans le domaine informatique.

'''Définition''': un facteur d'authentification est un moyen de permettre à un service/logiciel de vérifier l'identité de l'utilisateur.

On peut différencier trois types de facteurs différent:
Les facteurs mémoriels : ils correspondent à ce dont on doit se souvenir, par exemple un couple 'username / password', ou la réponse à une question secrète.

Les facteurs matériels : ils caractérisent ce que l'on possède, comme par exemple un téléphone (qui va contenir une application ou recevoir un SMS) ou un token.

Les facteurs physiques : ils s'appliquent à ce que l'on est, ce qui peut correspondre à notre voix ou nos empreintes biométriques.

Lorsqu'on utilise un seul élément pour s'identifier (le plus répandu étant le couple 'username / password'), on parle d'authentification simple. C'est une authentification rapide, mais insuffisamment sécurisé.

Pour apporter plus de sécurité, il a été pensé le fait d'ajouter un autre facteur (de préférence appartenant à un autre type).

On parle ainsi d'authentification forte, mais aussi d'authentification à deux facteurs (2FA en anglais).

= Fonctionnement =

==Premier Facteur==

Nous sommes dans le schéma classique qui est aussi le moyen le plus répandu pour s'authentifier. Il s'agit d'un facteur de type mémoriel.

[[Fichier:PremierFacteur.jpg]]

L'utilisateur va s'authentifier en rentrant son username / password auprès du service auquel il souhaite accéder.
Le service va faire passer le password dans une fonction de hachage et l'envoyer au serveur dudit service, qui va le comparer avec celui qui a été enregistré lors de la création du compte, et, si ils correspondent, l'utilisateur accède au service.

==Deuxième Facteur==

===Première version===

Nous sommes dans un schéma d'authentification qui est souvent associé au premier. Il s'agit d'un facteur de type matériel.

[[Fichier:DeuxièmeFacteurV1.jpg]]

L'utilisateur souhaite accéder à un service, auquel il se connecte avec son username / password.
Le serveur va alors créer un code, une suite de chiffres et de lettres généré aléatoirement, qui va être valide pendant une durée limité (moins d'une heure).
Il va ensuite l'envoyer à l'utilisateur via un moyen choisis au préalable : par mail, par SMS, ou avec une notification provenant d'une application mobile.
Ainsi, l'utilisateur va rentrer le code ou accepter la notification pour se connecter au service.

===Deuxième version===

Mais c'est un autre fonctionnement qui tend à se répandre de plus en plus, car il est plus sécurisé que celui vu dans la première version. Il s'agit toujours d'un facteur de type matériel.

[[Fichier:DeuxièmeFacteurV2.jpg]]

Lorsque l'utilisateur va créer un compte sur un service, il va relier un token ou une application mobile avec le serveur du service.
Cette liaison a pour but qu'un code synchronisé soit généré, ce qui va permettre l'authentification de l’utilisateur lors d'une connexion future.
Ce code est un code valide pendant une durée limité (~20 secondes), qui va régulièrement être regénéré.

Ainsi, quand l'utilisateur souhaite accéder au service, il devra récupérer le code sur le dispositif synchronisé.
Le service va donc demander a son serveur si le code est valide, et si c'est le cas l'utilisateur peut alors utiliser le service.

'''Authentifieur de type Time-based One-Time-Password TOTP'''

[[Fichier:Time-limited one time password.gif]]

C'est une extension de l'algorithme One-Time-Password OTP ( qui a pour but de générer un code à usage unique. Cet algorithme est plus sécurisé, car il prend en compte l'heure dans son calcul pour générer le code. Cet algorithme est utilisé par beaucoup d'entreprises proposant un authentifieur/token. On a donc <math>TOTP valeur(K) = OTP valeur(K,temps)</math> , avec <math>temps</math> une valeur déterminée à partir de l'heure ou le code est généré.

Cet algorithme est composé de trois paramètres:
- une fonction d'hachage (par défaut SHA1)
- une clé secrète K
- une longueur de chaine D

On commence d'abord par la génération d'un HMAC-SHA1 à partir de K et CT (compteur de temps). Ensuite, on en extrait une chaine de 31 bits avant de générer un token, on prend ces bits convertis en décimal auquel on applique le modulo <math>10^D</math>. Ceci nous donne notre token.

<math>X= HMAC(K,CT) </math>           HMAC fonction de SHA1

<math>Sbits = tronquer(X) </math>           tronquer va prendre 31 bits à partir de X

<math>T = dec(Sbits)</math> <math>mod</math> <math>10^D</math>           dec transforme Sbits en valeur décimale

==Combinatoire==

Lors de l'accès à un service, un utilisateur va d'abord entrer le premier facteur d'authentification, le facteur mémoriel, qui sert à indiquer au service à quel compte il souhaite se connecter.
Si il entre le mot de passe associé au compte, le service va enchaîner sur la seconde authentification afin de confirmer l'authenticité de l'utilisateur.
En respectant la procédure vue ci-dessus (première ou deuxième version), avec l'utilisation du second facteur d'authentification, le facteur matériel, l'identité sera confirmée et l'utilisateur pourra accéder au service.

= Exemples d'utilisations =

Les choses qui peuvent se séparer en étapes dissociables comprennent généralement plusieurs facteurs.

Il y a énormément d'exemple possibles contenant des authentifications à multiples facteurs, que ce soit au sein de la vie courante, dans un domaine professionnel, ou même sur internet.

==Vie courante==

'''Domaine bancaire'''

Par exemple, lorsqu'on va retirer des sous sur un distributeur, on utilise deux facteurs :

[[Fichier:CB.png]]

La carte bleue est la version matériel des facteurs, et le code en est la version mémorielle.

Si on ne possède pas ces deux facteurs, il est impossible de retirer de l'argent.

Un autre exemple dans le domaine bancaire est la gestion des coffres forts, qui fait intervenir de multiples facteurs :

Avant l'ouverture, il faut des papiers d'identités, ce qui correspond à un facteur matériel, et potentiellement physique avec la photo.

Ensuite, l'ouverture nécessite deux clés : Une que l'on possède, et une que la Banque possède.
Ces deux clés correspondent à deux autres facteurs matériels.

==Domaine professionnel==
'''Question d'accès'''

''Accès à un bâtiment :''
Dans un milieu professionnel, pour pouvoir accéder à un bâtiment il faut très souvent avoir un badge, qui est au préalable enregistré : il s'agit du premier facteur, qui est matériel.

Le fait de rencontrer ses collègues peut être considéré comme un facteur physique, car une personne n'étant pas employée ne sera pas reconnue.

Enfin, l'accès a son poste de travail peut contenir plusieurs autres facteurs (clé de casier, mot de passe d’ordinateur, etc.).

''Accès à un réseau :''
Pour accéder à un réseau privé, qui peut contenir des données sensibles ou internes à l'entreprise, on peut avoir besoin de passer une authentification supplémentaire, qui va utiliser un token ou un logiciel prévu a cet effet.

[[Fichier:Token.png|300px]]

==En ligne==
'''Contenu fréquemment utilisés'''

Lorsqu'on s'identifie à un Compte Google, il est possible d'ajouter le Google Authenticator, un mécanisme supplémentaire qui va envoyer un code par SMS, renforçant ainsi la sécurité du compte.
[[Fichier:Google Authenticator.png|300px]]

'''Plateformes de jeux vidéos'''

Du fait du grand nombre d'utilisateurs des plateformes en lignes, elles se sécurisent au mieux possibles, et notamment via des authentification multiples :
Par exemple, Steam possède un mécanisme de sécurité qui va demander un code d'accès unique généré sur une application tiers.

[[Fichier:Steam Guard.png|300px]]

De même, Blizzard utilise une authentification par une application mobile.

[[Fichier:Authenticator Battlenet.png|300px]]

= Intérêts, problèmes potentiels=

==Sécurité==

L'intérêt principal de la mise en place d'un système d'authentification à multiples facteurs (MFA en anglais) est le gain important de sécurité, car pour chaque ajout de facteur sur un système, on va renforcer ses défenses.

La contrepartie à l'ajout de sécurité est le temps qui va être utilisé pour valider les étapes de sécurités.

Malgré l'augmentation de la sécurité, les systèmes MFA ne sont évidemment pas infaillible, il existe plusieurs façons de les craquer ou de les contourner.

Par exemple, l'interception des SMS envoyés, la lecture des cookies, ou l'option de récupération de mot de passe sont diverses méthodes permettant d'infiltrer un système MFA.

==Simplicité & Accessibilité==

Pour valider l'authentification avec les facteurs, il n'y a pas besoin de valider beaucoup d'étapes, les facteurs étant généralement accessibles.

Cette accessibilité est favorisé par l'utilisation du dispositif matériel (téléphone ou token), qui est facilement transportable et permet donc de générer le code à partir de n'importe quel emplacement.

Cependant, l'utilisation d'un tel dispositif engendre des problèmes (notamment tout ce qui peut concerner la perte ou des dommages, provoquant l'incapacité à produire le facteur.

= Sources =
- [https://korben.info/authentification-double-facteur-2fa.html https://korben.info/authentification-double-facteur-2fa.html]
- [https://www.wired.com/story/two-factor-authentication-apps-authy-google-authenticator/ https://www.wired.com/story/two-factor-authentication-apps-authy-google-authenticator/]
- [https://www.lemagit.fr/definition/Authentification-a-double-facteur https://www.lemagit.fr/definition/Authentification-a-double-facteur]
- [https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm]

Authentification deux facteurs

2018-11-25T23:02:40Z

Violette : /* Introduction */

= Introduction =

L'authentification pour un service est un processus permettant au système de s'assurer de la légitimité de la demande d'accès faite par une entité (être humain ou un autre système...) afin d'autoriser l'accès de cette entité aux services de ce système. On peut voir ce processus dans le domaine de la banque avec la signature par exemple. On va ici l'aborder dans le domaine informatique.

'''Définition''': un facteur d'authentification est un moyen de permettre à un service/logiciel de vérifier l'identité de l'utilisateur.

On peut différencier trois types de facteurs différent:
Les facteurs mémoriels : ils correspondent à ce dont on doit se souvenir, par exemple un couple 'username / password', ou la réponse à une question secrète.

Les facteurs matériels : ils caractérisent ce que l'on possède, comme par exemple un téléphone (qui va contenir une application ou recevoir un SMS) ou un token.

Les facteurs physiques : ils s'appliquent à ce que l'on est, ce qui peut correspondre à notre voix ou nos empreintes biométriques.

Lorsqu'on utilise un seul élément pour s'identifier (le plus répandu étant le couple 'username / password'), on parle d'authentification simple. C'est une authentification rapide, mais insuffisamment sécurisé.

Pour apporter plus de sécurité, il a été pensé le fait d'ajouter un autre facteur (de préférence appartenant à un autre type).

On parle ainsi d'authentification forte, mais aussi d'authentification à deux facteurs (2FA en anglais).

= Fonctionnement =

==Premier Facteur==

On est dans le schéma classique qui est aussi le moyen le plus répandu pour s'authentifier. C'est un facteur de type mémoriel.

[[Fichier:PremierFacteur.jpg]]

L'utilisateur va s'authentifier en rentrant son username et le password associé auprès du service auquel il souhaite accéder.
Le service va alors faire passer le password dans une fonction de hachage et l'envoyé au serveur dudit service.
Le serveur va alors comparer le password qui a enregistré lors de la création de compte avec celui qu'il vient de recevoir.
Si le password correspond, l'utilisateur accède au service.

==Deuxième Facteur==

===Première version===

On est dans un schéma d'authentification qui est souvent associé au premier. C'est un facteur de type matériel.

[[Fichier:DeuxièmeFacteurV1.jpg]]

L'utilisateur souhaite accéder à un service. Pour ce faire il se connecte au service avec un username.
Le serveur va alors créer un code, suite de chiffres et/ou lettres, générer aléatoirement et qui va être valide durant un certain temps.
Il va ensuite l'envoyer à l'utilisateur via un moyen choisis par ce même utilisateur lors de la création de compte.
L'utilisateur va alors recevoir ce code via mail/SMS ou encore avec une notification sur une application mobile avec le choix de valider la connexion ou non.
L'utilisateur va alors rentrer le code ou accepter la notification pour se connecter à son service.

===Deuxième version===

C'est un facteur de type matériel. Mais c'est un autre fonctionnement qui tend à se répandre de plus en plus.

[[Fichier:DeuxièmeFacteurV2.jpg]]

Lorsque l'utilisateur va créer un compte il va se servir d'un token ou d'une application mobile, qu'il va synchroniser avec le serveur du service pour générer toujours le même code au même moment.
L'utilisateur souhaite alors accéder au service. Le service va alors demander à l'utilisateur le code, suite de chiffres et/ou lettres, qui est valable sur une courte durée.
L'utilisateur va alors se servir de son token/application mobile, récupérer le code et ensuite le rentrer sur le service.
Le service va alors demander au serveur si le code est bien le même qu'il a généré.
Si c'est le cas l'utilisateur peut alors utiliser le service.

'''Authentifieur de type Time-based One-Time-Password TOTP'''

[[Fichier:Time-limited one time password.gif]]

C'est une extension de l'algorithme One-Time-Password OTP ( qui a pour but de générer un code à usage unique. Cet algorithme est plus sécurisé, car il prend en compte l'heure dans son calcul pour générer le code. Cet algorithme est utilisé par beaucoup d'entreprise proposant un authentificateur/token. On a donc <math>TOTP valeur(K) = OTP valeur(K,temps)</math> , avec temps une valeur déterminée à partir de l'heure ou le code est généré.

Cet algorithme est composé de trois paramètres:
- une fonction d'hachage (par défaut SHA1)
- une clé secrète K
- une longueur de chaine D

On commence d'abord par la génération d'un HMAC-SHA1 à partir de K et CT (compteur de temps). Ensuite, on en extrait une chaine de 31 bits avant de générer un token, on prend ces bits convertis en décimal auquel on applique le modulo <math>10^D</math>. Ceci nous donne notre token.

<math>X= HMAC(K,CT) </math>           HMAC fonction de SHA1

<math>Sbits = tronquer(X) </math>           tronquer va prendre 31 bits à partir de X

<math>T = dec(Sbits)</math> <math>mod</math> <math>10^D</math>           dec transforme Sbits en valeur décimale

'''Combinatoire'''

On se sert donc dans un premier temps du premier facteur d'authentification mémorielle qui sert à indiquer au service à quel compte on souhaite se connecte et ensuite le mot de passe qui permet de réaliser une première vérification. Si l'entité entre le bon mot de passe associé au compte, le service va alors passer à la seconde authentification pour confirmer l'identité de l'entité. On va soit recopier le code reçu par mail/texto ou encore accepter la notification ou recopier la valeur du token. Le service va alors confirmer notre identité et on peut ainsi accéder au service.

= Exemples d'utilisations =

Les choses qui peuvent se séparer en étapes dissociables comprennent généralement plusieurs facteurs.

Il y a énormément d'exemple possibles contenant des authentifications à multiples facteurs, que ce soit au sein de la vie courante, dans un domaine professionnel, ou même sur internet.

==Vie courante==

'''Domaine bancaire'''

Par exemple, lorsqu'on va retirer des sous sur un distributeur, on utilise deux facteurs :

[[Fichier:CB.png]]

La carte bleue est la version matériel des facteurs, et le code en est la version mémorielle.

Si on ne possède pas ces deux facteurs, il est impossible de retirer de l'argent.

Un autre exemple dans le domaine bancaire est la gestion des coffres forts, qui fait intervenir de multiples facteurs :

Avant l'ouverture, il faut des papiers d'identités, ce qui correspond à un facteur matériel, et potentiellement physique avec la photo.

Ensuite, l'ouverture nécessite deux clés : Une que l'on possède, et une que la Banque possède.
Ces deux clés correspondent à deux autres facteurs matériels.

==Domaine professionnel==
'''Question d'accès'''

''Accès à un bâtiment :''
Dans un milieu professionnel, pour pouvoir accéder à un bâtiment il faut très souvent avoir un badge, qui est au préalable enregistré : il s'agit du premier facteur, qui est matériel.

Le fait de rencontrer ses collègues peut être considéré comme un facteur physique, car une personne n'étant pas employée ne sera pas reconnue.

Enfin, l'accès a son poste de travail peut contenir plusieurs autres facteurs (clé de casier, mot de passe d’ordinateur, etc.).

''Accès à un réseau :''
Pour accéder à un réseau privé, qui peut contenir des données sensibles ou internes à l'entreprise, on peut avoir besoin de passer une authentification supplémentaire, qui va utiliser un token ou un logiciel prévu a cet effet.

[[Fichier:Token.png|300px]]

==En ligne==
'''Contenu fréquemment utilisés'''

Lorsqu'on s'identifie à un Compte Google, il est possible d'ajouter le Google Authenticator, un mécanisme supplémentaire qui va envoyer un code par SMS, renforçant ainsi la sécurité du compte.
[[Fichier:Google Authenticator.png|300px]]

'''Plateformes de jeux vidéos'''

Du fait du grand nombre d'utilisateurs des plateformes en lignes, elles se sécurisent au mieux possibles, et notamment via des authentification multiples :
Par exemple, Steam possède un mécanisme de sécurité qui va demander un code d'accès unique généré sur une application tiers.

[[Fichier:Steam Guard.png|300px]]

De même, Blizzard utilise une authentification par une application mobile.

[[Fichier:Authenticator Battlenet.png|300px]]

= Intérêts, problèmes potentiels=

==Sécurité==

L'intérêt principal de la mise en place d'un système d'authentification à multiples facteurs (MFA en anglais) est le gain important de sécurité, car pour chaque ajout de facteur sur un système, on va renforcer ses défenses.

La contrepartie à l'ajout de sécurité est le temps qui va être utilisé pour valider les étapes de sécurités.

Malgré l'augmentation de la sécurité, les systèmes MFA ne sont évidemment pas infaillible, il existe plusieurs façons de les craquer ou de les contourner.

Par exemple, l'interception des SMS envoyés, la lecture des cookies, ou l'option de récupération de mot de passe sont diverses méthodes permettant d'infiltrer un système MFA.

==Simplicité & Accessibilité==

Pour valider l'authentification avec les facteurs, il n'y a pas besoin de valider beaucoup d'étapes, les facteurs étant généralement accessibles.

Cette accessibilité est favorisé par l'utilisation du dispositif matériel (téléphone ou token), qui est facilement transportable et permet donc de générer le code à partir de n'importe quel emplacement.

Cependant, l'utilisation d'un tel dispositif engendre des problèmes (notamment tout ce qui peut concerner la perte ou des dommages, provoquant l'incapacité à produire le facteur.

= Sources =
- [https://korben.info/authentification-double-facteur-2fa.html https://korben.info/authentification-double-facteur-2fa.html]
- [https://www.wired.com/story/two-factor-authentication-apps-authy-google-authenticator/ https://www.wired.com/story/two-factor-authentication-apps-authy-google-authenticator/]
- [https://www.lemagit.fr/definition/Authentification-a-double-facteur https://www.lemagit.fr/definition/Authentification-a-double-facteur]
- [https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm]

Authentification deux facteurs

2018-11-25T23:01:40Z

Violette : /* Introduction */

= Introduction =

L'authentification pour un service est un processus permettant au système de s'assurer de la légitimité de la demande d'accès faite par une entité (être humain ou un autre système...) afin d'autoriser l'accès de cette entité aux services de ce système. On peut voir ce processus dans le domaine de la banque avec la signature par exemple. On va ici l'aborder dans le domaine informatique.

'''Définition''': un facteur d'authentification est un moyen de permettre à un service/logiciel de vérifier l'identité de l'utilisateur.

On peut différencier trois types de facteurs différent:
Les facteurs mémoriels : ils correspondent à ce dont on doit se souvenir, par exemple un couple username | password, ou la réponse à une question secrète.

Les facteurs matériels : ils caractérisent ce que l'on possède, comme par exemple un téléphone (qui va contenir une application ou recevoir un SMS) ou un token.

Les facteurs physiques : ils s'appliquent à ce que l'on est, ce qui peut correspondre à notre voix ou nos empreintes biométriques.

Lorsqu'on utilise un seul élément pour s'identifier, le plus répandu étant le couple username | password, on parle d'authentification simple. C'est une authentification rapide, mais insuffisamment sécurisé.

Pour apporter plus de sécurité, il a été pensé le fait d'ajouter un autre facteur (de préférence appartenant à un autre type).

On parle ainsi d'authentification forte, mais aussi d'authentification à deux facteurs (2FA en anglais).

= Fonctionnement =

==Premier Facteur==

On est dans le schéma classique qui est aussi le moyen le plus répandu pour s'authentifier. C'est un facteur de type mémoriel.

[[Fichier:PremierFacteur.jpg]]

L'utilisateur va s'authentifier en rentrant son username et le password associé auprès du service auquel il souhaite accéder.
Le service va alors faire passer le password dans une fonction de hachage et l'envoyé au serveur dudit service.
Le serveur va alors comparer le password qui a enregistré lors de la création de compte avec celui qu'il vient de recevoir.
Si le password correspond, l'utilisateur accède au service.

==Deuxième Facteur==

===Première version===

On est dans un schéma d'authentification qui est souvent associé au premier. C'est un facteur de type matériel.

[[Fichier:DeuxièmeFacteurV1.jpg]]

L'utilisateur souhaite accéder à un service. Pour ce faire il se connecte au service avec un username.
Le serveur va alors créer un code, suite de chiffres et/ou lettres, générer aléatoirement et qui va être valide durant un certain temps.
Il va ensuite l'envoyer à l'utilisateur via un moyen choisis par ce même utilisateur lors de la création de compte.
L'utilisateur va alors recevoir ce code via mail/SMS ou encore avec une notification sur une application mobile avec le choix de valider la connexion ou non.
L'utilisateur va alors rentrer le code ou accepter la notification pour se connecter à son service.

===Deuxième version===

C'est un facteur de type matériel. Mais c'est un autre fonctionnement qui tend à se répandre de plus en plus.

[[Fichier:DeuxièmeFacteurV2.jpg]]

Lorsque l'utilisateur va créer un compte il va se servir d'un token ou d'une application mobile, qu'il va synchroniser avec le serveur du service pour générer toujours le même code au même moment.
L'utilisateur souhaite alors accéder au service. Le service va alors demander à l'utilisateur le code, suite de chiffres et/ou lettres, qui est valable sur une courte durée.
L'utilisateur va alors se servir de son token/application mobile, récupérer le code et ensuite le rentrer sur le service.
Le service va alors demander au serveur si le code est bien le même qu'il a généré.
Si c'est le cas l'utilisateur peut alors utiliser le service.

'''Authentifieur de type Time-based One-Time-Password TOTP'''

[[Fichier:Time-limited one time password.gif]]

C'est une extension de l'algorithme One-Time-Password OTP ( qui a pour but de générer un code à usage unique. Cet algorithme est plus sécurisé, car il prend en compte l'heure dans son calcul pour générer le code. Cet algorithme est utilisé par beaucoup d'entreprise proposant un authentificateur/token. On a donc <math>TOTP valeur(K) = OTP valeur(K,temps)</math> , avec temps une valeur déterminée à partir de l'heure ou le code est généré.

Cet algorithme est composé de trois paramètres:
- une fonction d'hachage (par défaut SHA1)
- une clé secrète K
- une longueur de chaine D

On commence d'abord par la génération d'un HMAC-SHA1 à partir de K et CT (compteur de temps). Ensuite, on en extrait une chaine de 31 bits avant de générer un token, on prend ces bits convertis en décimal auquel on applique le modulo <math>10^D</math>. Ceci nous donne notre token.

<math>X= HMAC(K,CT) </math>           HMAC fonction de SHA1

<math>Sbits = tronquer(X) </math>           tronquer va prendre 31 bits à partir de X

<math>T = dec(Sbits)</math> <math>mod</math> <math>10^D</math>           dec transforme Sbits en valeur décimale

'''Combinatoire'''

On se sert donc dans un premier temps du premier facteur d'authentification mémorielle qui sert à indiquer au service à quel compte on souhaite se connecte et ensuite le mot de passe qui permet de réaliser une première vérification. Si l'entité entre le bon mot de passe associé au compte, le service va alors passer à la seconde authentification pour confirmer l'identité de l'entité. On va soit recopier le code reçu par mail/texto ou encore accepter la notification ou recopier la valeur du token. Le service va alors confirmer notre identité et on peut ainsi accéder au service.

= Exemples d'utilisations =

Les choses qui peuvent se séparer en étapes dissociables comprennent généralement plusieurs facteurs.

Il y a énormément d'exemple possibles contenant des authentifications à multiples facteurs, que ce soit au sein de la vie courante, dans un domaine professionnel, ou même sur internet.

==Vie courante==

'''Domaine bancaire'''

Par exemple, lorsqu'on va retirer des sous sur un distributeur, on utilise deux facteurs :

[[Fichier:CB.png]]

La carte bleue est la version matériel des facteurs, et le code en est la version mémorielle.

Si on ne possède pas ces deux facteurs, il est impossible de retirer de l'argent.

Un autre exemple dans le domaine bancaire est la gestion des coffres forts, qui fait intervenir de multiples facteurs :

Avant l'ouverture, il faut des papiers d'identités, ce qui correspond à un facteur matériel, et potentiellement physique avec la photo.

Ensuite, l'ouverture nécessite deux clés : Une que l'on possède, et une que la Banque possède.
Ces deux clés correspondent à deux autres facteurs matériels.

==Domaine professionnel==
'''Question d'accès'''

''Accès à un bâtiment :''
Dans un milieu professionnel, pour pouvoir accéder à un bâtiment il faut très souvent avoir un badge, qui est au préalable enregistré : il s'agit du premier facteur, qui est matériel.

Le fait de rencontrer ses collègues peut être considéré comme un facteur physique, car une personne n'étant pas employée ne sera pas reconnue.

Enfin, l'accès a son poste de travail peut contenir plusieurs autres facteurs (clé de casier, mot de passe d’ordinateur, etc.).

''Accès à un réseau :''
Pour accéder à un réseau privé, qui peut contenir des données sensibles ou internes à l'entreprise, on peut avoir besoin de passer une authentification supplémentaire, qui va utiliser un token ou un logiciel prévu a cet effet.

[[Fichier:Token.png|300px]]

==En ligne==
'''Contenu fréquemment utilisés'''

Lorsqu'on s'identifie à un Compte Google, il est possible d'ajouter le Google Authenticator, un mécanisme supplémentaire qui va envoyer un code par SMS, renforçant ainsi la sécurité du compte.
[[Fichier:Google Authenticator.png|300px]]

'''Plateformes de jeux vidéos'''

Du fait du grand nombre d'utilisateurs des plateformes en lignes, elles se sécurisent au mieux possibles, et notamment via des authentification multiples :
Par exemple, Steam possède un mécanisme de sécurité qui va demander un code d'accès unique généré sur une application tiers.

[[Fichier:Steam Guard.png|300px]]

De même, Blizzard utilise une authentification par une application mobile.

[[Fichier:Authenticator Battlenet.png|300px]]

= Intérêts, problèmes potentiels=

==Sécurité==

L'intérêt principal de la mise en place d'un système d'authentification à multiples facteurs (MFA en anglais) est le gain important de sécurité, car pour chaque ajout de facteur sur un système, on va renforcer ses défenses.

La contrepartie à l'ajout de sécurité est le temps qui va être utilisé pour valider les étapes de sécurités.

Malgré l'augmentation de la sécurité, les systèmes MFA ne sont évidemment pas infaillible, il existe plusieurs façons de les craquer ou de les contourner.

Par exemple, l'interception des SMS envoyés, la lecture des cookies, ou l'option de récupération de mot de passe sont diverses méthodes permettant d'infiltrer un système MFA.

==Simplicité & Accessibilité==

Pour valider l'authentification avec les facteurs, il n'y a pas besoin de valider beaucoup d'étapes, les facteurs étant généralement accessibles.

Cette accessibilité est favorisé par l'utilisation du dispositif matériel (téléphone ou token), qui est facilement transportable et permet donc de générer le code à partir de n'importe quel emplacement.

Cependant, l'utilisation d'un tel dispositif engendre des problèmes (notamment tout ce qui peut concerner la perte ou des dommages, provoquant l'incapacité à produire le facteur.

= Sources =
- [https://korben.info/authentification-double-facteur-2fa.html https://korben.info/authentification-double-facteur-2fa.html]
- [https://www.wired.com/story/two-factor-authentication-apps-authy-google-authenticator/ https://www.wired.com/story/two-factor-authentication-apps-authy-google-authenticator/]
- [https://www.lemagit.fr/definition/Authentification-a-double-facteur https://www.lemagit.fr/definition/Authentification-a-double-facteur]
- [https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm]

Authentification deux facteurs

2018-11-25T22:59:50Z

Violette : /* Simplicité & Accessibilité */

= Introduction =

L'authentification pour un service est un processus permettant au système de s'assurer de la légitimité de la demande d'accès faite par une entité (être humain ou un autre système...) afin d'autoriser l'accès de cette entité aux services de ce système. On peut voir ce processus dans le domaine de la banque avec la signature par exemple. On va ici l'aborder dans le domaine informatique.

'''Définition''': un facteur d'authentification est un moyen de permettre à un service/logiciel de vérifier l'identité de l'utilisateur.

On peut différencier 3 types de facteurs différent:
Les facteurs mémoriels : ils correspondent à ce dont on doit se souvenir, par exemple un couple username | password, ou la réponse à une question secrète.

Les facteurs matériels : ils caractérisent ce que l'on possède, comme par exemple un téléphone (qui va contenir une application ou recevoir un SMS) ou un token.

Les facteurs physiques : ils s'appliquent à ce que l'on est, ce qui peut correspondre à notre voix ou nos empreintes biométriques.

Lorsqu'on utilise un seul élément pour s'identifier, le plus répandu étant le couple username | password, on parle d'authentification simple. C'est une authentification rapide, mais insuffisamment sécurisé.

Pour apporter plus de sécurité, il a été pensé le fait d'ajouter un autre facteur (de préférence appartenant à un autre type).

On parle ainsi d'authentification forte, mais aussi d'authentification à deux facteurs (2FA en anglais).

= Fonctionnement =

==Premier Facteur==

On est dans le schéma classique qui est aussi le moyen le plus répandu pour s'authentifier. C'est un facteur de type mémoriel.

[[Fichier:PremierFacteur.jpg]]

L'utilisateur va s'authentifier en rentrant son username et le password associé auprès du service auquel il souhaite accéder.
Le service va alors faire passer le password dans une fonction de hachage et l'envoyé au serveur dudit service.
Le serveur va alors comparer le password qui a enregistré lors de la création de compte avec celui qu'il vient de recevoir.
Si le password correspond, l'utilisateur accède au service.

==Deuxième Facteur==

===Première version===

On est dans un schéma d'authentification qui est souvent associé au premier. C'est un facteur de type matériel.

[[Fichier:DeuxièmeFacteurV1.jpg]]

L'utilisateur souhaite accéder à un service. Pour ce faire il se connecte au service avec un username.
Le serveur va alors créer un code, suite de chiffres et/ou lettres, générer aléatoirement et qui va être valide durant un certain temps.
Il va ensuite l'envoyer à l'utilisateur via un moyen choisis par ce même utilisateur lors de la création de compte.
L'utilisateur va alors recevoir ce code via mail/SMS ou encore avec une notification sur une application mobile avec le choix de valider la connexion ou non.
L'utilisateur va alors rentrer le code ou accepter la notification pour se connecter à son service.

===Deuxième version===

C'est un facteur de type matériel. Mais c'est un autre fonctionnement qui tend à se répandre de plus en plus.

[[Fichier:DeuxièmeFacteurV2.jpg]]

Lorsque l'utilisateur va créer un compte il va se servir d'un token ou d'une application mobile, qu'il va synchroniser avec le serveur du service pour générer toujours le même code au même moment.
L'utilisateur souhaite alors accéder au service. Le service va alors demander à l'utilisateur le code, suite de chiffres et/ou lettres, qui est valable sur une courte durée.
L'utilisateur va alors se servir de son token/application mobile, récupérer le code et ensuite le rentrer sur le service.
Le service va alors demander au serveur si le code est bien le même qu'il a généré.
Si c'est le cas l'utilisateur peut alors utiliser le service.

'''Authentifieur de type Time-based One-Time-Password TOTP'''

[[Fichier:Time-limited one time password.gif]]

C'est une extension de l'algorithme One-Time-Password OTP ( qui a pour but de générer un code à usage unique. Cet algorithme est plus sécurisé, car il prend en compte l'heure dans son calcul pour générer le code. Cet algorithme est utilisé par beaucoup d'entreprise proposant un authentificateur/token. On a donc <math>TOTP valeur(K) = OTP valeur(K,temps)</math> , avec temps une valeur déterminée à partir de l'heure ou le code est généré.

Cet algorithme est composé de trois paramètres:
- une fonction d'hachage (par défaut SHA1)
- une clé secrète K
- une longueur de chaine D

On commence d'abord par la génération d'un HMAC-SHA1 à partir de K et CT (compteur de temps). Ensuite, on en extrait une chaine de 31 bits avant de générer un token, on prend ces bits convertis en décimal auquel on applique le modulo <math>10^D</math>. Ceci nous donne notre token.

<math>X= HMAC(K,CT) </math>           HMAC fonction de SHA1

<math>Sbits = tronquer(X) </math>           tronquer va prendre 31 bits à partir de X

<math>T = dec(Sbits)</math> <math>mod</math> <math>10^D</math>           dec transforme Sbits en valeur décimale

'''Combinatoire'''

On se sert donc dans un premier temps du premier facteur d'authentification mémorielle qui sert à indiquer au service à quel compte on souhaite se connecte et ensuite le mot de passe qui permet de réaliser une première vérification. Si l'entité entre le bon mot de passe associé au compte, le service va alors passer à la seconde authentification pour confirmer l'identité de l'entité. On va soit recopier le code reçu par mail/texto ou encore accepter la notification ou recopier la valeur du token. Le service va alors confirmer notre identité et on peut ainsi accéder au service.

= Exemples d'utilisations =

Les choses qui peuvent se séparer en étapes dissociables comprennent généralement plusieurs facteurs.

Il y a énormément d'exemple possibles contenant des authentifications à multiples facteurs, que ce soit au sein de la vie courante, dans un domaine professionnel, ou même sur internet.

==Vie courante==

'''Domaine bancaire'''

Par exemple, lorsqu'on va retirer des sous sur un distributeur, on utilise deux facteurs :

[[Fichier:CB.png]]

La carte bleue est la version matériel des facteurs, et le code en est la version mémorielle.

Si on ne possède pas ces deux facteurs, il est impossible de retirer de l'argent.

Un autre exemple dans le domaine bancaire est la gestion des coffres forts, qui fait intervenir de multiples facteurs :

Avant l'ouverture, il faut des papiers d'identités, ce qui correspond à un facteur matériel, et potentiellement physique avec la photo.

Ensuite, l'ouverture nécessite deux clés : Une que l'on possède, et une que la Banque possède.
Ces deux clés correspondent à deux autres facteurs matériels.

==Domaine professionnel==
'''Question d'accès'''

''Accès à un bâtiment :''
Dans un milieu professionnel, pour pouvoir accéder à un bâtiment il faut très souvent avoir un badge, qui est au préalable enregistré : il s'agit du premier facteur, qui est matériel.

Le fait de rencontrer ses collègues peut être considéré comme un facteur physique, car une personne n'étant pas employée ne sera pas reconnue.

Enfin, l'accès a son poste de travail peut contenir plusieurs autres facteurs (clé de casier, mot de passe d’ordinateur, etc.).

''Accès à un réseau :''
Pour accéder à un réseau privé, qui peut contenir des données sensibles ou internes à l'entreprise, on peut avoir besoin de passer une authentification supplémentaire, qui va utiliser un token ou un logiciel prévu a cet effet.

[[Fichier:Token.png|300px]]

==En ligne==
'''Contenu fréquemment utilisés'''

Lorsqu'on s'identifie à un Compte Google, il est possible d'ajouter le Google Authenticator, un mécanisme supplémentaire qui va envoyer un code par SMS, renforçant ainsi la sécurité du compte.
[[Fichier:Google Authenticator.png|300px]]

'''Plateformes de jeux vidéos'''

Du fait du grand nombre d'utilisateurs des plateformes en lignes, elles se sécurisent au mieux possibles, et notamment via des authentification multiples :
Par exemple, Steam possède un mécanisme de sécurité qui va demander un code d'accès unique généré sur une application tiers.

[[Fichier:Steam Guard.png|300px]]

De même, Blizzard utilise une authentification par une application mobile.

[[Fichier:Authenticator Battlenet.png|300px]]

= Intérêts, problèmes potentiels=

==Sécurité==

L'intérêt principal de la mise en place d'un système d'authentification à multiples facteurs (MFA en anglais) est le gain important de sécurité, car pour chaque ajout de facteur sur un système, on va renforcer ses défenses.

La contrepartie à l'ajout de sécurité est le temps qui va être utilisé pour valider les étapes de sécurités.

Malgré l'augmentation de la sécurité, les systèmes MFA ne sont évidemment pas infaillible, il existe plusieurs façons de les craquer ou de les contourner.

Par exemple, l'interception des SMS envoyés, la lecture des cookies, ou l'option de récupération de mot de passe sont diverses méthodes permettant d'infiltrer un système MFA.

==Simplicité & Accessibilité==

Pour valider l'authentification avec les facteurs, il n'y a pas besoin de valider beaucoup d'étapes, les facteurs étant généralement accessibles.

Cette accessibilité est favorisé par l'utilisation du dispositif matériel (téléphone ou token), qui est facilement transportable et permet donc de générer le code à partir de n'importe quel emplacement.

Cependant, l'utilisation d'un tel dispositif engendre des problèmes (notamment tout ce qui peut concerner la perte ou des dommages, provoquant l'incapacité à produire le facteur.

= Sources =
- [https://korben.info/authentification-double-facteur-2fa.html https://korben.info/authentification-double-facteur-2fa.html]
- [https://www.wired.com/story/two-factor-authentication-apps-authy-google-authenticator/ https://www.wired.com/story/two-factor-authentication-apps-authy-google-authenticator/]
- [https://www.lemagit.fr/definition/Authentification-a-double-facteur https://www.lemagit.fr/definition/Authentification-a-double-facteur]
- [https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm]

Authentification deux facteurs

2018-11-25T22:58:10Z

Violette : /* Utilité */

= Introduction =

L'authentification pour un service est un processus permettant au système de s'assurer de la légitimité de la demande d'accès faite par une entité (être humain ou un autre système...) afin d'autoriser l'accès de cette entité aux services de ce système. On peut voir ce processus dans le domaine de la banque avec la signature par exemple. On va ici l'aborder dans le domaine informatique.

'''Définition''': un facteur d'authentification est un moyen de permettre à un service/logiciel de vérifier l'identité de l'utilisateur.

On peut différencier 3 types de facteurs différent:
Les facteurs mémoriels : ils correspondent à ce dont on doit se souvenir, par exemple un couple username | password, ou la réponse à une question secrète.

Les facteurs matériels : ils caractérisent ce que l'on possède, comme par exemple un téléphone (qui va contenir une application ou recevoir un SMS) ou un token.

Les facteurs physiques : ils s'appliquent à ce que l'on est, ce qui peut correspondre à notre voix ou nos empreintes biométriques.

Lorsqu'on utilise un seul élément pour s'identifier, le plus répandu étant le couple username | password, on parle d'authentification simple. C'est une authentification rapide, mais insuffisamment sécurisé.

Pour apporter plus de sécurité, il a été pensé le fait d'ajouter un autre facteur (de préférence appartenant à un autre type).

On parle ainsi d'authentification forte, mais aussi d'authentification à deux facteurs (2FA en anglais).

= Fonctionnement =

==Premier Facteur==

On est dans le schéma classique qui est aussi le moyen le plus répandu pour s'authentifier. C'est un facteur de type mémoriel.

[[Fichier:PremierFacteur.jpg]]

L'utilisateur va s'authentifier en rentrant son username et le password associé auprès du service auquel il souhaite accéder.
Le service va alors faire passer le password dans une fonction de hachage et l'envoyé au serveur dudit service.
Le serveur va alors comparer le password qui a enregistré lors de la création de compte avec celui qu'il vient de recevoir.
Si le password correspond, l'utilisateur accède au service.

==Deuxième Facteur==

===Première version===

On est dans un schéma d'authentification qui est souvent associé au premier. C'est un facteur de type matériel.

[[Fichier:DeuxièmeFacteurV1.jpg]]

L'utilisateur souhaite accéder à un service. Pour ce faire il se connecte au service avec un username.
Le serveur va alors créer un code, suite de chiffres et/ou lettres, générer aléatoirement et qui va être valide durant un certain temps.
Il va ensuite l'envoyer à l'utilisateur via un moyen choisis par ce même utilisateur lors de la création de compte.
L'utilisateur va alors recevoir ce code via mail/SMS ou encore avec une notification sur une application mobile avec le choix de valider la connexion ou non.
L'utilisateur va alors rentrer le code ou accepter la notification pour se connecter à son service.

===Deuxième version===

C'est un facteur de type matériel. Mais c'est un autre fonctionnement qui tend à se répandre de plus en plus.

[[Fichier:DeuxièmeFacteurV2.jpg]]

Lorsque l'utilisateur va créer un compte il va se servir d'un token ou d'une application mobile, qu'il va synchroniser avec le serveur du service pour générer toujours le même code au même moment.
L'utilisateur souhaite alors accéder au service. Le service va alors demander à l'utilisateur le code, suite de chiffres et/ou lettres, qui est valable sur une courte durée.
L'utilisateur va alors se servir de son token/application mobile, récupérer le code et ensuite le rentrer sur le service.
Le service va alors demander au serveur si le code est bien le même qu'il a généré.
Si c'est le cas l'utilisateur peut alors utiliser le service.

'''Authentifieur de type Time-based One-Time-Password TOTP'''

[[Fichier:Time-limited one time password.gif]]

C'est une extension de l'algorithme One-Time-Password OTP ( qui a pour but de générer un code à usage unique. Cet algorithme est plus sécurisé, car il prend en compte l'heure dans son calcul pour générer le code. Cet algorithme est utilisé par beaucoup d'entreprise proposant un authentificateur/token. On a donc <math>TOTP valeur(K) = OTP valeur(K,temps)</math> , avec temps une valeur déterminée à partir de l'heure ou le code est généré.

Cet algorithme est composé de trois paramètres:
- une fonction d'hachage (par défaut SHA1)
- une clé secrète K
- une longueur de chaine D

On commence d'abord par la génération d'un HMAC-SHA1 à partir de K et CT (compteur de temps). Ensuite, on en extrait une chaine de 31 bits avant de générer un token, on prend ces bits convertis en décimal auquel on applique le modulo <math>10^D</math>. Ceci nous donne notre token.

<math>X= HMAC(K,CT) </math>           HMAC fonction de SHA1

<math>Sbits = tronquer(X) </math>           tronquer va prendre 31 bits à partir de X

<math>T = dec(Sbits)</math> <math>mod</math> <math>10^D</math>           dec transforme Sbits en valeur décimale

'''Combinatoire'''

On se sert donc dans un premier temps du premier facteur d'authentification mémorielle qui sert à indiquer au service à quel compte on souhaite se connecte et ensuite le mot de passe qui permet de réaliser une première vérification. Si l'entité entre le bon mot de passe associé au compte, le service va alors passer à la seconde authentification pour confirmer l'identité de l'entité. On va soit recopier le code reçu par mail/texto ou encore accepter la notification ou recopier la valeur du token. Le service va alors confirmer notre identité et on peut ainsi accéder au service.

= Exemples d'utilisations =

Les choses qui peuvent se séparer en étapes dissociables comprennent généralement plusieurs facteurs.

Il y a énormément d'exemple possibles contenant des authentifications à multiples facteurs, que ce soit au sein de la vie courante, dans un domaine professionnel, ou même sur internet.

==Vie courante==

'''Domaine bancaire'''

Par exemple, lorsqu'on va retirer des sous sur un distributeur, on utilise deux facteurs :

[[Fichier:CB.png]]

La carte bleue est la version matériel des facteurs, et le code en est la version mémorielle.

Si on ne possède pas ces deux facteurs, il est impossible de retirer de l'argent.

Un autre exemple dans le domaine bancaire est la gestion des coffres forts, qui fait intervenir de multiples facteurs :

Avant l'ouverture, il faut des papiers d'identités, ce qui correspond à un facteur matériel, et potentiellement physique avec la photo.

Ensuite, l'ouverture nécessite deux clés : Une que l'on possède, et une que la Banque possède.
Ces deux clés correspondent à deux autres facteurs matériels.

==Domaine professionnel==
'''Question d'accès'''

''Accès à un bâtiment :''
Dans un milieu professionnel, pour pouvoir accéder à un bâtiment il faut très souvent avoir un badge, qui est au préalable enregistré : il s'agit du premier facteur, qui est matériel.

Le fait de rencontrer ses collègues peut être considéré comme un facteur physique, car une personne n'étant pas employée ne sera pas reconnue.

Enfin, l'accès a son poste de travail peut contenir plusieurs autres facteurs (clé de casier, mot de passe d’ordinateur, etc.).

''Accès à un réseau :''
Pour accéder à un réseau privé, qui peut contenir des données sensibles ou internes à l'entreprise, on peut avoir besoin de passer une authentification supplémentaire, qui va utiliser un token ou un logiciel prévu a cet effet.

[[Fichier:Token.png|300px]]

==En ligne==
'''Contenu fréquemment utilisés'''

Lorsqu'on s'identifie à un Compte Google, il est possible d'ajouter le Google Authenticator, un mécanisme supplémentaire qui va envoyer un code par SMS, renforçant ainsi la sécurité du compte.
[[Fichier:Google Authenticator.png|300px]]

'''Plateformes de jeux vidéos'''

Du fait du grand nombre d'utilisateurs des plateformes en lignes, elles se sécurisent au mieux possibles, et notamment via des authentification multiples :
Par exemple, Steam possède un mécanisme de sécurité qui va demander un code d'accès unique généré sur une application tiers.

[[Fichier:Steam Guard.png|300px]]

De même, Blizzard utilise une authentification par une application mobile.

[[Fichier:Authenticator Battlenet.png|300px]]

= Intérêts, problèmes potentiels=

==Sécurité==

L'intérêt principal de la mise en place d'un système d'authentification à multiples facteurs (MFA en anglais) est le gain important de sécurité, car pour chaque ajout de facteur sur un système, on va renforcer ses défenses.

La contrepartie à l'ajout de sécurité est le temps qui va être utilisé pour valider les étapes de sécurités.

Malgré l'augmentation de la sécurité, les systèmes MFA ne sont évidemment pas infaillible, il existe plusieurs façons de les craquer ou de les contourner.

Par exemple, l'interception des SMS envoyés, la lecture des cookies, ou l'option de récupération de mot de passe sont diverses méthodes permettant d'infiltrer un système MFA.

==Simplicité & Accessibilité==

Pour valider l'authentification avec les facteurs, il n'y a pas besoin de valider beaucoup d'étapes, les facteurs étant généralement accessibles.

Cette accessibilité est favorisé par l'utilisation du dispositif matériel (téléphone ou token), qui est facilement transportable et permet donc de générer le code à partir de n'importe quel emplacement.

= Sources =
- [https://korben.info/authentification-double-facteur-2fa.html https://korben.info/authentification-double-facteur-2fa.html]
- [https://www.wired.com/story/two-factor-authentication-apps-authy-google-authenticator/ https://www.wired.com/story/two-factor-authentication-apps-authy-google-authenticator/]
- [https://www.lemagit.fr/definition/Authentification-a-double-facteur https://www.lemagit.fr/definition/Authentification-a-double-facteur]
- [https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm]

Authentification deux facteurs

2018-11-25T22:57:33Z

Violette : /* Introduction */

= Introduction =

L'authentification pour un service est un processus permettant au système de s'assurer de la légitimité de la demande d'accès faite par une entité (être humain ou un autre système...) afin d'autoriser l'accès de cette entité aux services de ce système. On peut voir ce processus dans le domaine de la banque avec la signature par exemple. On va ici l'aborder dans le domaine informatique.

'''Définition''': un facteur d'authentification est un moyen de permettre à un service/logiciel de vérifier l'identité de l'utilisateur.

On peut différencier 3 types de facteurs différent:
Les facteurs mémoriels : ils correspondent à ce dont on doit se souvenir, par exemple un couple username | password, ou la réponse à une question secrète.

Les facteurs matériels : ils caractérisent ce que l'on possède, comme par exemple un téléphone (qui va contenir une application ou recevoir un SMS) ou un token.

Les facteurs physiques : ils s'appliquent à ce que l'on est, ce qui peut correspondre à notre voix ou nos empreintes biométriques.

Lorsqu'on utilise un seul élément pour s'identifier, le plus répandu étant le couple username | password, on parle d'authentification simple. C'est une authentification rapide, mais insuffisamment sécurisé.

Pour apporter plus de sécurité, il a été pensé le fait d'ajouter un autre facteur (de préférence appartenant à un autre type).

On parle ainsi d'authentification forte, mais aussi d'authentification à deux facteurs (2FA en anglais).

= Fonctionnement =

==Premier Facteur==

On est dans le schéma classique qui est aussi le moyen le plus répandu pour s'authentifier. C'est un facteur de type mémoriel.

[[Fichier:PremierFacteur.jpg]]

L'utilisateur va s'authentifier en rentrant son username et le password associé auprès du service auquel il souhaite accéder.
Le service va alors faire passer le password dans une fonction de hachage et l'envoyé au serveur dudit service.
Le serveur va alors comparer le password qui a enregistré lors de la création de compte avec celui qu'il vient de recevoir.
Si le password correspond, l'utilisateur accède au service.

==Deuxième Facteur==

===Première version===

On est dans un schéma d'authentification qui est souvent associé au premier. C'est un facteur de type matériel.

[[Fichier:DeuxièmeFacteurV1.jpg]]

L'utilisateur souhaite accéder à un service. Pour ce faire il se connecte au service avec un username.
Le serveur va alors créer un code, suite de chiffres et/ou lettres, générer aléatoirement et qui va être valide durant un certain temps.
Il va ensuite l'envoyer à l'utilisateur via un moyen choisis par ce même utilisateur lors de la création de compte.
L'utilisateur va alors recevoir ce code via mail/SMS ou encore avec une notification sur une application mobile avec le choix de valider la connexion ou non.
L'utilisateur va alors rentrer le code ou accepter la notification pour se connecter à son service.

===Deuxième version===

C'est un facteur de type matériel. Mais c'est un autre fonctionnement qui tend à se répandre de plus en plus.

[[Fichier:DeuxièmeFacteurV2.jpg]]

Lorsque l'utilisateur va créer un compte il va se servir d'un token ou d'une application mobile, qu'il va synchroniser avec le serveur du service pour générer toujours le même code au même moment.
L'utilisateur souhaite alors accéder au service. Le service va alors demander à l'utilisateur le code, suite de chiffres et/ou lettres, qui est valable sur une courte durée.
L'utilisateur va alors se servir de son token/application mobile, récupérer le code et ensuite le rentrer sur le service.
Le service va alors demander au serveur si le code est bien le même qu'il a généré.
Si c'est le cas l'utilisateur peut alors utiliser le service.

'''Authentifieur de type Time-based One-Time-Password TOTP'''

[[Fichier:Time-limited one time password.gif]]

C'est une extension de l'algorithme One-Time-Password OTP ( qui a pour but de générer un code à usage unique. Cet algorithme est plus sécurisé, car il prend en compte l'heure dans son calcul pour générer le code. Cet algorithme est utilisé par beaucoup d'entreprise proposant un authentificateur/token. On a donc <math>TOTP valeur(K) = OTP valeur(K,temps)</math> , avec temps une valeur déterminée à partir de l'heure ou le code est généré.

Cet algorithme est composé de trois paramètres:
- une fonction d'hachage (par défaut SHA1)
- une clé secrète K
- une longueur de chaine D

On commence d'abord par la génération d'un HMAC-SHA1 à partir de K et CT (compteur de temps). Ensuite, on en extrait une chaine de 31 bits avant de générer un token, on prend ces bits convertis en décimal auquel on applique le modulo <math>10^D</math>. Ceci nous donne notre token.

<math>X= HMAC(K,CT) </math>           HMAC fonction de SHA1

<math>Sbits = tronquer(X) </math>           tronquer va prendre 31 bits à partir de X

<math>T = dec(Sbits)</math> <math>mod</math> <math>10^D</math>           dec transforme Sbits en valeur décimale

'''Combinatoire'''

On se sert donc dans un premier temps du premier facteur d'authentification mémorielle qui sert à indiquer au service à quel compte on souhaite se connecte et ensuite le mot de passe qui permet de réaliser une première vérification. Si l'entité entre le bon mot de passe associé au compte, le service va alors passer à la seconde authentification pour confirmer l'identité de l'entité. On va soit recopier le code reçu par mail/texto ou encore accepter la notification ou recopier la valeur du token. Le service va alors confirmer notre identité et on peut ainsi accéder au service.

= Exemples d'utilisations =

Les choses qui peuvent se séparer en étapes dissociables comprennent généralement plusieurs facteurs.

Il y a énormément d'exemple possibles contenant des authentifications à multiples facteurs, que ce soit au sein de la vie courante, dans un domaine professionnel, ou même sur internet.

==Vie courante==

'''Domaine bancaire'''

Par exemple, lorsqu'on va retirer des sous sur un distributeur, on utilise deux facteurs :

[[Fichier:CB.png]]

La carte bleue est la version matériel des facteurs, et le code en est la version mémorielle.

Si on ne possède pas ces deux facteurs, il est impossible de retirer de l'argent.

Un autre exemple dans le domaine bancaire est la gestion des coffres forts, qui fait intervenir de multiples facteurs :

Avant l'ouverture, il faut des papiers d'identités, ce qui correspond à un facteur matériel, et potentiellement physique avec la photo.

Ensuite, l'ouverture nécessite deux clés : Une que l'on possède, et une que la Banque possède.
Ces deux clés correspondent à deux autres facteurs matériels.

==Domaine professionnel==
'''Question d'accès'''

''Accès à un bâtiment :''
Dans un milieu professionnel, pour pouvoir accéder à un bâtiment il faut très souvent avoir un badge, qui est au préalable enregistré : il s'agit du premier facteur, qui est matériel.

Le fait de rencontrer ses collègues peut être considéré comme un facteur physique, car une personne n'étant pas employée ne sera pas reconnue.

Enfin, l'accès a son poste de travail peut contenir plusieurs autres facteurs (clé de casier, mot de passe d’ordinateur, etc.).

''Accès à un réseau :''
Pour accéder à un réseau privé, qui peut contenir des données sensibles ou internes à l'entreprise, on peut avoir besoin de passer une authentification supplémentaire, qui va utiliser un token ou un logiciel prévu a cet effet.

[[Fichier:Token.png|300px]]

==En ligne==
'''Contenu fréquemment utilisés'''

Lorsqu'on s'identifie à un Compte Google, il est possible d'ajouter le Google Authenticator, un mécanisme supplémentaire qui va envoyer un code par SMS, renforçant ainsi la sécurité du compte.
[[Fichier:Google Authenticator.png|300px]]

'''Plateformes de jeux vidéos'''

Du fait du grand nombre d'utilisateurs des plateformes en lignes, elles se sécurisent au mieux possibles, et notamment via des authentification multiples :
Par exemple, Steam possède un mécanisme de sécurité qui va demander un code d'accès unique généré sur une application tiers.

[[Fichier:Steam Guard.png|300px]]

De même, Blizzard utilise une authentification par une application mobile.

[[Fichier:Authenticator Battlenet.png|300px]]

= Utilité =

= Sources =
- [https://korben.info/authentification-double-facteur-2fa.html https://korben.info/authentification-double-facteur-2fa.html]
- [https://www.wired.com/story/two-factor-authentication-apps-authy-google-authenticator/ https://www.wired.com/story/two-factor-authentication-apps-authy-google-authenticator/]
- [https://www.lemagit.fr/definition/Authentification-a-double-facteur https://www.lemagit.fr/definition/Authentification-a-double-facteur]
- [https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm]

Authentification deux facteurs

2018-11-25T22:47:17Z

Violette : /* Introduction */

= Introduction =

L'authentification pour un service est un processus permettant au système de s'assurer de la légitimité de la demande d'accès faite par une entité (être humain ou un autre système...) afin d'autoriser l'accès de cette entité aux services de ce système. On peut voir ce processus dans le domaine de la banque avec la signature par exemple. On va ici l'aborder dans le domaine informatique.

'''Définition''': un facteur d'authentification est un moyen de permettre à un service/logiciel de vérifier l'identité de l'utilisateur.

On peut différencier 3 types de facteurs différent:
- mémoriel: ce sont ceux dont on doit se souvenir comme par exemple un password avec son username associé ou la réponse à une question secrète.

- matériel: ce qu'on possède comme par exemple une application sur un téléphone, ou encore un code envoyé par SMS à un numéro donné.

- physique: ce que l'on est, notre voix ou encore nos empreintes biométriques.

On parle d'authentification simple lorsqu'on utilise qu'un seul élément pour s'identifier, le plus répandu étant le password, c'est rapide, mais pas suffisamment sécurisé. On a alors pensé à ajouter un autre élément de préférence appartenant à un autre facteur pour apporter plus de sécurité. On parle d'authentification forte, mais aussi d'authentification à deux facteurs (2FA en anglais).

= Fonctionnement =

==Premier Facteur==

On est dans le schéma classique qui est aussi le moyen le plus répandu pour s'authentifier. C'est un facteur de type mémoriel.

[[Fichier:PremierFacteur.jpg]]

L'utilisateur va s'authentifier en rentrant son username et le password associé auprès du service auquel il souhaite accéder.
Le service va alors faire passer le password dans une fonction de hachage et l'envoyé au serveur dudit service.
Le serveur va alors comparer le password qui a enregistré lors de la création de compte avec celui qu'il vient de recevoir.
Si le password correspond, l'utilisateur accède au service.

==Deuxième Facteur==

===Première version===

On est dans un schéma d'authentification qui est souvent associé au premier. C'est un facteur de type matériel.

[[Fichier:DeuxièmeFacteurV1.jpg]]

L'utilisateur souhaite accéder à un service. Pour ce faire il se connecte au service avec un username.
Le serveur va alors créer un code, suite de chiffres et/ou lettres, générer aléatoirement et qui va être valide durant un certain temps.
Il va ensuite l'envoyer à l'utilisateur via un moyen choisis par ce même utilisateur lors de la création de compte.
L'utilisateur va alors recevoir ce code via mail/SMS ou encore avec une notification sur une application mobile avec le choix de valider la connexion ou non.
L'utilisateur va alors rentrer le code ou accepter la notification pour se connecter à son service.

===Deuxième version===

C'est un facteur de type matériel. Mais c'est un autre fonctionnement qui tend à se répandre de plus en plus.

[[Fichier:DeuxièmeFacteurV2.jpg]]

Lorsque l'utilisateur va créer un compte il va se servir d'un token ou d'une application mobile, qu'il va synchroniser avec le serveur du service pour générer toujours le même code au même moment.
L'utilisateur souhaite alors accéder au service. Le service va alors demander à l'utilisateur le code, suite de chiffres et/ou lettres, qui est valable sur une courte durée.
L'utilisateur va alors se servir de son token/application mobile, récupérer le code et ensuite le rentrer sur le service.
Le service va alors demander au serveur si le code est bien le même qui a généré.
Si c'est le cas l'utilisateur peut alors utiliser le service.

'''Authentifieur de type Time-based One-Time-Password TOTP'''

[[Fichier:Time-limited one time password.gif]]

C'est une extension de l'algorithme One-Time-Password OTP ( qui a pour but de générer un code à usage unique. Cet algorithme est plus sécurisé, car il prend en compte l'heure de la création de code, dans son calcul pour générer le code. Cet algorithme est utilisé par beaucoup d'entreprise proposant un authentificateur/token. On a donc <math>TOTP valeur(K) = OTP valeur(K,temps)</math> , avec temps une valeur déterminée à partir de l'heure ou le code est généré.

Cet algorithme est composé de trois paramètres:
- une fonction d'hachage (par défaut SHA1)
- une clé secrète K
- une longueur de chaine D

On commence d'abord par la génération d'un HMAC-SHA1 à partir de K et CT (compteur de temps). Ensuite, on en extrait une chaine de 31 bits avant de générer un token, on prend ces bits convertis en décimal auquel on applique le modulo <math>10^D</math>. Ceci nous donne notre token.

<math>X= HMAC(K,CT) </math>           HMAC fonction de SHA1

<math>Sbits = tronquer(X) </math>           tronquer va prendre 31 bits à partir de X

<math>T = dec(Sbits)</math> <math>mod</math> <math>10^D</math>           dec transforme Sbits en valeur décimale

'''Combinatoire'''

On se sert donc dans un premier temps du premier facteur d'authentification mémorielle qui sert à indiquer au service à quel compte on souhaite se connecte et ensuite le mot de passe qui permet de réaliser une première vérification. Si l'entité entre le bon mot de passe associé au compte, le service va alors passer à la seconde authentification pour confirmer l'identité de l'entité. On va soit recopier le code reçu par mail/texto ou encore accepter la notification ou recopier la valeur du token. Le service va alors confirmer notre identité et on peut ainsi accéder au service.

= Exemples d'utilisations =

Les choses qui peuvent se séparer en étapes dissociables comprennent généralement plusieurs facteurs.

Il y a énormément d'exemple possibles contenant des authentifications à multiples facteurs, que ce soit au sein de la vie courante, dans un domaine professionnel, ou même sur internet.

==Vie courante==

'''Domaine bancaire'''

Par exemple, lorsqu'on va retirer des sous sur un distributeur, on utilise deux facteurs :

[[Fichier:CB.png]]

La carte bleue est la version matériel des facteurs, et le code en est la version mémorielle.

Si on ne possède pas ces deux facteurs, il est impossible de retirer de l'argent.

Un autre exemple dans le domaine bancaire est la gestion des coffres forts, qui fait intervenir de multiples facteurs :

Avant l'ouverture, il faut des papiers d'identités, ce qui correspond à un facteur matériel, et potentiellement physique avec la photo.

Ensuite, l'ouverture nécessite deux clés : Une que l'on possède, et une que la Banque possède.
Ces deux clés correspondent à deux autres facteurs matériels.

==Domaine professionnel==
'''Question d'accès'''

''Accès à un bâtiment :''
Dans un milieu professionnel, pour pouvoir accéder à un bâtiment il faut très souvent avoir un badge, qui est au préalable enregistré : il s'agit du premier facteur, qui est matériel.

Le fait de rencontrer ses collègues peut être considéré comme un facteur physique, car une personne n'étant pas employée ne sera pas reconnue.

Enfin, l'accès a son poste de travail peut contenir plusieurs autres facteurs (clé de casier, mot de passe d’ordinateur, etc.).

''Accès à un réseau :''
Pour accéder à un réseau privé, qui peut contenir des données sensibles ou internes à l'entreprise, on peut avoir besoin de passer une authentification supplémentaire, qui va utiliser un token ou un logiciel prévu a cet effet.

[[Fichier:Token.png|300px]]

==En ligne==
'''Contenu fréquemment utilisés'''

Lorsqu'on s'identifie à un Compte Google, il est possible d'ajouter le Google Authenticator, un mécanisme supplémentaire qui va envoyer un code par SMS, renforçant ainsi la sécurité du compte.
[[Fichier:Google Authenticator.png|300px]]

'''Plateformes de jeux vidéos'''

Du fait du grand nombre d'utilisateurs des plateformes en lignes, elles se sécurisent au mieux possibles, et notamment via des authentification multiples :
Par exemple, Steam possède un mécanisme de sécurité qui va demander un code d'accès unique généré sur une application tiers.

[[Fichier:Steam Guard.png|300px]]

De même, Blizzard utilise une authentification par une application mobile.

[[Fichier:Authenticator Battlenet.png|300px]]

= Utilité =

= Sources =
- [https://korben.info/authentification-double-facteur-2fa.html https://korben.info/authentification-double-facteur-2fa.html]
- [https://www.wired.com/story/two-factor-authentication-apps-authy-google-authenticator/ https://www.wired.com/story/two-factor-authentication-apps-authy-google-authenticator/]
- [https://www.lemagit.fr/definition/Authentification-a-double-facteur https://www.lemagit.fr/definition/Authentification-a-double-facteur]
- [https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm]

Authentification deux facteurs

2018-11-25T22:46:48Z

Violette : /* Introduction */

= Introduction =

L'authentification pour un service est un processus permettant au système de s'assurer de la légitimité de la demande d'accès faite par une entité (être humain ou un autre système...) afin d'autoriser l'accès de cette entité aux services de ce système. On peut voir ce processus dans le domaine de la banque avec la signature par exemple. On va ici l'aborder dans le domaine informatique.

'''Définition''': un facteur d'authentification est un moyen de permettre à un service/logiciel de vérifier l'identité de l'utilisateur.

On peut différencier 3 types de facteurs différent:
- mémoriel: ce sont ceux dont on doit se souvenir comme par exemple un password avec son username associé ou la réponse à une question secrète.
- matériel: ce qu'on possède comme par exemple une application sur un téléphone, ou encore un code envoyé par SMS à un numéro donné.
- physique: ce que l'on est, notre voix ou encore nos empreintes biométriques.

On parle d'authentification simple lorsqu'on utilise qu'un seul élément pour s'identifier, le plus répandu étant le password, c'est rapide, mais pas suffisamment sécurisé. On a alors pensé à ajouter un autre élément de préférence appartenant à un autre facteur pour apporter plus de sécurité. On parle d'authentification forte, mais aussi d'authentification à deux facteurs (2FA en anglais).

= Fonctionnement =

==Premier Facteur==

On est dans le schéma classique qui est aussi le moyen le plus répandu pour s'authentifier. C'est un facteur de type mémoriel.

[[Fichier:PremierFacteur.jpg]]

L'utilisateur va s'authentifier en rentrant son username et le password associé auprès du service auquel il souhaite accéder.
Le service va alors faire passer le password dans une fonction de hachage et l'envoyé au serveur dudit service.
Le serveur va alors comparer le password qui a enregistré lors de la création de compte avec celui qu'il vient de recevoir.
Si le password correspond, l'utilisateur accède au service.

==Deuxième Facteur==

===Première version===

On est dans un schéma d'authentification qui est souvent associé au premier. C'est un facteur de type matériel.

[[Fichier:DeuxièmeFacteurV1.jpg]]

L'utilisateur souhaite accéder à un service. Pour ce faire il se connecte au service avec un username.
Le serveur va alors créer un code, suite de chiffres et/ou lettres, générer aléatoirement et qui va être valide durant un certain temps.
Il va ensuite l'envoyer à l'utilisateur via un moyen choisis par ce même utilisateur lors de la création de compte.
L'utilisateur va alors recevoir ce code via mail/SMS ou encore avec une notification sur une application mobile avec le choix de valider la connexion ou non.
L'utilisateur va alors rentrer le code ou accepter la notification pour se connecter à son service.

===Deuxième version===

C'est un facteur de type matériel. Mais c'est un autre fonctionnement qui tend à se répandre de plus en plus.

[[Fichier:DeuxièmeFacteurV2.jpg]]

Lorsque l'utilisateur va créer un compte il va se servir d'un token ou d'une application mobile, qu'il va synchroniser avec le serveur du service pour générer toujours le même code au même moment.
L'utilisateur souhaite alors accéder au service. Le service va alors demander à l'utilisateur le code, suite de chiffres et/ou lettres, qui est valable sur une courte durée.
L'utilisateur va alors se servir de son token/application mobile, récupérer le code et ensuite le rentrer sur le service.
Le service va alors demander au serveur si le code est bien le même qui a généré.
Si c'est le cas l'utilisateur peut alors utiliser le service.

'''Authentifieur de type Time-based One-Time-Password TOTP'''

[[Fichier:Time-limited one time password.gif]]

C'est une extension de l'algorithme One-Time-Password OTP ( qui a pour but de générer un code à usage unique. Cet algorithme est plus sécurisé, car il prend en compte l'heure de la création de code, dans son calcul pour générer le code. Cet algorithme est utilisé par beaucoup d'entreprise proposant un authentificateur/token. On a donc <math>TOTP valeur(K) = OTP valeur(K,temps)</math> , avec temps une valeur déterminée à partir de l'heure ou le code est généré.

Cet algorithme est composé de trois paramètres:
- une fonction d'hachage (par défaut SHA1)
- une clé secrète K
- une longueur de chaine D

On commence d'abord par la génération d'un HMAC-SHA1 à partir de K et CT (compteur de temps). Ensuite, on en extrait une chaine de 31 bits avant de générer un token, on prend ces bits convertis en décimal auquel on applique le modulo <math>10^D</math>. Ceci nous donne notre token.

<math>X= HMAC(K,CT) </math>           HMAC fonction de SHA1

<math>Sbits = tronquer(X) </math>           tronquer va prendre 31 bits à partir de X

<math>T = dec(Sbits)</math> <math>mod</math> <math>10^D</math>           dec transforme Sbits en valeur décimale

'''Combinatoire'''

On se sert donc dans un premier temps du premier facteur d'authentification mémorielle qui sert à indiquer au service à quel compte on souhaite se connecte et ensuite le mot de passe qui permet de réaliser une première vérification. Si l'entité entre le bon mot de passe associé au compte, le service va alors passer à la seconde authentification pour confirmer l'identité de l'entité. On va soit recopier le code reçu par mail/texto ou encore accepter la notification ou recopier la valeur du token. Le service va alors confirmer notre identité et on peut ainsi accéder au service.

= Exemples d'utilisations =

Les choses qui peuvent se séparer en étapes dissociables comprennent généralement plusieurs facteurs.

Il y a énormément d'exemple possibles contenant des authentifications à multiples facteurs, que ce soit au sein de la vie courante, dans un domaine professionnel, ou même sur internet.

==Vie courante==

'''Domaine bancaire'''

Par exemple, lorsqu'on va retirer des sous sur un distributeur, on utilise deux facteurs :

[[Fichier:CB.png]]

La carte bleue est la version matériel des facteurs, et le code en est la version mémorielle.

Si on ne possède pas ces deux facteurs, il est impossible de retirer de l'argent.

Un autre exemple dans le domaine bancaire est la gestion des coffres forts, qui fait intervenir de multiples facteurs :

Avant l'ouverture, il faut des papiers d'identités, ce qui correspond à un facteur matériel, et potentiellement physique avec la photo.

Ensuite, l'ouverture nécessite deux clés : Une que l'on possède, et une que la Banque possède.
Ces deux clés correspondent à deux autres facteurs matériels.

==Domaine professionnel==
'''Question d'accès'''

''Accès à un bâtiment :''
Dans un milieu professionnel, pour pouvoir accéder à un bâtiment il faut très souvent avoir un badge, qui est au préalable enregistré : il s'agit du premier facteur, qui est matériel.

Le fait de rencontrer ses collègues peut être considéré comme un facteur physique, car une personne n'étant pas employée ne sera pas reconnue.

Enfin, l'accès a son poste de travail peut contenir plusieurs autres facteurs (clé de casier, mot de passe d’ordinateur, etc.).

''Accès à un réseau :''
Pour accéder à un réseau privé, qui peut contenir des données sensibles ou internes à l'entreprise, on peut avoir besoin de passer une authentification supplémentaire, qui va utiliser un token ou un logiciel prévu a cet effet.

[[Fichier:Token.png|300px]]

==En ligne==
'''Contenu fréquemment utilisés'''

Lorsqu'on s'identifie à un Compte Google, il est possible d'ajouter le Google Authenticator, un mécanisme supplémentaire qui va envoyer un code par SMS, renforçant ainsi la sécurité du compte.
[[Fichier:Google Authenticator.png|300px]]

'''Plateformes de jeux vidéos'''

Du fait du grand nombre d'utilisateurs des plateformes en lignes, elles se sécurisent au mieux possibles, et notamment via des authentification multiples :
Par exemple, Steam possède un mécanisme de sécurité qui va demander un code d'accès unique généré sur une application tiers.

[[Fichier:Steam Guard.png|300px]]

De même, Blizzard utilise une authentification par une application mobile.

[[Fichier:Authenticator Battlenet.png|300px]]

= Utilité =

= Sources =
- [https://korben.info/authentification-double-facteur-2fa.html https://korben.info/authentification-double-facteur-2fa.html]
- [https://www.wired.com/story/two-factor-authentication-apps-authy-google-authenticator/ https://www.wired.com/story/two-factor-authentication-apps-authy-google-authenticator/]
- [https://www.lemagit.fr/definition/Authentification-a-double-facteur https://www.lemagit.fr/definition/Authentification-a-double-facteur]
- [https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm]

Authentification deux facteurs

2018-11-25T22:42:09Z

Violette : /* Domaine professionnel */

= Introduction =

L'authentification pour un service est un processus permettant au système de s'assurer de la légitimité de la demande d'accès faite par une entité (être humain ou un autre système...) afin d'autoriser l'accès de cette entité aux services de ce système. On peut voir ce processus dans le domaine de la banque avec la signature par exemple. On va ici l'aborder dans le domaine informatique.

'''Définition''': un facteur d'authentification est un moyen de permettre à un service/logiciel de vérifier l'identité de l'utilisateur.

On peut différencier 3 types de facteurs différent:
- mémoriel: ce sont ceux dont on doit se souvenir comme par exemple un password avec son username associé ou la réponse à une question secrète.
- matériel: ce qu'on possède comme par exemple une application sur un téléphone, ou encore un code envoyé par SMS a un numéro donné.
- physique: ce que l'on est, notre voix ou encore nos empreintes biométriques.

On parle d'authentification simple lorsqu'on utilise qu'un seul élément pour s'identifier, le plus répandu étant le password, c'est rapide, mais pas suffisamment sécurisé. On a alors pensé à ajouter un autre élément de préférence appartenant à un autre facteur pour apporter plus de sécurité. On parle d'authentification forte, mais aussi d'authentification à deux facteurs.

= Fonctionnement =

==Premier Facteur==

On est dans le schéma classique qui est aussi le moyen le plus répandu pour s'authentifier. C'est un facteur de type mémoriel.

[[Fichier:PremierFacteur.jpg]]

L'utilisateur va s'authentifier en rentrant son username et le password associé auprès du service auquel il souhaite accéder.
Le service va alors faire passer le password dans une fonction de hachage et l'envoyé au serveur dudit service.
Le serveur va alors comparer le password qui a enregistré lors de la création de compte avec celui qu'il vient de recevoir.
Si le password correspond, l'utilisateur accède au service.

==Deuxième Facteur==

===Première version===

On est dans un schéma d'authentification qui est souvent associé au premier. C'est un facteur de type matériel.

[[Fichier:DeuxièmeFacteurV1.jpg]]

L'utilisateur souhaite accéder à un service. Pour ce faire il se connecte au service avec un username.
Le serveur va alors créer un code, suite de chiffres et/ou lettres, générer aléatoirement et qui va être valide durant un certain temps.
Il va ensuite l'envoyer à l'utilisateur via un moyen choisis par ce même utilisateur lors de la création de compte.
L'utilisateur va alors recevoir ce code via mail/SMS ou encore avec une notification sur une application mobile avec le choix de valider la connexion ou non.
L'utilisateur va alors rentrer le code ou accepter la notification pour se connecter à son service.

===Deuxième version===

C'est un facteur de type matériel. Mais c'est un autre fonctionnement qui tend à se répandre de plus en plus.

[[Fichier:DeuxièmeFacteurV2.jpg]]

Lorsque l'utilisateur va créer un compte il va se servir d'un token ou d'une application mobile, qu'il va synchroniser avec le serveur du service pour générer toujours le même code au même moment.
L'utilisateur souhaite alors accéder au service. Le service va alors demander à l'utilisateur le code, suite de chiffres et/ou lettres, qui est valable sur une courte durée.
L'utilisateur va alors se servir de son token/application mobile, récupérer le code et ensuite le rentrer sur le service.
Le service va alors demander au serveur si le code est bien le même qui a généré.
Si c'est le cas l'utilisateur peut alors utiliser le service.

'''Authentifieur de type Time-based One-Time-Password TOTP'''

[[Fichier:Time-limited one time password.gif]]

C'est une extension de l'algorithme One-Time-Password OTP ( qui a pour but de générer un code à usage unique. Cet algorithme est plus sécurisé, car il prend en compte l'heure de la création de code, dans son calcul pour générer le code. Cet algorithme est utilisé par beaucoup d'entreprise proposant un authentificateur/token. On a donc <math>TOTP valeur(K) = OTP valeur(K,temps)</math> , avec temps une valeur déterminée à partir de l'heure ou le code est généré.

Cet algorithme est composé de trois paramètres:
- une fonction d'hachage (par défaut SHA1)
- une clé secrète K
- une longueur de chaine D

On commence d'abord par la génération d'un HMAC-SHA1 à partir de K et CT (compteur de temps). Ensuite, on en extrait une chaine de 31 bits avant de générer un token, on prend ces bits convertis en décimal auquel on applique le modulo <math>10^D</math>. Ceci nous donne notre token.

<math>X= HMAC(K,CT) </math>           HMAC fonction de SHA1

<math>Sbits = tronquer(X) </math>           tronquer va prendre 31 bits à partir de X

<math>T = dec(Sbits)</math> <math>mod</math> <math>10^D</math>           dec transforme Sbits en valeur décimale

'''Combinatoire'''

On se sert donc dans un premier temps du premier facteur d'authentification mémorielle qui sert à indiquer au service à quel compte on souhaite se connecte et ensuite le mot de passe qui permet de réaliser une première vérification. Si l'entité entre le bon mot de passe associé au compte, le service va alors passer à la seconde authentification pour confirmer l'identité de l'entité. On va soit recopier le code reçu par mail/texto ou encore accepter la notification ou recopier la valeur du token. Le service va alors confirmer notre identité et on peut ainsi accéder au service.

= Exemples d'utilisations =

Les choses qui peuvent se séparer en étapes dissociables comprennent généralement plusieurs facteurs.

Il y a énormément d'exemple possibles contenant des authentifications à multiples facteurs, que ce soit au sein de la vie courante, dans un domaine professionnel, ou même sur internet.

==Vie courante==

'''Domaine bancaire'''

Par exemple, lorsqu'on va retirer des sous sur un distributeur, on utilise deux facteurs :

[[Fichier:CB.png]]

La carte bleue est la version matériel des facteurs, et le code en est la version mémorielle.

Si on ne possède pas ces deux facteurs, il est impossible de retirer de l'argent.

Un autre exemple dans le domaine bancaire est la gestion des coffres forts, qui fait intervenir de multiples facteurs :

Avant l'ouverture, il faut des papiers d'identités, ce qui correspond à un facteur matériel, et potentiellement physique avec la photo.

Ensuite, l'ouverture nécessite deux clés : Une que l'on possède, et une que la Banque possède.
Ces deux clés correspondent à deux autres facteurs matériels.

==Domaine professionnel==
'''Question d'accès'''

''Accès à un bâtiment :''
Dans un milieu professionnel, pour pouvoir accéder à un bâtiment il faut très souvent avoir un badge, qui est au préalable enregistré : il s'agit du premier facteur, qui est matériel.

Le fait de rencontrer ses collègues peut être considéré comme un facteur physique, car une personne n'étant pas employée ne sera pas reconnue.

Enfin, l'accès a son poste de travail peut contenir plusieurs autres facteurs (clé de casier, mot de passe d’ordinateur, etc.).

''Accès à un réseau :''
Pour accéder à un réseau privé, qui peut contenir des données sensibles ou internes à l'entreprise, on peut avoir besoin de passer une authentification supplémentaire, qui va utiliser un token ou un logiciel prévu a cet effet.

[[Fichier:Token.png|300px]]

==En ligne==
'''Contenu fréquemment utilisés'''

Lorsqu'on s'identifie à un Compte Google, il est possible d'ajouter le Google Authenticator, un mécanisme supplémentaire qui va envoyer un code par SMS, renforçant ainsi la sécurité du compte.
[[Fichier:Google Authenticator.png|300px]]

'''Plateformes de jeux vidéos'''

Du fait du grand nombre d'utilisateurs des plateformes en lignes, elles se sécurisent au mieux possibles, et notamment via des authentification multiples :
Par exemple, Steam possède un mécanisme de sécurité qui va demander un code d'accès unique généré sur une application tiers.

[[Fichier:Steam Guard.png|300px]]

De même, Blizzard utilise une authentification par une application mobile.

[[Fichier:Authenticator Battlenet.png|300px]]

= Utilité =

= Sources =
- [https://korben.info/authentification-double-facteur-2fa.html https://korben.info/authentification-double-facteur-2fa.html]
- [https://www.wired.com/story/two-factor-authentication-apps-authy-google-authenticator/ https://www.wired.com/story/two-factor-authentication-apps-authy-google-authenticator/]
- [https://www.lemagit.fr/definition/Authentification-a-double-facteur https://www.lemagit.fr/definition/Authentification-a-double-facteur]
- [https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm]

Authentification deux facteurs

2018-11-25T22:41:47Z

Violette : /* En ligne */

= Introduction =

L'authentification pour un service est un processus permettant au système de s'assurer de la légitimité de la demande d'accès faite par une entité (être humain ou un autre système...) afin d'autoriser l'accès de cette entité aux services de ce système. On peut voir ce processus dans le domaine de la banque avec la signature par exemple. On va ici l'aborder dans le domaine informatique.

'''Définition''': un facteur d'authentification est un moyen de permettre à un service/logiciel de vérifier l'identité de l'utilisateur.

On peut différencier 3 types de facteurs différent:
- mémoriel: ce sont ceux dont on doit se souvenir comme par exemple un password avec son username associé ou la réponse à une question secrète.
- matériel: ce qu'on possède comme par exemple une application sur un téléphone, ou encore un code envoyé par SMS a un numéro donné.
- physique: ce que l'on est, notre voix ou encore nos empreintes biométriques.

On parle d'authentification simple lorsqu'on utilise qu'un seul élément pour s'identifier, le plus répandu étant le password, c'est rapide, mais pas suffisamment sécurisé. On a alors pensé à ajouter un autre élément de préférence appartenant à un autre facteur pour apporter plus de sécurité. On parle d'authentification forte, mais aussi d'authentification à deux facteurs.

= Fonctionnement =

==Premier Facteur==

On est dans le schéma classique qui est aussi le moyen le plus répandu pour s'authentifier. C'est un facteur de type mémoriel.

[[Fichier:PremierFacteur.jpg]]

L'utilisateur va s'authentifier en rentrant son username et le password associé auprès du service auquel il souhaite accéder.
Le service va alors faire passer le password dans une fonction de hachage et l'envoyé au serveur dudit service.
Le serveur va alors comparer le password qui a enregistré lors de la création de compte avec celui qu'il vient de recevoir.
Si le password correspond, l'utilisateur accède au service.

==Deuxième Facteur==

===Première version===

On est dans un schéma d'authentification qui est souvent associé au premier. C'est un facteur de type matériel.

[[Fichier:DeuxièmeFacteurV1.jpg]]

L'utilisateur souhaite accéder à un service. Pour ce faire il se connecte au service avec un username.
Le serveur va alors créer un code, suite de chiffres et/ou lettres, générer aléatoirement et qui va être valide durant un certain temps.
Il va ensuite l'envoyer à l'utilisateur via un moyen choisis par ce même utilisateur lors de la création de compte.
L'utilisateur va alors recevoir ce code via mail/SMS ou encore avec une notification sur une application mobile avec le choix de valider la connexion ou non.
L'utilisateur va alors rentrer le code ou accepter la notification pour se connecter à son service.

===Deuxième version===

C'est un facteur de type matériel. Mais c'est un autre fonctionnement qui tend à se répandre de plus en plus.

[[Fichier:DeuxièmeFacteurV2.jpg]]

Lorsque l'utilisateur va créer un compte il va se servir d'un token ou d'une application mobile, qu'il va synchroniser avec le serveur du service pour générer toujours le même code au même moment.
L'utilisateur souhaite alors accéder au service. Le service va alors demander à l'utilisateur le code, suite de chiffres et/ou lettres, qui est valable sur une courte durée.
L'utilisateur va alors se servir de son token/application mobile, récupérer le code et ensuite le rentrer sur le service.
Le service va alors demander au serveur si le code est bien le même qui a généré.
Si c'est le cas l'utilisateur peut alors utiliser le service.

'''Authentifieur de type Time-based One-Time-Password TOTP'''

[[Fichier:Time-limited one time password.gif]]

C'est une extension de l'algorithme One-Time-Password OTP ( qui a pour but de générer un code à usage unique. Cet algorithme est plus sécurisé, car il prend en compte l'heure de la création de code, dans son calcul pour générer le code. Cet algorithme est utilisé par beaucoup d'entreprise proposant un authentificateur/token. On a donc <math>TOTP valeur(K) = OTP valeur(K,temps)</math> , avec temps une valeur déterminée à partir de l'heure ou le code est généré.

Cet algorithme est composé de trois paramètres:
- une fonction d'hachage (par défaut SHA1)
- une clé secrète K
- une longueur de chaine D

On commence d'abord par la génération d'un HMAC-SHA1 à partir de K et CT (compteur de temps). Ensuite, on en extrait une chaine de 31 bits avant de générer un token, on prend ces bits convertis en décimal auquel on applique le modulo <math>10^D</math>. Ceci nous donne notre token.

<math>X= HMAC(K,CT) </math>           HMAC fonction de SHA1

<math>Sbits = tronquer(X) </math>           tronquer va prendre 31 bits à partir de X

<math>T = dec(Sbits)</math> <math>mod</math> <math>10^D</math>           dec transforme Sbits en valeur décimale

'''Combinatoire'''

On se sert donc dans un premier temps du premier facteur d'authentification mémorielle qui sert à indiquer au service à quel compte on souhaite se connecte et ensuite le mot de passe qui permet de réaliser une première vérification. Si l'entité entre le bon mot de passe associé au compte, le service va alors passer à la seconde authentification pour confirmer l'identité de l'entité. On va soit recopier le code reçu par mail/texto ou encore accepter la notification ou recopier la valeur du token. Le service va alors confirmer notre identité et on peut ainsi accéder au service.

= Exemples d'utilisations =

Les choses qui peuvent se séparer en étapes dissociables comprennent généralement plusieurs facteurs.

Il y a énormément d'exemple possibles contenant des authentifications à multiples facteurs, que ce soit au sein de la vie courante, dans un domaine professionnel, ou même sur internet.

==Vie courante==

'''Domaine bancaire'''

Par exemple, lorsqu'on va retirer des sous sur un distributeur, on utilise deux facteurs :

[[Fichier:CB.png]]

La carte bleue est la version matériel des facteurs, et le code en est la version mémorielle.

Si on ne possède pas ces deux facteurs, il est impossible de retirer de l'argent.

Un autre exemple dans le domaine bancaire est la gestion des coffres forts, qui fait intervenir de multiples facteurs :

Avant l'ouverture, il faut des papiers d'identités, ce qui correspond à un facteur matériel, et potentiellement physique avec la photo.

Ensuite, l'ouverture nécessite deux clés : Une que l'on possède, et une que la Banque possède.
Ces deux clés correspondent à deux autres facteurs matériels.

==Domaine professionnel==
'''Question d'accès'''

''Accès à un bâtiment :''
Dans un milieu professionnel, pour pouvoir accéder à un bâtiment il faut très souvent avoir un badge, qui est au préalable enregistré : il s'agit du premier facteur, qui est matériel.

Le fait de rencontrer ses collègues peut être considéré comme un facteur physique, car une personne n'étant pas employée ne sera pas reconnue.

Enfin, l'accès a son poste de travail peut contenir plusieurs autres facteurs (clé de casier, mot de passe d’ordinateur, etc.).

''Accès à un réseau :''
Pour accéder à un réseau privé, qui peut contenir des données sensibles ou internes à l'entreprise, on peut avoir besoin de passer une authentification supplémentaire, qui va utiliser un token ou un logiciel prévu a cet effet.

[[Fichier:Token.png]]

==En ligne==
'''Contenu fréquemment utilisés'''

Lorsqu'on s'identifie à un Compte Google, il est possible d'ajouter le Google Authenticator, un mécanisme supplémentaire qui va envoyer un code par SMS, renforçant ainsi la sécurité du compte.
[[Fichier:Google Authenticator.png|300px]]

'''Plateformes de jeux vidéos'''

Du fait du grand nombre d'utilisateurs des plateformes en lignes, elles se sécurisent au mieux possibles, et notamment via des authentification multiples :
Par exemple, Steam possède un mécanisme de sécurité qui va demander un code d'accès unique généré sur une application tiers.

[[Fichier:Steam Guard.png|300px]]

De même, Blizzard utilise une authentification par une application mobile.

[[Fichier:Authenticator Battlenet.png|300px]]

= Utilité =

= Sources =
- [https://korben.info/authentification-double-facteur-2fa.html https://korben.info/authentification-double-facteur-2fa.html]
- [https://www.wired.com/story/two-factor-authentication-apps-authy-google-authenticator/ https://www.wired.com/story/two-factor-authentication-apps-authy-google-authenticator/]
- [https://www.lemagit.fr/definition/Authentification-a-double-facteur https://www.lemagit.fr/definition/Authentification-a-double-facteur]
- [https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm]

Authentification deux facteurs

2018-11-25T22:21:22Z

Violette : /* Deuxième version */

= Introduction =

L'authentification pour un service est un processus permettant au système de s'assurer de la légitimité de la demande d'accès faite par une entité (être humain ou un autre système...) afin d'autoriser l'accès de cette entité aux services de ce système. On peut voir ce processus dans le domaine de la banque avec la signature par exemple. On va ici l'aborder dans le domaine informatique.

'''Définition''': un facteur d'authentification est un moyen de permettre à un service/logiciel de vérifier l'identité de l'utilisateur.

On peut différencier 3 types de facteurs différent:
- mémoriel: ce sont ceux dont on doit se souvenir comme par exemple un password avec son username associé ou la réponse à une question secrète.
- matériel: ce qu'on possède comme par exemple une application sur un téléphone, ou encore un code envoyé par SMS a un numéro donné.
- physique: ce que l'on est, notre voix ou encore nos empreintes biométriques.

On parle d'authentification simple lorsqu'on utilise qu'un seul élément pour s'identifier, le plus répandu étant le password, c'est rapide, mais pas suffisamment sécurisé. On a alors pensé à ajouter un autre élément de préférence appartenant à un autre facteur pour apporter plus de sécurité. On parle d'authentification forte, mais aussi d'authentification à deux facteurs.

= Fonctionnement =

==Premier Facteur==

On est dans le schéma classique qui est aussi le moyen le plus répandu pour s'authentifier. C'est un facteur de type mémoriel.

[[Fichier:PremierFacteur.jpg]]

L'utilisateur va s'authentifier en rentrant son username et le password associé auprès du service auquel il souhaite accéder.
Le service va alors faire passer le password dans une fonction de hachage et l'envoyé au serveur dudit service.
Le serveur va alors comparer le password qui a enregistré lors de la création de compte avec celui qu'il vient de recevoir.
Si le password correspond, l'utilisateur accède au service.

==Deuxième Facteur==

===Première version===

On est dans un schéma d'authentification qui est souvent associé au premier. C'est un facteur de type matériel.

[[Fichier:DeuxièmeFacteurV1.jpg]]

L'utilisateur souhaite accéder à un service. Pour ce faire il se connecte au service avec un username.
Le serveur va alors créer un code, suite de chiffres et/ou lettres, générer aléatoirement et qui va être valide durant un certain temps.
Il va ensuite l'envoyer à l'utilisateur via un moyen choisis par ce même utilisateur lors de la création de compte.
L'utilisateur va alors recevoir ce code via mail/SMS ou encore avec une notification sur une application mobile avec le choix de valider la connexion ou non.
L'utilisateur va alors rentrer le code ou accepter la notification pour se connecter à son service.

===Deuxième version===

C'est un facteur de type matériel. Mais c'est un autre fonctionnement qui tend à se répandre de plus en plus.

[[Fichier:DeuxièmeFacteurV2.jpg]]

Lorsque l'utilisateur va créer un compte il va se servir d'un token ou d'une application mobile, qu'il va synchroniser avec le serveur du service pour générer toujours le même code au même moment.
L'utilisateur souhaite alors accéder au service. Le service va alors demander à l'utilisateur le code, suite de chiffres et/ou lettres, qui est valable sur une courte durée.
L'utilisateur va alors se servir de son token/application mobile, récupérer le code et ensuite le rentrer sur le service.
Le service va alors demander au serveur si le code est bien le même qui a généré.
Si c'est le cas l'utilisateur peut alors utiliser le service.

'''Authentifieur de type Time-based One-Time-Password TOTP'''

[[Fichier:Time-limited one time password.gif]]

C'est une extension de l'algorithme One-Time-Password OTP ( qui a pour but de générer un code à usage unique. Cet algorithme est plus sécurisé, car il prend en compte l'heure de la création de code, dans son calcul pour générer le code. Cet algorithme est utilisé par beaucoup d'entreprise proposant un authentificateur/token. On a donc <math>TOTP valeur(K) = OTP valeur(K,temps)</math> , avec temps une valeur déterminée à partir de l'heure ou le code est généré.

Cet algorithme est composé de trois paramètres:
- une fonction d'hachage (par défaut SHA1)
- une clé secrète K
- une longueur de chaine D

On commence d'abord par la génération d'un HMAC-SHA1 à partir de K et CT (compteur de temps). Ensuite, on en extrait une chaine de 31 bits avant de générer un token, on prend ces bits convertis en décimal auquel on applique le modulo <math>10^D</math>. Ceci nous donne notre token.

<math>X= HMAC(K,CT) </math>           HMAC fonction de SHA1

<math>Sbits = tronquer(X) </math>           tronquer va prendre 31 bits à partir de X

<math>T = dec(Sbits)</math> <math>mod</math> <math>10^D</math>           dec transforme Sbits en valeur décimale

On se sert donc dans un premier temps du premier facteur d'authentification mémorielle qui sert à indiquer au service à quel compte on souhaite se connecte et ensuite le mot de passe qui permet de réaliser une première vérification. Si l'entité entre le bon mot de passe associé au compte, le service va alors passer à la seconde authentification pour confirmer l'identité de l'entité. On va soit recopier le code reçu par mail/texto ou encore accepter la notification ou recopier la valeur du token. Le service va alors confirmer notre identité et on peut ainsi accéder au service.

= Exemples d'utilisations =

Les choses qui peuvent se séparer en étapes dissociables comprennent généralement plusieurs facteurs.

Il y a énormément d'exemple possibles contenant des authentifications à multiples facteurs, que ce soit au sein de la vie courante, dans un domaine professionnel, ou même sur internet.

==Vie courante==

'''Domaine bancaire'''

Par exemple, lorsqu'on va retirer des sous sur un distributeur, on utilise deux facteurs :

[[Fichier:CB.png]]

La carte bleue est la version matériel des facteurs, et le code en est la version mémorielle.

Si on ne possède pas ces deux facteurs, il est impossible de retirer de l'argent.

Un autre exemple dans le domaine bancaire est la gestion des coffres forts, qui fait intervenir de multiples facteurs :

Avant l'ouverture, il faut des papiers d'identités, ce qui correspond à un facteur matériel, et potentiellement physique avec la photo.

Ensuite, l'ouverture nécessite deux clés : Une que l'on possède, et une que la Banque possède.
Ces deux clés correspondent à deux autres facteurs matériels.

==Domaine professionnel==
'''Question d'accès'''

''Accès à un bâtiment :''
Dans un milieu professionnel, pour pouvoir accéder à un bâtiment il faut très souvent avoir un badge, qui est au préalable enregistré : il s'agit du premier facteur, qui est matériel.

Le fait de rencontrer ses collègues peut être considéré comme un facteur physique, car une personne n'étant pas employée ne sera pas reconnue.

Enfin, l'accès a son poste de travail peut contenir plusieurs autres facteurs (clé de casier, mot de passe d’ordinateur, etc.).

''Accès à un réseau :''
Pour accéder à un réseau privé, qui peut contenir des données sensibles ou internes à l'entreprise, on peut avoir besoin de passer une authentification supplémentaire, qui va utiliser un token ou un logiciel prévu a cet effet.

[[Fichier:Token.png]]

==En ligne==
'''Contenu fréquemment utilisés'''

Lorsqu'on s'identifie à un Compte Google, il est possible d'ajouter le Google Authenticator, un mécanisme supplémentaire qui va envoyer un code par SMS, renforçant ainsi la sécurité du compte.
[[Fichier:Google Authenticator.png]]

'''Plateformes de jeux vidéos'''

Du fait du grand nombre d'utilisateurs des plateformes en lignes, elles se sécurisent au mieux possibles, et notamment via des authentification multiples :
Par exemple, Steam possède un mécanisme de sécurité qui va demander un code d'accès unique généré sur une application tiers.

[[Fichier:Steam Guard.png]]

De même, Blizzard utilise une authentification par une application mobile.

[[Fichier:Authenticator Battlenet.png]]

= Utilité =

= Sources =
- [https://korben.info/authentification-double-facteur-2fa.html https://korben.info/authentification-double-facteur-2fa.html]
- [https://www.wired.com/story/two-factor-authentication-apps-authy-google-authenticator/ https://www.wired.com/story/two-factor-authentication-apps-authy-google-authenticator/]
- [https://www.lemagit.fr/definition/Authentification-a-double-facteur https://www.lemagit.fr/definition/Authentification-a-double-facteur]
- [https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm]

Authentification deux facteurs

2018-11-25T21:45:21Z

Violette : /* Deuxième version */

= Introduction =

L'authentification pour un service est un processus permettant au système de s'assurer de la légitimité de la demande d'accès faite par une entité (être humain ou un autre système...) afin d'autoriser l'accès de cette entité aux services de ce système. On peut voir ce processus dans le domaine de la banque avec la signature par exemple. On va ici l'aborder dans le domaine informatique.

'''Définition''': un facteur d'authentification est un moyen de permettre à un service/logiciel de vérifier l'identité de l'utilisateur.

On peut différencier 3 types de facteurs différent:
- mémoriel: ce sont ceux dont on doit se souvenir comme par exemple un password avec son username associé ou la réponse à une question secrète.
- matériel: ce qu'on possède comme par exemple une application sur un téléphone, ou encore un code envoyé par SMS a un numéro donné.
- physique: ce que l'on est, notre voix ou encore nos empreintes biométriques.

On parle d'authentification simple lorsqu'on utilise qu'un seul élément pour s'identifier, le plus répandu étant le mot de passe, c'est rapide, mais pas suffisamment sécurisé. On a alors pensé à ajouter un autre élément de préférence appartenant à un autre facteur pour apporter plus de sécurité. On parle d'authentification forte, mais aussi d'authentification à deux facteurs.

= Fonctionnement =

==Premier Facteur==

On est dans le schéma classique qui est aussi le moyen le plus répandu pour s'authentifier. C'est un facteur de type mémoriel.

[[Fichier:PremierFacteur.jpg]]

L'utilisateur va s'authentifier en rentrant son username et le password associé auprès du service auquel il souhaite accéder.
Le service va alors faire passer le password dans une fonction de hachage et l'envoyé au serveur dudit service.
Le serveur va alors comparer le password qui a enregistré lors de la création de compte avec celui qu'il vient de recevoir.
Si le password correspond, l'utilisateur accède au service.

==Deuxième Facteur==

===Première version===

On est dans un schéma d'authentification qui est souvent associé au premier. C'est un facteur de type matériel.

[[Fichier:DeuxièmeFacteurV1.jpg]]

L'utilisateur souhaite accéder à un service. Pour ce faire il se connecte au service avec un nom d'utilisateur.
Le serveur va alors créer un code, suite de chiffres et/ou lettres, générer aléatoirement et qui va être valide durant un certain temps.
Il va ensuite l'envoyer à l'utilisateur via un moyen choisis par ce même utilisateur lors de la création de compte.
L'utilisateur va alors recevoir ce code via mail/SMS ou encore avec une notification sur une application mobile avec le choix de valider la connexion ou non.
L'utilisateur va alors rentrer le code ou accepter la notification pour se connecter à son service.

===Deuxième version===

C'est un facteur de type matériel. Mais c'est un autre fonctionnement qui tend à se répandre de plus en plus.

[[Fichier:DeuxièmeFacteurV2.jpg]]

Lorsque l'utilisateur va créer un compte il va se servir d'un token ou d'une application mobile, qu'il va synchroniser avec le serveur du service pour générer toujours le même code au même moment.
L'utilisateur souhaite alors accéder au service. Le service va alors demander à l'utilisateur le code, suite de chiffres et/ou lettres, qui est valable sur une courte durée.
L'utilisateur va alors se servir de son token/application mobile, récupérer le code et ensuite le rentrer sur le service.
Le service va alors demander au serveur si le code est bien le même qui a généré.
Si c'est le cas l'utilisateur peut alors utiliser le service.

'''Authentifieur de type Time-based One-Time-Password TOTP'''

C'est une extension de l'algorithme One-Time-Password OTP ( qui a pour but de générer un code à usage unique. Cet algorithme est plus sécurisé, car il prend en compte l'heure de la création de code, dans son calcul pour générer le code. Cet algorithme est utilisé par beaucoup d'entreprise proposant un authentificateur/token. On a donc <math>TOTP valeur(K) = OTP valeur(K,temps)</math> , avec temps une valeur déterminée à partir de l'heure ou le code est généré.

[[Fichier:Time-limited one time password.gif]]

Cet algorithme est composé de trois paramètres:
- une fonction d'hachage (par défaut SHA1)
- une clé secrète K
- une longueur de chaine D

On commence d'abord par la génération d'un HMAC-SHA1 à partir de K et CT (compteur de temps). Ensuite, on en extrait une chaine de 31 bits avant de générer un token, on prend ces bits convertis en décimal auquel on applique le modulo 10^D. Ceci nous donne notre token.

<math>X= HMAC(K,CT) </math>           HMAC fonction de SHA1

<math>Sbits = tronquer(X) </math>           tronquer va prendre 31 bits à partir de X

<math>T = dec(Sbits) mod 10^D</math>           dec transforme Sbits en valeur décimale

On se sert donc dans un premier temps du premier facteur d'authentification mémorielle qui sert à indiquer au service à quel compte on souhaite se connecte et ensuite le mot de passe qui permet de réaliser une première vérification. Si l'entité entre le bon mot de passe associé au compte, le service va alors passer à la seconde authentification pour confirmer l'identité de l'entité. On va soit recopier le code reçu par mail/texto ou encore accepter la notification ou recopier la valeur du token. Le service va alors confirmer notre identité et on peut ainsi accéder au service.

= Exemples d'utilisations =

Les choses qui peuvent se séparer en étapes dissociables comprennent généralement plusieurs facteurs.

Il y a énormément d'exemple possibles contenant des authentifications à multiples facteurs, que ce soit au sein de la vie courante, dans un domaine professionnel, ou même sur internet.

==Vie courante==

'''Domaine bancaire'''

Par exemple, lorsqu'on va retirer des sous sur un distributeur, on utilise deux facteurs :

[[Fichier:CB.png]]

La carte bleue est la version matériel des facteurs, et le code en est la version mémorielle.

Si on ne possède pas ces deux facteurs, il est impossible de retirer de l'argent.

Un autre exemple dans le domaine bancaire est la gestion des coffres forts, qui fait intervenir de multiples facteurs :

Avant l'ouverture, il faut des papiers d'identités, ce qui correspond à un facteur matériel, et potentiellement physique avec la photo.

Ensuite, l'ouverture nécessite deux clés : Une que l'on possède, et une que la Banque possède.
Ces deux clés correspondent à deux autres facteurs matériels.

==Domaine professionnel==
'''Question d'accès'''

''Accès à un bâtiment :''
Dans un milieu professionnel, pour pouvoir accéder à un bâtiment il faut très souvent avoir un badge, qui est au préalable enregistré : il s'agit du premier facteur, qui est matériel.

Le fait de rencontrer ses collègues peut être considéré comme un facteur physique, car une personne n'étant pas employée ne sera pas reconnue.

Enfin, l'accès a son poste de travail peut contenir plusieurs autres facteurs (clé de casier, mot de passe d’ordinateur, etc.).

''Accès à un réseau :''
Pour accéder à un réseau privé, qui peut contenir des données sensibles ou internes à l'entreprise, on peut avoir besoin de passer une authentification supplémentaire, qui va utiliser un token ou un logiciel prévu a cet effet.

[[Fichier:Token.png]]

==En ligne==
'''Contenu fréquemment utilisés'''

Lorsqu'on s'identifie à un Compte Google, il est possible d'ajouter le Google Authenticator, un mécanisme supplémentaire qui va envoyer un code par SMS, renforçant ainsi la sécurité du compte.
[[Fichier:Google Authenticator.png]]

'''Plateformes de jeux vidéos'''

Du fait du grand nombre d'utilisateurs des plateformes en lignes, elles se sécurisent au mieux possibles, et notamment via des authentification multiples :
Par exemple, Steam possède un mécanisme de sécurité qui va demander un code d'accès unique généré sur une application tiers.

[[Fichier:Steam Guard.png]]

De même, Blizzard utilise une authentification par une application mobile.

[[Fichier:Authenticator Battlenet.png]]

= Utilité =

= Sources =
- [https://www.wired.com/story/two-factor-authentication-apps-authy-google-authenticator/ https://www.wired.com/story/two-factor-authentication-apps-authy-google-authenticator/]
- [https://www.lemagit.fr/definition/Authentification-a-double-facteur https://www.lemagit.fr/definition/Authentification-a-double-facteur]
- [https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm]

Fichier:Time-limited one time password.gif

2018-11-25T21:44:18Z

Violette : Time-limited one time password

Time-limited one time password

Fichier:PremierFacteur.jpg

2018-11-25T21:32:04Z

Violette : Violette a téléversé une nouvelle version de Fichier:PremierFacteur.jpg

Premier facteur , facteur mémoriel

Fichier:PremierFacteur.jpg

2018-11-25T21:29:11Z

Violette : Violette a téléversé une nouvelle version de Fichier:PremierFacteur.jpg

Premier facteur , facteur mémoriel

Fichier:PremierFacteur.jpg

2018-11-25T21:28:39Z

Violette : Violette a téléversé une nouvelle version de Fichier:PremierFacteur.jpg

Premier facteur , facteur mémoriel

Authentification deux facteurs

2018-11-25T21:02:47Z

Violette : /* Sources */

= Introduction =

L'authentification pour un service est un processus permettant au système de s'assurer de la légitimité de la demande d'accès faite par une entité (être humain ou un autre système...) afin d'autoriser l'accès de cette entité aux services de ce système. On peut voir ce processus dans le domaine de la banque avec la signature par exemple. On va ici l'aborder dans le domaine informatique.

'''Définition''': un facteur d'authentification est un moyen de permettre à un service/logiciel de vérifier l'identité de l'utilisateur.

On peut différencier 3 types de facteurs différent:
- mémoriel: ce sont ceux dont on doit se souvenir comme par exemple un password avec son username associé ou la réponse à une question secrète.
- matériel: ce qu'on possède comme par exemple une application sur un téléphone, ou encore un code envoyé par SMS a un numéro donné.
- physique: ce que l'on est, notre voix ou encore nos empreintes biométriques.

On parle d'authentification simple lorsqu'on utilise qu'un seul élément pour s'identifier, le plus répandu étant le mot de passe, c'est rapide, mais pas suffisamment sécurisé. On a alors pensé à ajouter un autre élément de préférence appartenant à un autre facteur pour apporter plus de sécurité. On parle d'authentification forte, mais aussi d'authentification à deux facteurs.

= Fonctionnement =

==Premier Facteur==

On est dans le schéma classique qui est aussi le moyen le plus répandu pour s'authentifier. C'est un facteur de type mémoriel.

[[Fichier:PremierFacteur.jpg]]

L'utilisateur va s'authentifier en rentrant son username et le password associé auprès du service auquel il souhaite accéder.
Le service va alors faire passer le password dans une fonction de hachage et l'envoyé au serveur dudit service.
Le serveur va alors comparer le password qui a enregistré lors de la création de compte avec celui qu'il vient de recevoir.
Si le password correspond, l'utilisateur accède au service.

==Deuxième Facteur==

===Première version===

On est dans un schéma d'authentification qui est souvent associé au premier. C'est un facteur de type matériel.

[[Fichier:DeuxièmeFacteurV1.jpg]]

L'utilisateur souhaite accéder à un service. Pour ce faire il se connecte au service avec un nom d'utilisateur.
Le serveur va alors créer un code, suite de chiffres et/ou lettres, générer aléatoirement et qui va être valide durant un certain temps.
Il va ensuite l'envoyer à l'utilisateur via un moyen choisis par ce même utilisateur lors de la création de compte.
L'utilisateur va alors recevoir ce code via mail/SMS ou encore avec une notification sur une application mobile avec le choix de valider la connexion ou non.
L'utilisateur va alors rentrer le code ou accepter la notification pour se connecter à son service.

===Deuxième version===

C'est un facteur de type matériel. Mais c'est un autre fonctionnement qui tend à se répandre de plus en plus.

[[Fichier:DeuxièmeFacteurV2.jpg]]

Lorsque l'utilisateur va créer un compte il va se servir d'un token ou d'une application mobile, qu'il va synchroniser avec le serveur du service pour générer toujours le même code au même moment.
L'utilisateur souhaite alors accéder au service. Le service va alors demander à l'utilisateur le code, suite de chiffres et/ou lettres, qui est valable sur une courte durée.
L'utilisateur va alors se servir de son token/application mobile, récupérer le code et ensuite le rentrer sur le service.
Le service va alors demander au serveur si le code est bien le même qui a généré.
Si c'est le cas l'utilisateur peut alors utiliser le service.

'''Authentifieur de type Time-based One-Time-Password TOTP'''

C'est une extension de l'algorithme One-Time-Password HOTP qui a pour but de générer un code à usage unique. Cet algorithme est plus sécurisé, car il prend en compte l'heure de la création de code, dans son calcul pour générer le code. Cet algorithme est utilisé par beaucoup d'entreprise proposant un authentificateur/token. On a donc TOTP valeur(K) = HOTP valeur(K,temps) , avec temps une valeur déterminée à partir de l'heure ou le code est généré.

Cet algorithme est composé de trois paramètres:
- une fonction d'hachage (par défaut SHA1)
- une clé secrète K
- une longueur de chaine D

On commence d'abord par la génération d'un HMAC-SHA1 à partir de K et CT (compteur de temps). Ensuite, on en extrait une chaine de 31 bits avant de générer un token, on prend ces bits convertis en décimal auquel on applique le modulo 10^D. Ceci nous donne notre token.

//(HMAC fonction de SHA1)

X= HMAC(K,CT)

//(tronquer va prendre 31 bits à partir de X)

Sbits = tronquer(X)

//(dec transforme Sbits en valeur décimale)

T = dec(Sbits) mod 10^D

On se sert donc dans un premier temps du premier facteur d'authentification mémorielle qui sert à indiquer au service à quel compte on souhaite se connecte et ensuite le mot de passe qui permet de réaliser une première vérification. Si l'entité entre le bon mot de passe associé au compte, le service va alors passer à la seconde authentification pour confirmer l'identité de l'entité. On va soit recopier le code reçu par mail/texto ou encore accepter la notification ou recopier la valeur du token. Le service va alors confirmer notre identité et on peut ainsi accéder au service.

= Exemples d'utilisations =

Les choses qui peuvent se séparer en étapes dissociables comprennent généralement plusieurs facteurs.

Il y a énormément d'exemple possibles contenant des authentifications à multiples facteurs, que ce soit au sein de la vie courante, dans un domaine professionnel, ou même sur internet.

==Vie courante==

'''Domaine bancaire'''

Par exemple, lorsqu'on va retirer des sous sur un distributeur, on utilise deux facteurs :

[[Fichier:CB.png]]

La carte bleue est la version matériel des facteurs, et le code en est la version mémorielle.

Si on ne possède pas ces deux facteurs, il est impossible de retirer de l'argent.

Un autre exemple dans le domaine bancaire est la gestion des coffres forts, qui fait intervenir de multiples facteurs :

Avant l'ouverture, il faut des papiers d'identités, ce qui correspond à un facteur matériel, et potentiellement physique avec la photo.

Ensuite, l'ouverture nécessite deux clés : Une que l'on possède, et une que la Banque possède.
Ces deux clés correspondent à deux autres facteurs matériels.

==Domaine professionnel==
'''Question d'accès'''

''Accès à un bâtiment :''
Dans un milieu professionnel, pour pouvoir accéder à un bâtiment il faut très souvent avoir un badge, qui est au préalable enregistré : il s'agit du premier facteur, qui est matériel.

Le fait de rencontrer ses collègues peut être considéré comme un facteur physique, car une personne n'étant pas employée ne sera pas reconnue.

Enfin, l'accès a son poste de travail peut contenir plusieurs autres facteurs (clé de casier, mot de passe d’ordinateur, etc.).

''Accès à un réseau :''
Pour accéder à un réseau privé, qui peut contenir des données sensibles ou internes à l'entreprise, on peut avoir besoin de passer une authentification supplémentaire, qui va utiliser un token ou un logiciel prévu a cet effet.

[[Fichier:Token.png]]

==En ligne==
'''Contenu fréquemment utilisés'''

Lorsqu'on s'identifie à un Compte Google, il est possible d'ajouter le Google Authenticator, un mécanisme supplémentaire qui va envoyer un code par SMS, renforçant ainsi la sécurité du compte.
[[Fichier:Google Authenticator.png]]

'''Plateformes de jeux vidéos'''

Du fait du grand nombre d'utilisateurs des plateformes en lignes, elles se sécurisent au mieux possibles, et notamment via des authentification multiples :
Par exemple, Steam possède un mécanisme de sécurité qui va demander un code d'accès unique généré sur une application tiers.

[[Fichier:Steam Guard.png]]

De même, Blizzard utilise une authentification par une application mobile.

[[Fichier:Authenticator Battlenet.png]]

= Utilité =

= Sources =
- [https://www.wired.com/story/two-factor-authentication-apps-authy-google-authenticator/ https://www.wired.com/story/two-factor-authentication-apps-authy-google-authenticator/]
- [https://www.lemagit.fr/definition/Authentification-a-double-facteur https://www.lemagit.fr/definition/Authentification-a-double-facteur]
- [https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm]

Authentification deux facteurs

2018-11-25T20:58:26Z

Violette :

= Introduction =

L'authentification pour un service est un processus permettant au système de s'assurer de la légitimité de la demande d'accès faite par une entité (être humain ou un autre système...) afin d'autoriser l'accès de cette entité aux services de ce système. On peut voir ce processus dans le domaine de la banque avec la signature par exemple. On va ici l'aborder dans le domaine informatique.

'''Définition''': un facteur d'authentification est un moyen de permettre à un service/logiciel de vérifier l'identité de l'utilisateur.

On peut différencier 3 types de facteurs différent:
- mémoriel: ce sont ceux dont on doit se souvenir comme par exemple un password avec son username associé ou la réponse à une question secrète.
- matériel: ce qu'on possède comme par exemple une application sur un téléphone, ou encore un code envoyé par SMS a un numéro donné.
- physique: ce que l'on est, notre voix ou encore nos empreintes biométriques.

On parle d'authentification simple lorsqu'on utilise qu'un seul élément pour s'identifier, le plus répandu étant le mot de passe, c'est rapide, mais pas suffisamment sécurisé. On a alors pensé à ajouter un autre élément de préférence appartenant à un autre facteur pour apporter plus de sécurité. On parle d'authentification forte, mais aussi d'authentification à deux facteurs.

= Fonctionnement =

==Premier Facteur==

On est dans le schéma classique qui est aussi le moyen le plus répandu pour s'authentifier. C'est un facteur de type mémoriel.

[[Fichier:PremierFacteur.jpg]]

L'utilisateur va s'authentifier en rentrant son username et le password associé auprès du service auquel il souhaite accéder.
Le service va alors faire passer le password dans une fonction de hachage et l'envoyé au serveur dudit service.
Le serveur va alors comparer le password qui a enregistré lors de la création de compte avec celui qu'il vient de recevoir.
Si le password correspond, l'utilisateur accède au service.

==Deuxième Facteur==

===Première version===

On est dans un schéma d'authentification qui est souvent associé au premier. C'est un facteur de type matériel.

[[Fichier:DeuxièmeFacteurV1.jpg]]

L'utilisateur souhaite accéder à un service. Pour ce faire il se connecte au service avec un nom d'utilisateur.
Le serveur va alors créer un code, suite de chiffres et/ou lettres, générer aléatoirement et qui va être valide durant un certain temps.
Il va ensuite l'envoyer à l'utilisateur via un moyen choisis par ce même utilisateur lors de la création de compte.
L'utilisateur va alors recevoir ce code via mail/SMS ou encore avec une notification sur une application mobile avec le choix de valider la connexion ou non.
L'utilisateur va alors rentrer le code ou accepter la notification pour se connecter à son service.

===Deuxième version===

C'est un facteur de type matériel. Mais c'est un autre fonctionnement qui tend à se répandre de plus en plus.

[[Fichier:DeuxièmeFacteurV2.jpg]]

Lorsque l'utilisateur va créer un compte il va se servir d'un token ou d'une application mobile, qu'il va synchroniser avec le serveur du service pour générer toujours le même code au même moment.
L'utilisateur souhaite alors accéder au service. Le service va alors demander à l'utilisateur le code, suite de chiffres et/ou lettres, qui est valable sur une courte durée.
L'utilisateur va alors se servir de son token/application mobile, récupérer le code et ensuite le rentrer sur le service.
Le service va alors demander au serveur si le code est bien le même qui a généré.
Si c'est le cas l'utilisateur peut alors utiliser le service.

'''Authentifieur de type Time-based One-Time-Password TOTP'''

C'est une extension de l'algorithme One-Time-Password HOTP qui a pour but de générer un code à usage unique. Cet algorithme est plus sécurisé, car il prend en compte l'heure de la création de code, dans son calcul pour générer le code. Cet algorithme est utilisé par beaucoup d'entreprise proposant un authentificateur/token. On a donc TOTP valeur(K) = HOTP valeur(K,temps) , avec temps une valeur déterminée à partir de l'heure ou le code est généré.

Cet algorithme est composé de trois paramètres:
- une fonction d'hachage (par défaut SHA1)
- une clé secrète K
- une longueur de chaine D

On commence d'abord par la génération d'un HMAC-SHA1 à partir de K et CT (compteur de temps). Ensuite, on en extrait une chaine de 31 bits avant de générer un token, on prend ces bits convertis en décimal auquel on applique le modulo 10^D. Ceci nous donne notre token.

//(HMAC fonction de SHA1)

X= HMAC(K,CT)

//(tronquer va prendre 31 bits à partir de X)

Sbits = tronquer(X)

//(dec transforme Sbits en valeur décimale)

T = dec(Sbits) mod 10^D

On se sert donc dans un premier temps du premier facteur d'authentification mémorielle qui sert à indiquer au service à quel compte on souhaite se connecte et ensuite le mot de passe qui permet de réaliser une première vérification. Si l'entité entre le bon mot de passe associé au compte, le service va alors passer à la seconde authentification pour confirmer l'identité de l'entité. On va soit recopier le code reçu par mail/texto ou encore accepter la notification ou recopier la valeur du token. Le service va alors confirmer notre identité et on peut ainsi accéder au service.

= Exemples d'utilisations =

Les choses qui peuvent se séparer en étapes dissociables comprennent généralement plusieurs facteurs.

Il y a énormément d'exemple possibles contenant des authentifications à multiples facteurs, que ce soit au sein de la vie courante, dans un domaine professionnel, ou même sur internet.

==Vie courante==

'''Domaine bancaire'''

Par exemple, lorsqu'on va retirer des sous sur un distributeur, on utilise deux facteurs :

[[Fichier:CB.png]]

La carte bleue est la version matériel des facteurs, et le code en est la version mémorielle.

Si on ne possède pas ces deux facteurs, il est impossible de retirer de l'argent.

Un autre exemple dans le domaine bancaire est la gestion des coffres forts, qui fait intervenir de multiples facteurs :

Avant l'ouverture, il faut des papiers d'identités, ce qui correspond à un facteur matériel, et potentiellement physique avec la photo.

Ensuite, l'ouverture nécessite deux clés : Une que l'on possède, et une que la Banque possède.
Ces deux clés correspondent à deux autres facteurs matériels.

==Domaine professionnel==
'''Question d'accès'''

''Accès à un bâtiment :''
Dans un milieu professionnel, pour pouvoir accéder à un bâtiment il faut très souvent avoir un badge, qui est au préalable enregistré : il s'agit du premier facteur, qui est matériel.

Le fait de rencontrer ses collègues peut être considéré comme un facteur physique, car une personne n'étant pas employée ne sera pas reconnue.

Enfin, l'accès a son poste de travail peut contenir plusieurs autres facteurs (clé de casier, mot de passe d’ordinateur, etc.).

''Accès à un réseau :''
Pour accéder à un réseau privé, qui peut contenir des données sensibles ou internes à l'entreprise, on peut avoir besoin de passer une authentification supplémentaire, qui va utiliser un token ou un logiciel prévu a cet effet.

[[Fichier:Token.png]]

==En ligne==
'''Contenu fréquemment utilisés'''

Lorsqu'on s'identifie à un Compte Google, il est possible d'ajouter le Google Authenticator, un mécanisme supplémentaire qui va envoyer un code par SMS, renforçant ainsi la sécurité du compte.
[[Fichier:Google Authenticator.png]]

'''Plateformes de jeux vidéos'''

Du fait du grand nombre d'utilisateurs des plateformes en lignes, elles se sécurisent au mieux possibles, et notamment via des authentification multiples :
Par exemple, Steam possède un mécanisme de sécurité qui va demander un code d'accès unique généré sur une application tiers.

[[Fichier:Steam Guard.png]]

De même, Blizzard utilise une authentification par une application mobile.

[[Fichier:Authenticator Battlenet.png]]

= Utilité =

= Sources =
- [https://www.lemagit.fr/definition/Authentification-a-double-facteur https://www.lemagit.fr/definition/Authentification-a-double-facteur]
- [https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm]

Authentification deux facteurs

2018-11-25T20:52:32Z

Violette : /* Domaine professionnel */

= Introduction =

L'authentification pour un service est un processus permettant au système de s'assurer de la légitimité de la demande d'accès faite par une entité (être humain ou un autre système...) afin d'autoriser l'accès de cette entité aux services de ce système. On peut voir ce processus dans le domaine de la banque avec la signature par exemple. On va ici l'aborder dans le domaine informatique.

'''Définition''': un facteur d'authentification est un moyen de permettre à un service/logiciel de vérifier l'identité de l'utilisateur.

On peut différencier 3 types de facteurs différent:
- mémoriel: ce sont ceux dont on doit se souvenir comme par exemple un password avec son username associé ou la réponse à une question secrète.
- matériel: ce qu'on possède comme par exemple une application sur un téléphone, ou encore un code envoyé par SMS a un numéro donné.
- physique: ce que l'on est, notre voix ou encore nos empreintes biométriques.

On parle d'authentification simple lorsqu'on utilise qu'un seul élément pour s'identifier, le plus répandu étant le mot de passe, c'est rapide, mais pas suffisamment sécurisé. On a alors pensé à ajouter un autre élément de préférence appartenant à un autre facteur pour apporter plus de sécurité. On parle d'authentification forte, mais aussi d'authentification à deux facteurs.

= Fonctionnement =

==Premier Facteur==

On est dans le schéma classique qui est aussi le moyen le plus répandu pour s'authentifier. C'est un facteur de type mémoriel.

[[Fichier:PremierFacteur.jpg]]

L'utilisateur va s'authentifier en rentrant son username et le password associé auprès du service auquel il souhaite accéder.
Le service va alors faire passer le password dans une fonction de hachage et l'envoyé au serveur dudit service.
Le serveur va alors comparer le password qui a enregistré lors de la création de compte avec celui qu'il vient de recevoir.
Si le password correspond, l'utilisateur accède au service.

==Deuxième Facteur==

===Première version===

On est dans un schéma d'authentification qui est souvent associé au premier. C'est un facteur de type matériel.

[[Fichier:DeuxièmeFacteurV1.jpg]]

L'utilisateur souhaite accéder à un service. Pour ce faire il se connecte au service avec un nom d'utilisateur.
Le serveur va alors créer un code, suite de chiffres et/ou lettres, générer aléatoirement et qui va être valide durant un certain temps.
Il va ensuite l'envoyer à l'utilisateur via un moyen choisis par ce même utilisateur lors de la création de compte.
L'utilisateur va alors recevoir ce code via mail/SMS ou encore avec une notification sur une application mobile avec le choix de valider la connexion ou non.
L'utilisateur va alors rentrer le code ou accepter la notification pour se connecter à son service.

===Deuxième version===

C'est un facteur de type matériel. Mais c'est un autre fonctionnement qui tend à se répandre de plus en plus.

[[Fichier:DeuxièmeFacteurV2.jpg]]

Lorsque l'utilisateur va créer un compte il va se servir d'un token ou d'une application mobile, qu'il va synchroniser avec le serveur du service pour générer toujours le même code au même moment.
L'utilisateur souhaite alors accéder au service. Le service va alors demander à l'utilisateur le code, suite de chiffres et/ou lettres, qui est valable sur une courte durée.
L'utilisateur va alors se servir de son token/application mobile, récupérer le code et ensuite le rentrer sur le service.
Le service va alors demander au serveur si le code est bien le même qui a généré.
Si c'est le cas l'utilisateur peut alors utiliser le service.

'''Authentifieur de type Time-based One-Time-Password TOTP'''

C'est une extension de l'algorithme One-Time-Password HOTP qui a pour but de générer un code à usage unique. Cet algorithme est plus sécurisé, car il prend en compte l'heure de la création de code, dans son calcul pour générer le code. Cet algorithme est utilisé par beaucoup d'entreprise proposant un authentificateur/token. On a donc TOTP valeur(K) = HOTP valeur(K,temps) , avec temps une valeur déterminée à partir de l'heure ou le code est généré.

Cet algorithme est composé de trois paramètres:
- une fonction d'hachage (par défaut SHA1)
- une clé secrète K
- une longueur de chaine D

On commence d'abord par la génération d'un HMAC-SHA1 à partir de K et CT (compteur de temps). Ensuite, on en extrait une chaine de 31 bits avant de générer un token, on prend ces bits convertis en décimal auquel on applique le modulo 10^D. Ceci nous donne notre token.

//(HMAC fonction de SHA1)

X= HMAC(K,CT)

//(tronquer va prendre 31 bits à partir de X)

Sbits = tronquer(X)

//(dec transforme Sbits en valeur décimale)

T = dec(Sbits) mod 10^D

On se sert donc dans un premier temps du premier facteur d'authentification mémorielle qui sert à indiquer au service à quel compte on souhaite se connecte et ensuite le mot de passe qui permet de réaliser une première vérification. Si l'entité entre le bon mot de passe associé au compte, le service va alors passer à la seconde authentification pour confirmer l'identité de l'entité. On va soit recopier le code reçu par mail/texto ou encore accepter la notification ou recopier la valeur du token. Le service va alors confirmer notre identité et on peut ainsi accéder au service.

= Utilité =

= Exemples d'utilisations =

Les choses qui peuvent se séparer en étapes dissociables comprennent généralement plusieurs facteurs.

Il y a énormément d'exemple possibles contenant des authentifications à multiples facteurs, que ce soit au sein de la vie courante, dans un domaine professionnel, ou même sur internet.

==Vie courante==

'''Domaine bancaire'''

Par exemple, lorsqu'on va retirer des sous sur un distributeur, on utilise deux facteurs :

[[Fichier:CB.png]]

La carte bleue est la version matériel des facteurs, et le code en est la version mémorielle.

Si on ne possède pas ces deux facteurs, il est impossible de retirer de l'argent.

Un autre exemple dans le domaine bancaire est la gestion des coffres forts, qui fait intervenir de multiples facteurs :

Avant l'ouverture, il faut des papiers d'identités, ce qui correspond à un facteur matériel, et potentiellement physique avec la photo.

Ensuite, l'ouverture nécessite deux clés : Une que l'on possède, et une que la Banque possède.
Ces deux clés correspondent à deux autres facteurs matériels.

==Domaine professionnel==
'''Question d'accès'''

''Accès à un bâtiment :''
Dans un milieu professionnel, pour pouvoir accéder à un bâtiment il faut très souvent avoir un badge, qui est au préalable enregistré : il s'agit du premier facteur, qui est matériel.

Le fait de rencontrer ses collègues peut être considéré comme un facteur physique, car une personne n'étant pas employée ne sera pas reconnue.

Enfin, l'accès a son poste de travail peut contenir plusieurs autres facteurs (clé de casier, mot de passe d’ordinateur, etc.).

''Accès à un réseau :''
Pour accéder à un réseau privé, qui peut contenir des données sensibles ou internes à l'entreprise, on peut avoir besoin de passer une authentification supplémentaire, qui va utiliser un token ou un logiciel prévu a cet effet.

[[Fichier:Token.png]]

==En ligne==
'''Contenu fréquemment utilisés'''

Lorsqu'on s'identifie à un Compte Google, il est possible d'ajouter le Google Authenticator, un mécanisme supplémentaire qui va envoyer un code par SMS, renforçant ainsi la sécurité du compte.
[[Fichier:Google Authenticator.png]]

'''Plateformes de jeux vidéos'''

Du fait du grand nombre d'utilisateurs des plateformes en lignes, elles se sécurisent au mieux possibles, et notamment via des authentification multiples :
Par exemple, Steam possède un mécanisme de sécurité qui va demander un code d'accès unique généré sur une application tiers.

[[Fichier:Steam Guard.png]]

De même, Blizzard utilise une authentification par une application mobile.

[[Fichier:Authenticator Battlenet.png]]

= Sources =
- [https://www.lemagit.fr/definition/Authentification-a-double-facteur https://www.lemagit.fr/definition/Authentification-a-double-facteur]
- [https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm]

Authentification deux facteurs

2018-11-25T20:50:58Z

Violette : /* Exemples d'utilisations */

= Introduction =

L'authentification pour un service est un processus permettant au système de s'assurer de la légitimité de la demande d'accès faite par une entité (être humain ou un autre système...) afin d'autoriser l'accès de cette entité aux services de ce système. On peut voir ce processus dans le domaine de la banque avec la signature par exemple. On va ici l'aborder dans le domaine informatique.

'''Définition''': un facteur d'authentification est un moyen de permettre à un service/logiciel de vérifier l'identité de l'utilisateur.

On peut différencier 3 types de facteurs différent:
- mémoriel: ce sont ceux dont on doit se souvenir comme par exemple un password avec son username associé ou la réponse à une question secrète.
- matériel: ce qu'on possède comme par exemple une application sur un téléphone, ou encore un code envoyé par SMS a un numéro donné.
- physique: ce que l'on est, notre voix ou encore nos empreintes biométriques.

On parle d'authentification simple lorsqu'on utilise qu'un seul élément pour s'identifier, le plus répandu étant le mot de passe, c'est rapide, mais pas suffisamment sécurisé. On a alors pensé à ajouter un autre élément de préférence appartenant à un autre facteur pour apporter plus de sécurité. On parle d'authentification forte, mais aussi d'authentification à deux facteurs.

= Fonctionnement =

==Premier Facteur==

On est dans le schéma classique qui est aussi le moyen le plus répandu pour s'authentifier. C'est un facteur de type mémoriel.

[[Fichier:PremierFacteur.jpg]]

L'utilisateur va s'authentifier en rentrant son username et le password associé auprès du service auquel il souhaite accéder.
Le service va alors faire passer le password dans une fonction de hachage et l'envoyé au serveur dudit service.
Le serveur va alors comparer le password qui a enregistré lors de la création de compte avec celui qu'il vient de recevoir.
Si le password correspond, l'utilisateur accède au service.

==Deuxième Facteur==

===Première version===

On est dans un schéma d'authentification qui est souvent associé au premier. C'est un facteur de type matériel.

[[Fichier:DeuxièmeFacteurV1.jpg]]

L'utilisateur souhaite accéder à un service. Pour ce faire il se connecte au service avec un nom d'utilisateur.
Le serveur va alors créer un code, suite de chiffres et/ou lettres, générer aléatoirement et qui va être valide durant un certain temps.
Il va ensuite l'envoyer à l'utilisateur via un moyen choisis par ce même utilisateur lors de la création de compte.
L'utilisateur va alors recevoir ce code via mail/SMS ou encore avec une notification sur une application mobile avec le choix de valider la connexion ou non.
L'utilisateur va alors rentrer le code ou accepter la notification pour se connecter à son service.

===Deuxième version===

C'est un facteur de type matériel. Mais c'est un autre fonctionnement qui tend à se répandre de plus en plus.

[[Fichier:DeuxièmeFacteurV2.jpg]]

Lorsque l'utilisateur va créer un compte il va se servir d'un token ou d'une application mobile, qu'il va synchroniser avec le serveur du service pour générer toujours le même code au même moment.
L'utilisateur souhaite alors accéder au service. Le service va alors demander à l'utilisateur le code, suite de chiffres et/ou lettres, qui est valable sur une courte durée.
L'utilisateur va alors se servir de son token/application mobile, récupérer le code et ensuite le rentrer sur le service.
Le service va alors demander au serveur si le code est bien le même qui a généré.
Si c'est le cas l'utilisateur peut alors utiliser le service.

'''Authentifieur de type Time-based One-Time-Password TOTP'''

C'est une extension de l'algorithme One-Time-Password HOTP qui a pour but de générer un code à usage unique. Cet algorithme est plus sécurisé, car il prend en compte l'heure de la création de code, dans son calcul pour générer le code. Cet algorithme est utilisé par beaucoup d'entreprise proposant un authentificateur/token. On a donc TOTP valeur(K) = HOTP valeur(K,temps) , avec temps une valeur déterminée à partir de l'heure ou le code est généré.

Cet algorithme est composé de trois paramètres:
- une fonction d'hachage (par défaut SHA1)
- une clé secrète K
- une longueur de chaine D

On commence d'abord par la génération d'un HMAC-SHA1 à partir de K et CT (compteur de temps). Ensuite, on en extrait une chaine de 31 bits avant de générer un token, on prend ces bits convertis en décimal auquel on applique le modulo 10^D. Ceci nous donne notre token.

//(HMAC fonction de SHA1)

X= HMAC(K,CT)

//(tronquer va prendre 31 bits à partir de X)

Sbits = tronquer(X)

//(dec transforme Sbits en valeur décimale)

T = dec(Sbits) mod 10^D

On se sert donc dans un premier temps du premier facteur d'authentification mémorielle qui sert à indiquer au service à quel compte on souhaite se connecte et ensuite le mot de passe qui permet de réaliser une première vérification. Si l'entité entre le bon mot de passe associé au compte, le service va alors passer à la seconde authentification pour confirmer l'identité de l'entité. On va soit recopier le code reçu par mail/texto ou encore accepter la notification ou recopier la valeur du token. Le service va alors confirmer notre identité et on peut ainsi accéder au service.

= Utilité =

= Exemples d'utilisations =

Les choses qui peuvent se séparer en étapes dissociables comprennent généralement plusieurs facteurs.

Il y a énormément d'exemple possibles contenant des authentifications à multiples facteurs, que ce soit au sein de la vie courante, dans un domaine professionnel, ou même sur internet.

==Vie courante==

'''Domaine bancaire'''

Par exemple, lorsqu'on va retirer des sous sur un distributeur, on utilise deux facteurs :

[[Fichier:CB.png]]

La carte bleue est la version matériel des facteurs, et le code en est la version mémorielle.

Si on ne possède pas ces deux facteurs, il est impossible de retirer de l'argent.

Un autre exemple dans le domaine bancaire est la gestion des coffres forts, qui fait intervenir de multiples facteurs :

Avant l'ouverture, il faut des papiers d'identités, ce qui correspond à un facteur matériel, et potentiellement physique avec la photo.

Ensuite, l'ouverture nécessite deux clés : Une que l'on possède, et une que la Banque possède.
Ces deux clés correspondent à deux autres facteurs matériels.

==Domaine professionnel==
'''Question d'accès'''

''Accès à un bâtiment :''
Dans un milieu professionnel, pour pouvoir accéder à un bâtiment il faut très souvent avoir un badge, qui est au préalable enregistré : il s'agit du premier facteur, qui est matériel.

Le fait de rencontrer ses collègues peut être considéré comme un facteur physique, car une personne n'étant pas employée ne sera pas reconnue.

Enfin, l'accès a son poste de travail peut contenir plusieurs autres facteurs (clé de casier, mot de passe d’ordinateur, etc.).

''Accès à un réseau :''
Pour accéder à un réseau privé, qui peut contenir des données sensibles ou internes à l'entreprise, on peut avoir besoin de passer une authentification supplémentaire, qui va utiliser un token ou un
logiciel prévu a cet effet.

[[Fichier:Token.png]]

==En ligne==
'''Contenu fréquemment utilisés'''

Lorsqu'on s'identifie à un Compte Google, il est possible d'ajouter le Google Authenticator, un mécanisme supplémentaire qui va envoyer un code par SMS, renforçant ainsi la sécurité du compte.
[[Fichier:Google Authenticator.png]]

'''Plateformes de jeux vidéos'''

Du fait du grand nombre d'utilisateurs des plateformes en lignes, elles se sécurisent au mieux possibles, et notamment via des authentification multiples :
Par exemple, Steam possède un mécanisme de sécurité qui va demander un code d'accès unique généré sur une application tiers.

[[Fichier:Steam Guard.png]]

De même, Blizzard utilise une authentification par une application mobile.

[[Fichier:Authenticator Battlenet.png]]

= Sources =
- [https://www.lemagit.fr/definition/Authentification-a-double-facteur https://www.lemagit.fr/definition/Authentification-a-double-facteur]
- [https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm]

Fichier:Token.png

2018-11-25T20:40:40Z

Violette : Un Token = génère des nombres aléatoirement synchronisés avec un mécanisme de sécurité

Un Token = génère des nombres aléatoirement synchronisés avec un mécanisme de sécurité

Authentification deux facteurs

2018-11-25T20:12:52Z

Violette : /* Exemples d'utilisations */

Fichier:Google Authenticator.png

2018-11-25T19:55:21Z

Violette : Google Authenticator = Un facteur authentification matériel

Google Authenticator = Un facteur authentification matériel

Fichier:Authenticator Battlenet.png

2018-11-25T19:53:06Z

Violette :

L'application de Battlenet = Un facteur d'authentification matériel

Fichier:Steam Guard.png

2018-11-25T19:52:42Z

Violette : Steam Guard = Un facteur d'authentification matériel

Steam Guard = Un facteur d'authentification matériel

Fichier:Authenticator Battlenet.png

2018-11-25T19:51:11Z

Violette : L'application de Battlenet = Un facteur d'authentification

L'application de Battlenet = Un facteur d'authentification

Fichier:CB.png

2018-11-25T19:00:32Z

Violette : Carte bleue et code : Deux facteurs d'authentification

Carte bleue et code : Deux facteurs d'authentification

Authentification deux facteurs

2018-11-25T18:49:28Z

Violette :

= Introduction =

L'authentification pour un système informatique est un processus permettant au système de s'assurer de la légitimité de la demande d'accès faite par une entité (être humain ou un autre système...) afin d'autoriser l'accès de cette entité aux services de ce système.

'''Définition''': Un facteur d'authentification est un moyen de permettre à un service/logiciel de vérifier l'identité de l'utilisateur.

On peut différencier 3 types de facteurs différent:
- mémoriel: ce sont ceux dont on doit se souvenir comme par exemple un mot de passe avec son nom d'utilisateur associé ou la réponse à une question secrète etc
- matériel: ce qu'on possède comme par exemple une application sur un téléphone, ou encore un code envoyé par SMS a un numéro donné
- physique: ce que l'on est, notre voix ou encore nos empreintes biométriques

= Fonctionnement =

==Premier Facteur==

On est dans le schéma classique qui est aussi le moyen le plus répandu pour s'authentifier. C'est un facteur de type mémoriel.

[[Fichier:PremierFacteur.jpg]]
L'utilisateur va s'authentifier en rentrant son username et le password associé auprès du service auquel il souhaite accéder.
Le service va alors faire passer le password dans une fonction de hachage et l'envoyé au serveur dudit service.
Le serveur va alors comparé le password qui à enregistré lors de la création de compte avec celui qu'il vient de recevoir.
Si le password correspond, l'utilisateur accède au service.

==Deuxième Facteur==

'''Première version :'''

On est dans un schéma d'authentification qui est souvent associer avec le premier. C'est un facteur de type matériel.

[[Fichier:DeuxièmeFacteurV1.jpg]]

L'utilisateur souhaite accéder à un service. Pour ce faire il se connecte au service avec un nom d'utilisateur.
Le serveur va alors créer un code, suite de chiffres et/ou lettres, générer aléatoirement et qui va être valide durant un certain temps.
Il va ensuite l'envoyer à l'utilisateur via un moyen choisis par ce même utilisateur lors de la création de compte.
L'utilisateur va alors recevoir ce code via mail/SMS ou encore avec une notification sur une application mobile avec le choix de valider la connexion ou non.
L'utilisateur va alors rentrer le code ou accepter la notification pour se connecter a son service.

'''Deuxième version :'''

C'est un facteur de type matériel. Mais c'est un autre fonctionnement qui tend a se répandre de plus en plus.

[[Fichier:DeuxièmeFacteurV2.jpg]]

Lorsque l'utilisateur va créer un compte il va se servir d'un token ou d'un application mobile, qu'il va synchroniser avec le serveur du service pour générer toujours le même code au même moment.
L'utilisateur souhaite alors accéder au service. Le service va alors demander à l'utilisateur le code, suite de chiffres et/ou lettres, qui est valable sur une courte durée.
L'utilisateur va alors se servir de son token/application mobile, récupérer le code et ensuite le rentrer sur le service.
Le service va alors demander au serveur si le code est bien le même qui a générer.
Si c'est le cas l'utilisateur peut alors utiliser le service.

On se sert donc dans un premier temps du premier facteur d'authentification

= Utilité =

= Exemples d'utilisations =

= Sources =
- [https://www.lemagit.fr/definition/Authentification-a-double-facteur https://www.lemagit.fr/definition/Authentification-a-double-facteur]

Authentification deux facteurs

2018-11-25T18:48:43Z

Violette :

== Introduction ==

L'authentification pour un système informatique est un processus permettant au système de s'assurer de la légitimité de la demande d'accès faite par une entité (être humain ou un autre système...) afin d'autoriser l'accès de cette entité aux services de ce système.

'''Définition''': Un facteur d'authentification est un moyen de permettre à un service/logiciel de vérifier l'identité de l'utilisateur.

On peut différencier 3 types de facteurs différent:
- mémoriel: ce sont ceux dont on doit se souvenir comme par exemple un mot de passe avec son nom d'utilisateur associé ou la réponse à une question secrète etc
- matériel: ce qu'on possède comme par exemple une application sur un téléphone, ou encore un code envoyé par SMS a un numéro donné
- physique: ce que l'on est, notre voix ou encore nos empreintes biométriques

== Fonctionnement ==

'''Premier Facteur'''

On est dans le schéma classique qui est aussi le moyen le plus répandu pour s'authentifier. C'est un facteur de type mémoriel.

[[Fichier:PremierFacteur.jpg]]
L'utilisateur va s'authentifier en rentrant son username et le password associé auprès du service auquel il souhaite accéder.
Le service va alors faire passer le password dans une fonction de hachage et l'envoyé au serveur dudit service.
Le serveur va alors comparé le password qui à enregistré lors de la création de compte avec celui qu'il vient de recevoir.
Si le password correspond, l'utilisateur accède au service.

'''Deuxième Facteur'''

Première version:

On est dans un schéma d'authentification qui est souvent associer avec le premier. C'est un facteur de type matériel.

[[Fichier:DeuxièmeFacteurV1.jpg]]

L'utilisateur souhaite accéder à un service. Pour ce faire il se connecte au service avec un nom d'utilisateur.
Le serveur va alors créer un code, suite de chiffres et/ou lettres, générer aléatoirement et qui va être valide durant un certain temps.
Il va ensuite l'envoyer à l'utilisateur via un moyen choisis par ce même utilisateur lors de la création de compte.
L'utilisateur va alors recevoir ce code via mail/SMS ou encore avec une notification sur une application mobile avec le choix de valider la connexion ou non.
L'utilisateur va alors rentrer le code ou accepter la notification pour se connecter a son service.

Deuxième version:

C'est un facteur de type matériel. Mais c'est un autre fonctionnement qui tend a se répandre de plus en plus.

[[Fichier:DeuxièmeFacteurV2.jpg]]

Lorsque l'utilisateur va créer un compte il va se servir d'un token ou d'un application mobile, qu'il va synchroniser avec le serveur du service pour générer toujours le même code au même moment.
L'utilisateur souhaite alors accéder au service. Le service va alors demander à l'utilisateur le code, suite de chiffres et/ou lettres, qui est valable sur une courte durée.
L'utilisateur va alors se servir de son token/application mobile, récupérer le code et ensuite le rentrer sur le service.
Le service va alors demander au serveur si le code est bien le même qui a générer.
Si c'est le cas l'utilisateur peut alors utiliser le service.

On se sert donc dans un premier temps du premier facteur d'authentification

= Utilité =

= Exemples d'utilisations =

= Sources =
- [https://www.lemagit.fr/definition/Authentification-a-double-facteur https://www.lemagit.fr/definition/Authentification-a-double-facteur]

INFO002 : Cryptologie

2018-11-25T17:51:29Z

Violette : /* Sujets d'exposés pour l'année 2018/2019 */

== Quelques ressources pour l'étudiant ==

# Cours
#* Support de cours (presentation [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO910/Cours/cours.pdf PDF], article [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO910/Cours/article.pdf PDF])
# Fiches de TD
#* TDs 1 : cryptographie élémentaire [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO910/TDs/td-1.ps PDF]
# TPs et autres travaux pratiques [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO910/Tests/doc/html/index.html Pages des TPs]
# Autres ressources
#* Handbook of Applied Cryptology [http://www.cacr.math.uwaterloo.ca/hac/]
#* Cryptologie en ligne [http://www.apprendre-en-ligne.net/crypto/menu/index.html]
# [[Projets étudiants cryptographie et sécurité]]

== Sujets d'exposés pour l'année 2018/2019 ==

Créez les liens vers vos wikis ci-dessous (comme les autres).

# Cryptanalyse d'Enigma { L. RICHARD, G. DEPREZ } -- [https://www.lama.univ-savoie.fr/mediawiki/index.php/Cryptanalyse_d%27Enigma Cryptanalyse d'Enigma]
# Cryptologie et calculs quantiques { R. ESTOPINAN, A. RAFIK } -- [https://www.lama.univ-savoie.fr/mediawiki/index.php/Les_calculs_quantiques_dans_la_cryptologie Les calculs quantiques dans la cryptologie]
# Sécuriser les mots de passe avec Bcrypt { A. PETETIN, F. SEBIRE } -- [https://www.lama.univ-savoie.fr/mediawiki/index.php?title=Bcrypt Bcrypt]
# Les réseaux euclidiens {A. BROGNA, A. BRUHL} -- [https://www.lama.univ-savoie.fr/mediawiki/index.php/Les_r%C3%A9seaux_euclidiens Les réseaux euclidiens]
# Authentification à deux facteurs { R. VIOLETTE, C. THONONT } -- [https://www.lama.univ-savoie.fr/mediawiki/index.php/Authentification_deux_facteurs Authentification à deux facteurs]
# Game Trainer { L. AUGER } -- [https://www.lama.univ-savoie.fr/mediawiki/index.php/Game_Trainer Game Trainer] [https://drive.google.com/open?id=1hO-lMe49HwhLr9qbY5BMKFcXHF9bcKyK PDF]
# Cryptologie pour le Cloud { S. DEMARS, X. GOLEMI } -- [https://www.lama.univ-savoie.fr/mediawiki/index.php/Cryptologie_pour_le_Cloud Cryptologie pour le Cloud]
# Faille CSRF { V. BASSET, V.PEILLEX } -- [https://www.lama.univ-savoie.fr/mediawiki/index.php/Faille_CSRF Faille CSRF]
# Attaque par Buffer Overflow { O. STHIOUL, L. MILLON } -- [https://www.lama.univ-savoie.fr/mediawiki/index.php/Attaque_par_Buffer_Overflow Attaque par Buffer Overflow]
# Générateur (pseudo-)aléatoire crypto-sécurisé { A. MOREL, R KACZMARCZYK } -- [https://www.lama.univ-savoie.fr/mediawiki/index.php/CSPRNG CSPRNG]
# Transactions Bitcoins & Signatures numérique { T. DE ISEPPI, F. STEMMELEN } -- [https://www.lama.univ-savoie.fr/mediawiki/index.php/Transactions_Bitcoins_&_Signatures_numérique Transactions Bitcoins & Signatures numérique]
# RID Hijacking { B. PIZZO, T. MARIE } -- [https://www.lama.univ-savoie.fr/mediawiki/index.php/Rid_Hijacking]
# Puces NFC, cartes bancaires et sécurité { K. FOREL } -- [https://www.lama.univ-savoie.fr/mediawiki/index.php/Puces_NFC,_cartes_bancaires_et_s%C3%A9curit%C3%A9 Puces NFC, cartes bancaires et sécurité]

== Sujets d'exposés pour l'année 2017/2018 ==

# Stéganographie { S. BARNIAUDY, S. DUPRAZ } -- [https://lama.univ-savoie.fr/mediawiki/index.php?title=Steganographie stéganographie]
# Pretty Good Privacy { M. PELLET, B. LE SAUX } [https://lama.univ-savoie.fr/mediawiki/index.php?title=Pretty_Good_Privacy Pretty Good Privacy]
# Cryptographie Visuelle { T. COUPECHOUX, N. TASCA} -- [https://lama.univ-savoie.fr/mediawiki/index.php?title=CryptographieVisuelle Cryptographie Visuelle]
# Prise de contrôle à distance de la machine Windows 7 par une faille sur acrobat reader 9, preuve par l'exemple de l'intérêt des mises à jours { A. CHIVOT, P. PASQUIER, T. NOWICKI} -- [https://lama.univ-savoie.fr/mediawiki/index.php?title=HackWind7FailleAcrobR7 Attaque Windows 7 par une faille sur acrobat reader 9 via Metasploit]
# Authentification via fingerprint { Z. CIMINERA, A. HURSTEL, F. VOUILLAMOZ } -- [https://lama.univ-savoie.fr/mediawiki/index.php?title=Autentification_via_fingerprint Autentification via fingerprint]
# Ransomwares { L. FERREIRA-GOMEZ, S. BERCHERY } -- [https://lama.univ-savoie.fr/mediawiki/index.php/Ransomware Ransomwares]
# Cryptomonnaie { A. PORCHERON-ROCHE, L. JOMMETTI } -- [https://lama.univ-savoie.fr/mediawiki/index.php/Cryptomonnaie Crypto-monnaie]
# Sécurité des réseaux sans fils WEP, WPA { M. LEBLANC, M.-O. DIALLO } -- [https://lama.univ-savoie.fr/mediawiki/index.php/Securite_des_reseaux_WEP_WPA Sécurité des Réseaux WEP & WPA]
# le chiffre ADFGVX { M. OUALI-ALAMI, O. SOUISSI } -- [https://lama.univ-savoie.fr/mediawiki/index.php/Le_chiffre_ADFGVX le chiffre ADFGVX]
# La sécurité de la couche physique du RFID { J. MANGANONI, F. PRISCOGLIO } --[https://lama.univ-savoie.fr/mediawiki/index.php/Attaque_des_supports_sans_contact_type_RFID_et_NFC Sécurité du RFID]
# Blockchains { A. BADAJ } -- [https://lama.univ-savoie.fr/mediawiki/index.php?title=Blochchain Blockchains]

== Sujets d'exposés pour l'année 2016/2017 ==

# Carré de Polybe { C. Farnier, B. Lauret } -- [https://www.lama.univ-savoie.fr/mediawiki/index.php?title=Carre_de_Polybe Carré de Polybe]
# Cryptographie sur courbe elliptique (ECC) et l'échange de clés Diffie-Hellman sur une courbe elliptique (ECDH) { P. Clavier }
# Sécurité des réseaux mobiles { G. Charvier, G. Yoccoz } -- [https://lama.univ-savoie.fr/mediawiki/index.php/GSM_Security La sécurité du réseau GSM]
# Sécurité des fichiers de format commun { A. De-Laere, T. Martin } -- [https://www.lama.univ-savoie.fr/mediawiki/index.php/S%C3%A9curit%C3%A9_des_fichiers_de_format_commun Sécurité des fichiers de format commun]
# Sécurité des appareils mobiles { B. Vaudey, B. Toneghin } -- [https://www.lama.univ-savoie.fr/mediawiki/index.php/Sécurité_appareil_mobile Sécurité des appareils mobiles]
# Vulnérabilité des réseaux lorawan { H. A. RAKOTOARIVONY, N. Y. P. RANDRIANJATOVO } -- [https://www.lama.univ-savoie.fr/mediawiki/index.php/Vulnerabilite_du_reseaux_lorawan Vulnerabilite des reseaux lorawan]
# Injections SQL (SQLi) et méthodes de protection { R. Rebillard, L. Robergeon } -- [https://www.lama.univ-savoie.fr/mediawiki/index.php/Injections_SQL_et_m%C3%A9thodes_de_protection WikiSQLi]
# Social engineering { A. Senger, J. Manceaux } [https://lama.univ-savoie.fr/mediawiki/index.php/Social_engineering Social engineering]
# Courbes elliptiques pour la sécurité informatique {J. Suzan, G. Zablocki }
# Application "textsecure" { F. Ribard, A. Abdelmoumni } -- [https://lama.univ-savoie.fr/mediawiki/index.php/TextSecure WikiTextSecure]
# Cryptographie Visuelle { N. Baudon, G. Gomila, A. Vincent } -- [http://www.lama.univ-savoie.fr/mediawiki/index.php/Cryptographie_Visuelle Cryptographie visuelle]

== Sujets d'exposés pour l'année 2014/2015 ==

# Cryptologie VS NSA { H. Ramamonjy, N.E. Ould Kadi }
# le Bitcoin { H. Helbawi, A. Tang, J. }
# le virus "stuxnet" { N. Challut et T. Chisci }
# Google Recaptcha { A. SAYAH, A. EL-HARRAS }
# La cryptographie dans l'antiquité { Y. Lombardi, G. Badin }
# La sécurité des cartes bancaires { M. Salvat, Y. Salti }
# Cryptolocker { W. Lecable, M. Genovese }
# La machine de Turing et ses variantes { C. Laignel, P.E. Roux }
# La machine ENIGMA { B. Da Silva, G. Ply }
# La stéganographie { K. Deléglise, Y. Rakotonanahary }
# Sécurité des cartes bancaires { A. Bigane, F. Way }
# Le craquage de la cryptographie quantique ? { D. Cauwet, A. Hauguel }
# Le paiement par NFC { J. Maurice, S. Zehnder }

== Sujets d'exposés pour l'année 2013/2014 ==

#* Le cryptosystème Bitcoin { Johanny Clerc-Renaud & Clément Montigny }
#* La stéganographie { Bosviel Thomas & Tolron Sebastien}
#* AES { Avet Anthony & Duraz Aurélien }
#* Payement NFC { Montouchet Raphaël & Marois Jeremy }
#* La sécurité dans les box de FAI { Charron Thomas & Mesurolle Anthony }
#* La technologie RFID et la sécurité { CHANTREL Thierry & SEZILLE Aurélien }
#* Le Cloud et la Cryptologie { Capellaro Alexandre & Chabert Cédric }
#* La sécurité et les chaines TV cryptées { CINDOLO Giuseppe & NARETTO Benjamin }
#* Tunneling TCP/IP via SSH {RAHARISON Laurent & JEAN FRANÇOIS Michael}
#* Principes et techniques de génération de nombres aléatoires {BERTHON Yohann & KELFANI Hugo & REY Anthony}
#* Sécurité atypique et empreintes des navigateurs {FONTANA Antonin}
#* La sécurité des monnaies électroniques {BUISSON Valentin & GENY-DUMONT Rémi}

== Sujets d'exposés pour l'année 2012/2013 ==

#* Nouvelle philosophie de partage de fichiers avec MEGA { WAYNTAL David et DOMINATI Nicolas } (ok)
#* La cyberguerre { COLIN François et APPREDERISSE Benjamin } (ok)
#* Octobre Rouge { REGAZZONI Rudy et LOMBARD Adrien } (ok)
#* HTTPS et SSL { ASSIER Aymeric et ROLLINGER Claire } (ok)
#* DMZ { COLLOMB Camille et LAURENT Corantin } (ok)
#* Failles de sécurité des systèmes informatiques de grandes entreprises (LinkedIn, Apple, Sony, ...) { ARNOULD Mickaël et LEMAIRE Noémie } (ok)
#* Biométrie { BACART Aurélien et BAH Abdoulaye } (ok)
#* Sécurité et mobile : nouvelle cible des pirates { GEVET Gwénaël et YANG Yang } (ok)
#* Sécurité et [http://www.infosafe.fr/Armoirefortedin/Armoirefortedin.htm armoire forte ignifuge] pour les sauvegardes de données
#* Injections SQL & faille XSS { GUILLOT Pierre & KRATTINGER Thibaut }
#* La cryptographie militaire { GIUNCHI Ryan & CIMINERA Lary }

== Sujets d'exposés pour l'année 2011/2012 ==

A vous de proposer des sujets d'exposés... Prévoir 15min d'exposé, suivi de 5min de questions.

#* La sécurité des cartes bancaires (ok) { DORIEN Christophe et LAPIERRE Rémy }
#* La cyberguerre (ok) {MAIRE Cyril et MONTCHAL Justine}
#* La sécurité sur les sites Web (ok) {RABARIJAONA Domoina et BERTHET Vincent}
#* Virus et antivirus (ok) {EL AZHAR Said}
#* Présentation et explication de l'attaque par le virus Stuxnet (ok) {PIRAT Victor et MENDES Etienne}
#* Vulnérabilités des smartphones (ok) {Titouan VAN BELLE et Jean-Baptiste PAUMIER}
#* L'histoire de la cryptographie (ok) {Costa Jean-Philippe et Morel Julien}
#* L'Informatique Ambiante et La Sécurité:Quel Protocole? (ok) {Marclin LEON et Farid BOUKHEDDAD}
#* Systèmes physiques de génération de nombres aléatoires : principes et avantages. (ok) {Florent Carral et Julie Tacheau}
#* Présentation des Honeypots (ok) {Adiche Rafik et Jean-François Michel-Patrique}

== Sujets d'exposés pour l'année 2010/2011 ==

# Les exposés auront lieu le mercredi 23/3/2011 après-midi, et jeudi 24/3/2011 à partir de 13h30 selon le nb d'exposés. Prévoir 15min d'exposé, suivi de 5min de questions. L'ordre proposé est celui ci-dessous. N'hésitez pas à échanger entre vous.

#* Sécurité des réseaux sans fils (ok) { ZHONG Jie et GONZALEZ Miguel }
#* La cyberguerre (ok) { SOUBEYRAND Martin et ROBART Laetitia }
#* Le principe de VPN et les attaques de VPN (ok) { DU Peng }
#* La signature numérique (ok) { DJEDDI Abdelkader }
#* Présentation de quelques attaques informatiques et quelques solutions proposées pour y remédier dans les réseaux P2P (ok) { Lila Zane et Ouhemmi }
#* Sécurité dans les cartes à puce (ok) { LAGHA Youssef et Nodari }
#* Evolution de la cryptologie à travers les âges (ok, mais vaste !) { DEBAENE Aurélien et VINCENT Christophe }
#* Biométrie (ok) { ZANE Bania et MENTDAHI Houda }
#* Comparaison de différents logiciels de crackage (ok) { AMBLARD Mathieu }
#* Construire des bons mots de passe { Liu Siqi }
#* La Machine Enigma (ok) { JULLIAN-DESAYES Jeremy et GARDET Nicolas }
#* Calculateurs quantiques et applications en cryptographie { BORCARD Justine et CATHELIN Gaël }
#* Présentation des Honeypots {Adiche Rafik et Jean-François Michel-Patrique}

== Déroulement (2009/2010) ==

Les exposés se feront dans l'ordre suivant. Vous pouvez vous mettre d'accord entre vous pour échanger.

# Lundi 14/12 après-midi
#* La virtualisation, facteur de sécurité ou de vulnérabilité (ok) { DIMIER Cédric et CARRIE Antoine }
#* Comment Aircrack trouve les clés WEP des réseaux wifi (ok) { LANOISELIER Aurélien et MARCHANOFF Jérôme}
#* Présentation et explication d'une attaque historique (laquelle ?) { FLEUTIAUX Marc et AGUETTAZ Cédric}
#* La biométrie, une solution miracle pour l'authentification ? (ok) { FERNANDES PIRES Anthony et GAYET Eric}
#* Stéganographie(ok) { PONCET Johan et MARTIN Romain}
#* Stéganographie ou les signatures numériques (ok) { TARDY Camille et CASSAGNERES Pierre-André}
# Mardi 15/12 après-midi
#* Sécurité anti-piratage (ok) {CHEVALIER Daniel et REIGNIER David}
#* Tour d'horizon des attaques par Injection SQL. (ok) {MILLER Lucas et VIONNET Jean}
#* Tunneling, sécurisation et piratage (ok). {COLLEN Cyril et LAQUA Johann}
# Mercredi 16/12 après-midi
#* Attaques sur SSL. (ok) {Ferlay Mathieu et Six Lancelot}
#* Le Phreaking, piratage téléphonique (ok) {Rey Myriam}
#* Securité des réseaux sans fils (ok) {Tounkara Mounina et Philippe Monteiro}

== Sujets d'exposés pour l'année 2009/2010 ==

#* La virtualisation, facteur de sécurité ou de vulnérabilité (ok) { DIMIER Cédric et CARRIE Antoine }
#* Comment Aircrack trouve les clés WEP des réseaux wifi (ok) { LANOISELIER Aurélien et MARCHANOFF Jérôme}
#* Présentation et explication d'une attaque historique (laquelle ?) { FLEUTIAUX Marc et AGUETTAZ Cédric}
#* La biométrie, une solution miracle pour l'authentification ? (ok) { FERNANDES PIRES Anthony et GAYET Eric}
#* Stéganographie(ok) { PONCET Johan et MARTIN Romain}
#* Stéganographie ou les signatures numériques (ok) { TARDY Camille et CASSAGNERES Pierre-André}
#* Sécurité anti-piratage (ok) {CHEVALIER Daniel et REIGNIER David}
#* Tour d'horizon des attaques par Injection SQL. (ok) {MILLER Lucas et VIONET Jean}
#* Tunneling, sécurisation et piratage (ok). {COLLEN Cyril et LAQUA Johann}
#* Attaques sur SSL. (ok) {Ferlay Mathieu et Six Lancelot}
#* Le Phreaking, piratage téléphonique (ok) {Rey Myriam}
#* Fuites de donnée en entreprise (ok) {Tounkara Mounina et Philippe Monteiro}
#* PGP et la sécurité de l'information {Cyrille Mortier}

== Sujets d'exposés pour l'année 2008/2009 ==

Les exposés auront lieu le vendredi 30/1 de 8h à 12h (4CANTONS - 64) et de 13h30 à 17h30 (4CANTONS - 65). Les exposés sont à faire par binôme (ou monôme) et doivent durer 20 minutes environ. Ils seront suivis de 5 à 10 minutes de questions. Tout le monde assiste à tous les exposés.

#* Les Protocoles de sécurité dans les réseaux WiFi (WEP et WPA) <<<< { Mickaël Wang & Arnaud Villevieille } [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2008-2009/Securite-wifi.pdf PDF]
#* Les outils d'analyse de la sécurité des réseaux : renifleur, scanneurs de ports, outils de détection d'intruison { Anis HADJALI & Vlad VESA } [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2008-2009/analyse-securite.pdf PDF]
#* Google Hacking { Julien ARNOUX & Jeremy DEPOIL } [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2008-2009/ghack.pptx PPTX]
#* Virus et antivirus { Mehdi M. et Christophe M. }
#* 3DSecure { Natalia Lecoeur & Cindy Chiaberto } [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2008-2009/3D_Secure.pdf PDF]
#* Sécurité sous Linux en entreprise { Joël Leroy Ebouele & Barbier Keller }
#* Techniques et outils de chiffrements de partitions [Valat Sebastien & Bouleis Romain]
#* IP Spoofing et DNS Spoofing { Alberic Martel & Fabien Dezempte ) [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2008-2009/ip-dns-spoofing.ppt PPT]
#* PRA le Plan de Reprise d'Activité {Achraf AMEUR}
#* Les attaques médiatisées sur les systèmes informatiques {Renneville Guybert et Fabrice Noraz}
#* La gestion des DRM {Petithory Thomas & Paccard Charléric}
#* L'introduction SSL,SSH { Julien Roche & Yi Wang }

== Sujets d'exposés pour l'année 2007/2008 ==

Exposés le mardi 26/2 de 8h15 à 11h30 et le mercredi 27/2 de 8h15 à 11h30. Les exposés sont à faire par binôme et doivent durer 25 minutes environ. Ils seront suivis de 5 à 10 minutes de questions. Tout le monde assiste à tous les exposés.

# Sujets d'exposés (propositions, à étoffer)
#* Vulnérabilité du protocole WEP et de RC4 pour les réseaux WiFi <<<< { PAVLOU, DALLACOSTA } [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2007/Presentation_cryptologie_PAVLOU_DALLA_COSTA_512.mov MOV]
#* Vulnérabilité du protocole A5/1 des mobiles GSM. <<<<< {FERNANDES} [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2007/Cryptologie_et_securite_informatique_-_Fernandes.pdf PDF]
#* Les attaques médiatisées sur les systèmes informatiques : Attaque de Mitnick, Morris Worm, DDOS Mafia Boy, etc <<<< { PIPARO, HUMBERT } [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2007/Les_attaques_mediatisees_-_PIPARO_HUMBERT.pdf PDF]
#* La mise en place de la sécurité informatique au niveau national et international : CERTs, sites AntiSPAM
#* Attaques par injection de code XSS, parades <<<< { SERRA & ROCHE ) [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2007/Expose_securite_sur_le_XSS_-_Roche_et_Serra.pdf PDF]
#* Virus et antivirus
#* Secure shell (SSH) : protocole, applications, tunnelling <<<< {BODIN}
#* Le tatouage d'image et de document (watermarking) <<<< {MAESEELE, CIMINERA } [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2007/Watermarking_Ciminera_Maeseele.pdf PDF]
#* La gestion des DRM
#* Les certificats (PGP, X509) et les infrastructures de gestion de clés
#* IP Spoofing et DNS Spoofing <<<< { DEMOLIS & JUMEAU )
#* IPsec
#* Sécurité des réseaux sans fil : authentification, chiffrement, WEP, WPA =>Bugnard/Berthet
#* Les outils d'analyse de la sécurité des réseaux : renifleur, scanneurs de ports, outils de détection d'intruison
#* Sécuriser un réseau : pare-feu, zone démilitarisée, protection des serveurs, adressage local <<<<<< {FOLLIET et VIALA} [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2007/presentation_VIALA_FOLLIET.pdf PDF]
#* OpenBSD : aspects sécurité <<<<<< (REVELIN et ERROCHDI) [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2007/OpenBSD_-_Revelin-Errochdi.pdf PDF]
#* Sécurité GPRS <<<<<< (PEHME et REY) [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2007/Securite_GPRS_-PEHME_REY.pdf PDF]
# Planning des exposés Mardi 12/2/2008
#* Vulnérabilité du protocole A5/1 des mobiles GSM. <<<<< {FERNANDES}
# Mardi 27/2/2008, 8h15 -> 11h30
#* OpenBSD : aspects sécurité <<<<<< (REVELIN et ERROCHDI)
#* Secure shell (SSH) : protocole, applications, tunnelling <<<< {BODIN}
#* Sécuriser un réseau : pare-feu, zone démilitarisée, protection des serveurs, adressage local <<<<<< {FOLLIET et VIALA}
#* Sécurité des réseaux sans fil : authentification, chiffrement, WEP, WPA =>Bugnard/Berthet
#* Vulnérabilité du protocole WEP et de RC4 pour les réseaux WiFi <<<< { PAVLOU, DALLACOSTA }
# Planning des exposés Mercredi 28/2/2008, 8h15 -> 11h30
#* Sécurité GPRS <<<<<< (PEHME et REY)
#* Les attaques médiatisées sur les systèmes informatiques : Attaque de Mitnick, Morris Worm, DDOS Mafia Boy, etc <<<< { PIPARO, HUMBERT }
#* IP Spoofing et DNS Spoofing <<<< { DEMOLIS & JUMEAU )
#* Attaques par injection de code XSS, parades <<<< { SERRA & ROCHE )
#* Le tatouage d'image et de document (watermarking) <<<< {MAESEELE, ??? }

Authentification deux facteurs

2018-11-25T17:46:21Z

Violette : /* Fonctionnement */

== Introduction ==

'''Définition''': Un facteur d'authentification est un moyen de permettre à un service/logiciel de savoir qui est l'utilisateur actuellement.

On peut différencier 3 types de facteurs différent:
- mémoriel: ce sont ceux dont on doit se souvenir comme par exemple un mot de passe avec son nom d'utilisateur associé ou la réponse à une question secrète etc
- matériel: ce qu'on possède comme par exemple une application sur un téléphone, ou encore un code envoyé par SMS a un numéro donné
- physique: ce que l'on est, notre voix ou encore nos empreintes biométriques

== Fonctionnement ==

'''Premier Facteur'''

On est dans le schéma classique qui est aussi le moyen le plus répandu pour s'authentifier. C'est un facteur de type mémoriel.

[[Fichier:PremierFacteur.jpg]]

L'utilisateur va s'authentifier en rentrant son username et le password associé auprès du service auquel il souhaite accéder.
Le service va alors faire passer le password dans une fonction de hachage et l'envoyé au serveur dudit service.
Le serveur va alors comparé le password qui à enregistré lors de la création de compte avec celui qu'il vient de recevoir.
Si le password correspond, l'utilisateur accède au service.

'''Deuxième Facteur'''

Première version:

On est dans un schéma d'authentification qui est souvent associer avec le premier. C'est un facteur de type matériel.

[[Fichier:DeuxièmeFacteurV1.jpg]]

L'utilisateur souhaite accéder à un service. Pour ce faire il se connecte au service avec un nom d'utilisateur.
Le serveur va alors créer un code, suite de chiffres et/ou lettres, générer aléatoirement et qui va être valide durant un certain temps.
Il va ensuite l'envoyer à l'utilisateur via un moyen choisis par ce même utilisateur lors de la création de compte.
L'utilisateur va alors recevoir ce code via mail/SMS ou encore avec une notification sur une application mobile avec le choix de valider la connexion ou non.
L'utilisateur va alors rentrer le code ou accepter la notification pour se connecter a son service.

Deuxième version:

C'est un facteur de type matériel. Mais c'est un autre fonctionnement qui tend a se répandre de plus en plus.

[[Fichier:DeuxièmeFacteurV2.jpg]]

Lorsque l'utilisateur va créer un compte il va se servir d'un token ou d'un application mobile, qu'il va synchroniser avec le serveur du service pour générer toujours le même code au même moment.
L'utilisateur souhaite alors accéder au service. Le service va alors demander à l'utilisateur le code, suite de chiffres et/ou lettres, qui est valable sur une courte durée.
L'utilisateur va alors se servir de son token/application mobile, récupérer le code et ensuite le rentrer sur le service.
Le service va alors demander au serveur si le code est bien le même qui a générer.
Si c'est le cas l'utilisateur peut alors utiliser le service.

== Utilité ==

== Exemples ==

== Conclusion ==