Qu’est-ce que l’authentification unique et comment l’utiliser ?

Publié le 25/01/2021 par Caroline Rousseau et Sierra Rogers

single sign-on

Statistiquement parlant, vous avez sûrement accédé à une ressource distante grâce à l’authentification unique dans les 7 derniers jours, mais savez-vous vraiment comment cela fonctionne et pourquoi votre PME en a besoin ?

Quelle est la ressource la plus importante de votre site web ?

Votre bel algorithme de compression des fichiers vidéo ? Votre collection toujours grandissante d’IP originales ? Vos bannières et vignettes en haute définition ?

Du point de vue d’un hacker, tout cela n’a aucun intérêt. Ce qu’il cherche est simple : il en a après les données personnelles. Noms, adresses, e-mails et mots de passe : des détails sur l’identité d’un utilisateur qui peuvent ensuite être utilisés pour du hameçonnage, des demandes de rançon et des vols d’identité.

Les mots de passe et autres données de connexion figurent généralement en tête de la liste. La société de décoration d’intérieur Houzz a perdu plus de 48 millions de mots de passe l’année dernière. Zynga, le célèbre éditeur de jeux connu pour “Words with Friends” et “Draw Something”, a également été ciblé par un pirate qui a dérobé environ 218 millions d’identifiants.

Malheureusement, lorsqu’il s’agit de failles de sécurité, la prévention n’est jamais 100 % efficace. Cependant, il existe des moyens de réduire les risques de vol de mots de passe des utilisateurs en cas de faille de sécurité… Nous vous expliquons dans cet article l’intérêt d’utiliser l’authentification unique, une structure de gestion de l’identité qui résout bon nombre de problèmes commerciaux courants.

Qu’est-ce que l’authentification unique ou SSO ?

L’authentification unique, aussi dite SSO pour “single sign-on”, désigne un système d’identification qui permet aux sites web d’utiliser d’autres sites de confiance pour vérifier les utilisateurs. Cela libère les entreprises de la nécessité de conserver les mots de passe dans leurs propres bases de données, limite les problèmes de connexion et réduit les risques associés à une cyberattaque.

Les systèmes SSO fonctionnent comme une carte d’identité. Par exemple, si vous êtes arrêté pour excès de vitesse, l’agent de police n’a pas besoin de vous connaître personnellement pour contrôler votre identité ; il peut simplement consulter votre permis de conduire et voir que l’État se porte garant de votre identité.

De même, si vous consultez un site web proposant l’authentification unique, il n’effectue pas de vérification au sein de sa base de données pour vérifier votre identité. Il se fie à un fournisseur de SSO (tel que LinkedIn, Microsoft ou Google) pour confirmer que vous êtes bien qui vous prétendez être. 

D’un point de vue technique, une grande partie de ce que l’on appelle l’authentification unique est en fait le résultat d’un mélange de SSO pur et de délégation ou de fédération. Il existe une certaine confusion entre toutes les plateformes, surtout lorsque des fournisseurs d’identité en tant que service (IaaS ou “identity as a service” en anglais) entrent en jeu.

Nous utiliserons ici le terme de SSO, avec une note en cas d’exception.

Comment fonctionne l’authentification unique ?

Expliquer le système dans ses grandes lignes est simple, mais expliquer son processus de mise en œuvre requiert un peu plus de contexte. Normalement, lorsque vous vous connectez à un système, le fournisseur de services ou le domaine (siteweb.com, dans cet exemple) vous authentifiera de lui-même, de cette façon :

  1. En tant qu’utilisateur, vous accédez à une page intermittente du siteweb.com qui vérifie si vous êtes déjà connecté. Si c’est le cas, l’authentification du SSO est complète et le système vous redirigera vers la page que vous souhaitiez consulter (votre boîte de réception Gmail, par exemple).
  2. Si vous n’êtes pas encore connecté, un écran de connexion s’affiche.
  3. Vous saisissez vos identifiants de connexion (e-mail et mot de passe) dans le formulaire, siteweb.com vérifie ces identifiants dans sa base de données, puis soit vous êtes connecté, soit votre demande est rejetée.
  4. Si vous êtes connecté, siteweb.com vous enverra une sorte de tracker. Celui-ci peut se trouver sur le serveur ou vous être envoyé sous forme de jeton.

Désormais, lorsque vous vous déplacez sur le site, le système vérifie simplement que le tracker (et donc votre authentification) est à jour.

Si vous deviez faire la même chose avec le SSO en place, cela ressemblerait davantage à cela :

  1. En tant qu’utilisateur, vous accédez à une page intermittente (un portail SSO) sur siteweb.com qui vérifie si vous êtes déjà connecté. Si c’est le cas, l’authentification du SSO est complète et le système vous redirigera vers la page que vous souhaitiez consulter (votre boîte de réception Gmail, par exemple).
  2. Si vous n’êtes pas encore connecté, siteweb.com vous propose des options d’authentification via un fournisseur d’identité tiers (Google, Amazon, Facebook, etc.). Vous choisissez l’option de votre choix et vous vous connectez ensuite à ce fournisseur, par exemple, Google.
  3. Google vérifie que vous êtes bien vous-même, que siteweb.com est bien celui qu’il prétend être, puis vous authentifie selon la base de données de mots de passe de Google et renvoie un jeton à siteweb.com.
  4. Siteweb.com obtient le jeton de Google, confirmant ainsi votre identité. Il vous associe alors au reste de vos données d’utilisateur (préférences, historique, panier d’achats, etc.)
  • Dans un véritable système de SSO, il vous suffit de naviguer de site en site avec un accès complet.
  • Dans un système délégué, Google renverra à la fois une vérification de votre identité et un ensemble d’utilisations autorisées. Siteweb.com peut avoir accès à votre nom et à votre adresse électronique, par exemple, mais ne peut pas connaître votre lieu de résidence ni votre âge.

Mais pourquoi s’embêter à installer un tel système ?

Les avantages pour les utilisateurs

Du point de vue des utilisateurs, il y a de nombreux avantages à utiliser un SSO.

  • La commodité : les utilisateurs n’ont besoin de se souvenir que d’un seul ensemble de données de connexion. En connectant votre site à leurs identifiants Google, vous vous assurez que même les utilisateurs occasionnels ne risquent pas de perdre leurs informations de connexion ; ils n’ont qu’à se connecter à Google.
  • La transparence : les utilisateurs savent ce qui est partagé d’un système à l’autre… du moins dans un système délégué. C’est comme lorsque vous installez une nouvelle application sur votre téléphone et qu’elle vous demande la permission d’accéder à vos photos, vos contacts et votre compte bancaire. Si vous n’êtes pas prêt à confirmer ces options, vous pouvez refuser de vous connecter.
  • La rapidité : avec le SSO, les utilisateurs n’ont pas à terminer de longues procédures d’inscription et d’autorisation. Comme Google a déjà procédé à la vérification des courriels et à la collecte des données, les nouveaux utilisateurs peuvent s’inscrire aussi rapidement qu’ils peuvent se connecter à Google.
  • La sécurité : les utilisateurs ont également la tranquillité d’esprit de savoir que le propriétaire du site web n’entrepose pas leurs données de connexion confidentielles en clair dans une base de données peu sécurisée. Google reste le principal intermédiaire de confiance, ce qui permet à l’utilisateur de se connecter à de nouveaux sites sans hésiter.

Les avantages pour votre entreprise

Nous avons vu que les avantages étaient nombreux pour les utilisateurs, mais qu’en est-il pour les PME ?

  • Une hausse des inscriptions d’utilisateurs : le SSO rend votre site web plus accessible, de sorte que les nouveaux clients peuvent s’inscrire facilement et en toute sécurité, en s’appuyant sur une marque de confiance. Si Facebook gère le processus de connexion, les utilisateurs savent qu’ils peuvent se fier à votre système et votre marque, même s’ils ne les connaissent pas. Qui dit confiance accrue dit conversions accrues.
  • Une réduction du travail en amont : vous n’aurez plus à vous soucier des mots de passe. S’il est important de réduire le risque de cyberattaque, il est encore plus important de ne pas avoir à réinitialiser des mots de passe toutes les cinq minutes. Toutes les opérations d’authentification et d’extraction de mots de passe sont gérées par le fournisseur de confiance.
  • Une collecte de données optimisée : vous pouvez également exploiter davantage d’informations fournies par Google, Facebook ou tout autre hébergeur de confiance. Vous bénéficiez ainsi de tous les avantages de la collecte de données sans les problèmes qui y sont associés.
  • Un risque réduit : les pirates ont moins de raisons de s’attaquer à votre site si vous n’hébergez pas une quantité alléchante de données de connexion. Il est également moins probable qu’un groupe d’utilisateurs avec des mots de passe extrêmement faibles mettent en danger la sécurité globale de votre site web.

En résumé, adopter une solution SSO peut vous faciliter la vie, à vous et à vos clients.

SSO et MFA : la commodité alliée à la sécurité

Si l’authentification unique est pratique, elle a également ses inconvénients. En effet, si un compte SSO est piraté, d’autres comptes sous le même système d’authentification peuvent également être vulnérables. Une façon de réduire ce risque est d’implémenter l’authentification multi-facteurs (MFA pour “multi-factor authentication” en anglais).

Authentification multifacteur
Il s’agit d’une méthode d’authentification des utilisateurs qui exige que ces derniers fournissent au moins deux facteurs de vérification.

Le single sign-on combiné à l’authentification multi-facteurs protège beaucoup mieux les comptes des utilisateurs que le SSO seul. De plus, en offrant aux utilisateurs l’efficacité et la facilité de ces deux processus, on réduit les risques de réinitialisation des mots de passe ou d’appel au service d’assistance client.

Par où commencer ?

Si vous ou vos ingénieurs vous y connaissez en informatique, vous pouvez consulter le protocole OAuth, mis en application par de nombreuses solutions commerciales sur le marché.

Si vous cherchez un outil à intégrer à votre tech stack actuel, vous pouvez consulter le catalogue des solutions de contrôle d’accès et d’identification de Capterra pour obtenir une liste complète des fournisseurs de SSO, où vous pouvez utiliser les filtres situés à gauche de l’écran pour afficher les produits spécifiques à l’authentification multi-facteurs. Consultez également nos logiciels d’authentification et de SSO pour avoir un aperçu des solutions disponibles sur le marché.

Et maintenant ? Consultez notre catalogue de logiciels SSO pour trouver l’outil qu’il vous faut.

Cet article peut faire référence à des produits, programmes ou services qui ne sont pas disponibles dans votre pays, ou qui peuvent être limités par les lois ou règlements de votre pays. Nous vous suggérons de consulter directement l'éditeur du logiciel pour obtenir des informations sur la disponibilité du produit et le respect des lois locales.