Gestion des identités : tout comprendre à l’IAM et à la fédération d’identité

Gestion des identités : tout comprendre à l'IAM et à la fédération d'identité

Dans une transaction commerciale, le plus souvent, l’autre personne ne vous connaît pas ou ne sait pas qui vous êtes. Mais elle peut accepter des justificatifs qui attestent de votre identité. La gestion de l’identité sur les réseaux informatiques s’articule de la même manière sur les points suivants :

  • Un ensemble d’identifiants numériques qui peuvent être examinés par un service ou une application peut attester de votre identité et de votre autorisation à effectuer la transaction que vous demandez ;
  • Un système de gestion de l’accès peut faire suffisamment confiance aux résultats de cet examen pour vous donner accès à des documents, des services ou des informations ;
  • Vous pouvez personnellement faire confiance aux références présentées par un site web ou une application web pour représenter l’entreprise, l’institution ou l’agence avec laquelle vous avez l’intention d’effectuer une transaction.

thomas-edison-logs-in.jpg

Thomas Edison pointant à son travail dans son laboratoire de Menlo Park, 1921.

Des données sont recueillies à votre sujet en ligne (et voici comment les nettoyer) — c’est indéniable. L’idée fausse que l’on se fait de cela est que vos données personnelles sont stockées dans une base de données unique et centralisée. Oui, Facebook est l’un des collecteurs les plus agressifs de données comportementales.

Mais la plupart des métadonnées collectées sur le comportement en ligne de chacun ne constituent pas une base de données collective des identités numériques. De nombreuses personnes qui prétendent s’être fait voler leur identité numérique font en fait partie des milliers de victimes du vol d’une base de données qui contient des éléments de données personnelles, comme un numéro de carte de crédit. Ce qui rend la collecte de ces données très dangereuse c’est la possibilité qu’un système ayant accès à des données qui vous authentifient puisse les coupler avec des données qui vous décrivent (les métadonnées). De cette façon, un pirate peut rassembler ces données à partir de plusieurs sources pour se faire passer pour vous, et effectuer des transactions en votre nom.

Alors, quand on parle d'”identité numérique”, de quoi parle t-on réellement ?

  • L’identité numérique est constituée des justificatifs d’identité nécessaires pour accéder aux ressources en réseau ou en ligne, à votre nom.
    • Dans un système pas sécurisé, un simple mot de passe peut suffire pour assumer une certaine forme d’identité numérique.
    • Dans un système peu sécurisé – par exemple, en utilisant un navigateur web pour lire ZDNet – les serveurs publics peuvent n’exiger que des informations d’identification anonymes. Mais même dans ce cas, il existe une sorte d’identité numérique temporaire représentant le navigateur, qui est supposée vous représenter parce que vous avez accédé au client où le navigateur a été installé.
    • Un réseau d’entreprise nécessite généralement une forme d’authentification pour que vous puissiez y accéder – peut-être une authentification à deux facteurs, ou même plus. Ces identifiants sont votre identité numérique dans le contexte de ce réseau, mais pas en dehors de ce réseau.
    • Sur l’internet, qui est un patchwork de réseaux reliés entre eux par des passerelles, le partage de services nécessite l’échange d’une identité numérique sous une forme ou une autre. C’est la partie la plus délicate et la plus volatile de tout le système d’identité numérique.
  • L’identité personnelle est l’amalgame d’informations nécessaires pour que vous, ou toute personne cherchant à usurper votre identité, soyez reconnu comme valide et authentifié. Quelqu’un qui vole un mot de passe dans une base de données pourrait obtenir des informations sur votre permis de conduire ou sur la marque et le modèle de la voiture que vous conduisez. Si ces informations sont suffisantes pour que quelqu’un d’autre, dans une autre transaction, fasse passer cette personne pour vous, alors celui-ci peut effectivement avoir “volé votre identité”.

La gestion de l’identité consiste donc en des pratiques et des principes auxquels tous les participants au processus de transaction adhèrent, y compris vous-même, pour protéger les éléments de l’identité numérique qui peuvent être combinés par un pirate pour utiliser votre identité personnelle. La gestion des identités et des accès (IAM – Identity and access management) est la classe de logiciels et de services qui s’efforcent d’assumer leurs responsabilités envers vous à cet égard.

publicité

Identité numérique et identité personnelle

Vous savez qui vous êtes. Cependant, l’identité numérique dans un système informatique, comme vous venez de le voir, reste un sujet assez flou.

L’identité numérique est accréditée par des justificatifs d’identité

La forme la plus faible de gestion des accès dans un système informatique implique un nom d’utilisateur unique associé à un mot de passe unique. La gestion des mots de passe n’est pas la gestion de l’identité.

Votre identité numérique est constituée de justificatifs d’identité, qui sont essentiellement des jetons (token) de données et de métadonnées qui vous représentent. Il ne s’agit pas de vos papiers personnels, ni de ce que ces papiers pourraient contenir. Chaque fois que vous entrez dans un bâtiment sécurisé, même si vous y travaillez, vous présentez vos justificatifs d’identité – probablement juste pour faire fonctionner l’ascenseur. Cette carte est un jeton attestant que quelqu’un vous a déjà autorisé à entrer. Et comme dans cet exemple, dans la plupart des cas, l’identité numérique est un jeton composé de données.

Mais c’est en fait plus compliqué que cela :

  • Les services et les logiciels – qui ne sont manifestement pas des personnes – peuvent avoir une certaine forme d’identité numérique, car ils doivent eux aussi accéder aux bases de données et aux ressources comme s’ils étaient des “utilisateurs”.
  • La navigation sur le web n’exige pas que vous, ou tout autre utilisateur, ayez une identité suffisante pour qu’une personne ou un système puisse vous identifier personnellement. Vous pouvez lire cet article de ZDNet sans avoir à vous connecter à un fournisseur d’accès internet central. Un navigateur peut se voir attribuer une sorte d'”identifiant visiteur” temporaire pour établir une session avec des serveurs, mais qui n’échangent pas vos identifiants – ce qui peut se produire dans le cadre d’une transaction distincte.
  • Il n’existe pas d’ensemble unique de données d’identification universellement reconnues et convergentes qui vous identifient exclusivement sur Internet, ce qui n’est pas une bonne nouvelle à bien des égards. Cela signifie que si quelqu’un veut vraiment se faire passer pour vous – peut-être pour poster un texte à votre nom sur les réseaux sociaux, ou pour transférer votre argent sur le compte de cette personne – il y a une faible possibilité que cette personne puisse recueillir suffisamment d’informations personnelles identifiables sur vous pour obtenir les données nécessaires pour passer comme vous en ligne.

Comparaison entre la gestion de l’identité et la prévention des pertes de données (Data Loss Prevention – DLP)

Les entreprises, en particulier les institutions financières, stockent les données permettant l’identification personnelle de leurs clients dans des bases de données. La catégorie de service de sécurité dédié à la prévention des violations de données est appelée data breach prevention ou prévention des pertes de données (DLP – Data Loss Prevention). Ces services se concentrent sur l’intégrité et la non-imprégnabilité de ces bases de données.

Les violations de données semblent avoir grimpées en flèche ces dernières années. Cependant, statistiquement parlant, leur nombre peut diminuer alors que les dommages causés augmentent. La violation des données clients de février dernier signalée par la société d’analyse de reconnaissance faciale Clearview AI est un exemple d’acquisition malveillante d’informations personnelles identifiables à une échelle relativement petite, mais avec un impact potentiellement majeur.

Il faut un réel effort humain, pour coordonner les d’informations personnelles identifiables provenant de sources multiples – par exemple, pour obtenir l’accès à votre compte bancaire en ligne et faire des achats en utilisant votre nom et vos numéros de carte bancaire. Bref, des violations de données se produisent, mais il ne s’agit pas d’un processus simple a réaliser.

La gestion de l’identité peut contrecarrer ces tentatives. Mais son objectif est de sécuriser les données avec lesquelles vous vous identifiez en ligne. Une personne qui a réussi à outre passer une DLP, en dérobant les données des clients d’une entreprise, peut utiliser ces données pour se faire passer pour des clients de cette entreprise. Mais votre propre identité numérique est liée à toutes les références et autorisations dont vous pouvez disposer pour accéder à vos dossiers personnels, quel que soit l’endroit où ils sont stockés. Posséder votre identité numérique serait inestimable pour un pirate capable de rassembler les bases de données acquises par de multiples violations, et de les réunir. C’est lui qui sera par exemple capable de contracter un prêt en votre nom.

Comment les identités numériques ont été protégées jusqu’alors

Vous avez vu tous constaté le battage publicitaire autour des “hackers” qui volent votre identité, ou essaient de la voler et de la vendre sur le marché noir numérique du “dark web”. Ces représentations évoquent un concept d’identité numérique, dont une grande partie est basée sur la science-fiction des années 1980. Le principe est qu’Internet est une énorme base de données collective de noms, d’adresses, de préférences de vote, d’historiques de salaires et de numéros de sécurité sociale. Donc tout ce qu’il faudrait faire pour vous voler des données serait de vous envoyer des courriels d’hameçonnage (phishing) pour subtiliser un mot de passe de huit caractères que vous ou un parent a pu utiliser pour accéder à Infonie dans les années 1980.

 200310-the-old-fortress.jpg

Les premiers réseaux d’entreprise ont été présentés comme des “forteresses”, et l’objectif de la sécurité alors était de s’assurer que les pirates ne pouvaient pas y pénétrer. C’était le modèle de “sécurité des points de terminaison” ou de “sécurité du périmètre – ou sécurité périmétrique”, et dans une mesure étonnamment importante, cela existe encore aujourd’hui. C’est la version moderne du modèle de “défense du château fort”, qui remonte au modèle de l’ordinateur central des années 1970.

Un système de sécurité d’entreprise moderne n’est pas axé sur la sécurisation du périmètre pour empêcher les intrusions. Le nouveau modèle de sécurité est complètement inversé et se concentre plutôt sur la sécurisation de l’entité, parfois appelée dans ce contexte “identité”. Il s’agit de l’utilisateur accrédité, qui par défaut n’est pas autorisé à voir ou à faire quoi que ce soit – une condition appelée “confiance zéro” (ZT – zero trust). L’objectif du système est donc de permettre à cet utilisateur de voir ou de faire quelque chose, conformément à la politique et aux autorisations. De cette façon, en l’absence de toute sécurité opérationnelle (par exemple, si le réseau est piraté et le système mis en échec), absolument rien n’est exposé.

D’où vient la confiance

Dans la vie de tous les jours, vous effectuez des transactions avec d’autres personnes relativement facilement. Pourquoi ? Parce que pour la plupart, ces personnes ont confiance dans le fait que vous êtes bien celui que vous dites être. Vous signez des documents affirmant votre volonté d’effectuer ces transactions. Même lorsque vous apposez votre signature sur un document en dehors de la présence de tout témoin, les gens peuvent généralement considérer votre signature comme une affirmation que vous êtes pleinement conscient de ce que vous faites. Il y a une confiance implicite dans une transaction de ce type. Elle peut être violée, mais elle n’est pas par nature volatile.

Dans le domaine des transactions numériques, cette confiance implicite est effectivement effacée. Les chiffres sont des symboles et, en tant que tels, n’ont pas grand-chose pour se distinguer les uns des autres. Toute séquence de chiffres est logiquement aussi simple à falsifier qu’un seul chiffre. La confiance doit être établie pour chaque session de transaction numérique. La façon la plus simple d’expliquer comment cela se fait est de dire que chaque personne participant à une transaction de confiance reçoit un casse tête et se voit confier la solution du casse tête. La solution permet de résoudre le casse-tête sans révéler la mécanique du casse tête. Si le casse tête est résolu, on peut conclure avec une confiance de 99+% que la personne qui l’a résolu est celui qui a la solution.

Avec les premiers systèmes en réseau, vous vous connectiez à un ordinateur ou à un serveur par l’intermédiaire d’un terminal (une ligne de commande où vous tapez des instructions). L’accès aux ressources situées sur ce serveur dépendait du niveau de protection attribué à votre compte. Mais en l’absence d’une équipe de sécurité IT, il se peut qu’il n’y ait eu aucune protection du tout sur le serveur. Certains qui ont essayé de brosser le meilleur tableau possible de ce scénario, ont appelé cette “architecture ouverte”, définissant le principe de confiance implicite.

Les systèmes modernes qui utilisent la gestion d’identité fonctionnent sur la base d’une confiance zéro (zero trust). À moins qu’une liste de contrôle d’accès (ACL – access control list), une politique ou un autre mécanisme n’accorde explicitement l’accès à une ressource, votre demande sera refusée. Dans un système de confiance zero trust correctement administré, personne n’a un accès illimité à une ressource ou à un domaine. Néanmoins, vous trouverez souvent certains systèmes IAM régis par un compte d’administrateur sans restriction.

La gestion des identités et des accès dans la pratique (IAM – Identity and Access Management)

Un système de gestion des identités et des accès (IAM) établit les autorisations et l’accessibilité pour les utilisateurs, au sein d’un réseau où ces utilisateurs n’ont pas de confiance accordée à priori. La mission de l’IAM est de protéger l’accès aux actifs et de garantir que seules les personnes autorisées ont accès aux documents et services protégés au sein d’une entreprise. L’IAM protège et encapsule un domaine de réseau, en utilisant un seul répertoire d’utilisateurs et un seul répertoire de ressources protégées.

Là où la politique de sécurité entre en jeu

En février, l’Institut national américain des sciences et des technologies (NIST) a publié la deuxième version de sa proposition de description officielle de l’architecture zero trust.

 

Ce diagramme du NIST décrit le “parcours” d’un utilisateur demandeur, depuis la demande d’une ressource jusqu’à l’autorisation d’accès à cette ressource. Lorsqu’un utilisateur fait l’objet d’une demande d’authentification, une identité numérique est construite autour de ce sujet. À ce stade, elle devient ce que les ingénieurs en sécurité appellent un “principe de sécurité” ou simplement un principe.

Dans le diagramme, notez le grand rectangle arrondi qui regroupe tous les éléments pertinents du réseau. Et pensez au pictogramme qui ressemble à un PC de bureau low cost des années 1990. Comme la plupart des réseaux définis par logiciel (SDN -Software Defined Network), le réseau représenté ici est divisé en deux niveaux de trafic. Le plan de contrôle est séparé de toute partie du réseau à laquelle l’utilisateur peut avoir accès. Du point de vue du donneur d’ordre, seul le plan de données de ce réseau existe. La décision d’accorder ou non l’accès à un donneur d’ordre est prise à chaque demande, et aucun donneur d’ordre n’obtient à aucun moment un accès permanent ou incontesté à une ressource, même si ce donneur d’ordre, ou un autre donneur d’ordre de sécurité attribué au même utilisateur, a déjà accédé à cette ressource.

C’est dans ce panneau de contrôle que se trouve le point de déploiement de la politique (PDP – policy deployment point). Dans l’architecture de sécurité, une politique est une règle qui fixe les conditions pour lesquelles un principe, ou un groupe représentant plusieurs principes, peut se voir accorder ou refuser l’accès à une ressource. Pensez-y comme à un programme informatique, mais encapsulé dans une seule ligne d’instructions, avec plusieurs lignes fonctionnant simultanément.

Le PDP est subdivisé en deux composantes, dont l’une interprète les règles de la politique. Le second (administrateur de politique, AP) évalue si une conclusion de politique accorde au principe l’accès à la ressource demandée, et tant qu’il ne voit pas une conclusion qui lui plaît, la réponse est non. En raison de la séparation des plans, le principe ne “voit” jamais réellement le PDP, de sorte qu’un pirate ne peut pas faire tomber le PDP. Dans le plan des données, le point d’exécution de la politique (PEP) contient l’agent de bas niveau qui exécute la directive politique de l’AP. Plutôt que d’agir comme un switch orientant le donneur d’ordre vers un accès permanent à la ressource, il sert d’intermédiaire ou de mandataire, facilitant une connexion à la ressource, mais uniquement par son intermédiaire, et seulement pour la durée fixée par le PA.

Attributs et affirmations

La création de politiques ne peut se faire sans un moyen d’identifier les sujets de ses règles. Cela se fait explicitement et exclusivement par le biais de la gestion de l’identité. Dans le contexte d’un réseau local d’entreprises, le NIST appelle cela la gouvernance d’identité. C’est ici que la définition de l’identité du NIST (ce que nous appelons “identité numérique”) prend tout son sens. Sa version la plus succincte de cette définition figure dans un rapport sur la fédération des identités, où il appelle identité, “attributs d’authentification et attributs d’abonné” dans un système en réseau.

Nous pouvons définir ces termes comme suit :

  • Les attributs d’authentification sont des éléments de données attribuables à un utilisateur qui peuvent être croisés et vérifiés pour s’assurer que l’utilisateur a l’autorisation de s’affirmer comme une certaine entité ou personne.
  • Les attributs de l’abonné sont des données qui relient un utilisateur authentifié au système hébergeant l’annuaire auquel cet utilisateur, faute d’un meilleur mot, appartient — en fait, ils décrivent la relation de l’utilisateur avec l’entreprise.

En pratique, l’objectif ultime de la gouvernance de l’identité dans l’entreprise est de devenir capable de restreindre la vision de chaque utilisateur du réseau exclusivement aux ressources auxquelles l’utilisateur a explicitement droit, ou auxquelles une interprétation de la politique peut déterminer que l’utilisateur a un accès légitime. Du point de vue de l’utilisateur, il n’existe rien d’autre que les ressources auxquelles il a droit. Selon les experts en sécurité, si la fonction de gestion des accès de l’IAM est suffisamment fiable, les professionnels de la sécurité informatique peuvent recentrer leur attention sur l’intégrité de l’identité numérique.

Une métaphore de cette stratégie consiste à défendre l’entrée d’un château fort en utilisant des centaines de gardes stationnés le long de son périmètre, contre quatre ou cinq gardes encerclant chaque assaillant.

Donner du sens à l’identité au-delà des frontières du réseau

Dans tout réseau de réseaux comme l’internet, l’authentification unique (SSO) implique la possibilité pour un utilisateur de transmettre ses informations d’identification une fois et une seule fois, généralement en se connectant à son système d’exploitation local (côté client). Tout autre service ou application nécessitant l’authentification de l’utilisateur la reçoit du service dans lequel il s’est connecté.

La fédération d’identité est un effort pour que plusieurs réseaux s’accordent sur un protocole unique permettant de franchir les frontières du réseau, de sorte que le SSO fonctionne. Dans toute transaction inter-réseaux ou orientée cloud où un processus sur un réseau nécessite un processus ou une ressource sur un autre réseau, et où les deux processus doivent apparaître intégrés de manière transparente à un utilisateur authentifié, la fédération est le système sur lequel les deux réseaux s’appuient pour établir un certain niveau de confiance entre eux.

Lorsque la fédération entre en jeu, l’astuce consiste à définir l’identité en utilisant quelque chose de plus permanent que les seuls attributs de l’abonné. Un abonnement à une ressource dans un réseau ne devrait probablement pas donner à l’abonné le droit d’accéder aux ressources d’autres réseaux. Toutefois, pour que le SSO soit possible, les autres réseaux connectés entre eux par l’internet devraient pouvoir garantir la validité de leurs authentifications respectives.

nist-federation-800-px.jpg

Cet autre diagramme, toujours du NIST, présente la forme la plus simple de fédération d’identité, sous la forme d’un échange entre trois parties : un donneur d’ordre qui revendique l’accès à une ressource (l'”abonné”), une partie dépendante (RP, ou “fournisseur de ressources” selon la personne à qui vous demandez) et un fournisseur d’identité (IdP). Pour accéder au RP, l’abonné doit d’abord s’authentifier auprès de l’IdP. (Si elle s’est connectée au réseau de son employeur en utilisant le SSO, cette partie peut déjà avoir eu lieu). L’IdP fait ensuite office de mandataire pour l’abonné, en faisant valoir ses droits en son nom. Le RP donne ensuite accès à l’abonné, mais uniquement dans le cadre d’une session cryptée que seul l’abonné peut décrypter et comprendre, si et seulement si l’IdP était correct quant à l’identité de l’abonné.

La fédération se produit, dans ce cas, lorsque plusieurs réseaux qui peuvent agir comme RP font confiance soit à un seul IdP, soit à un réseau d’IdP qui acceptent d’utiliser le même protocole.

ZDNet a demandé à des experts en cybersécurité lors de la dernière conférence RSA comment ils percevaient le problème de la gestion des identités sur une échelle relative de priorités. “Il s’agit d’un moyen de fédérer les identités dans un grand nombre d’organisations différentes”, a répondu Hank Thomas, PDG de Security VC Strategic Cyber Ventures LLC. “Cela revient à dire que les gens doivent travailler ensemble, et se faire mutuellement confiance. Une fois qu’une personne a prouvé que quelqu’un est quelqu’un, cette autre organisation va avoir le même niveau de confiance dans la même chose. Il y a des moyens de le faire ; c’est juste que cette confiance n’est pas nécessairement encore là. C’est peut-être pour des raisons de conformité, et pour d’autres raisons”.

Si cette réponse ne semble pas être la plus claire que vous ayez jamais entendue, c’est parce que la direction que prend la fédération de l’identité est actuellement à peu près aussi claire. La fédération est une nécessité vitale uniquement parce que l’identité numérique est une chose éphémère. Elle doit être recréée – ce qui ne serait pas un problème si le monde n’était qu’un seul réseau d’entreprises. Si les utilisateurs humains portaient tous avec eux un dispositif d’authentification numérique tel que, ou similaire à, un dispositif YubiKey U2F – quelque chose de physique qu’un fournisseur d’identité (IdP) pourrait supposer être sur l’utilisateur pendant les heures de travail – le type de ping-pong cryptographique qui a lieu aujourd’hui pourrait peut-être être radicalement simplifié.

Tant que les êtres humains ne seront pas à l’aise avec l’idée de porter ce type de gadget électronique, la gestion de l’identité a de beau jours devant elle. Ironiquement, la situation que beaucoup de gens craignent – que leur identité personnelle soit volée par le biais de leur identité numérique – a plus de chances de se produire, tant qu’il n’existe pas de source d’identité unique.

Leave a Reply

Your email address will not be published. Required fields are marked *