Blog GlobalSign

29 mars 2016

Qu'est-ce que l'authentification des clients et pourquoi est-ce nécessaire ?

En entreprise, de nombreux outils et comptes, comme les clients de messagerie et les services cloud, sont utilisés au quotidien. Comment gérer toutes ces identités et être certain que les comptes de messagerie ou comptes en ligne des employés ne seront pas interceptés par un pirate malintentionné ? Créer des identités numériques et fournir des certificats S/MIME individuels à chaque utilisateur/employé permettent d’éviter ces problèmes. Les employés utilisent ensuite ces certificats pour prouver leur identité, mais également pour signer et chiffrer leurs e-mails, et se connecter à leurs comptes.

Qu'est-ce que l'authentification des clients ?

L'authentification des clients est le processus qui permet aux utilisateurs d’accéder en toute sécurité à un serveur ou un ordinateur distant en échangeant un certificat numérique. En partie considéré comme votre « identité numérique », le certificat numérique sert à lier de manière chiffrée l’identité d’un client, d’un employé ou d’un partenaire à un certificat numérique unique. Ce certificat comprend généralement le nom du propriétaire et de son entreprise ainsi que l’endroit où se trouve le propriétaire du certificat numérique. Le certificat numérique peut être mappé à un compte utilisateur et utilisé pour contrôler l'accès aux ressources réseau, aux services et sites Web.

Si les organisations ont besoin de contrôler quels utilisateurs ont accès aux réseaux et aux ressources de l'entreprise, elles doivent aussi être capables d'identifier et de contrôler les machines et les serveurs qui y ont accès. Avec la mise en œuvre de l'authentification des équipements, seules les machines possédant les informations d'identification appropriées peuvent accéder, communiquer et fonctionner sur les réseaux de l'entreprise.

Les organisations peuvent exploiter les informations du registre stockées dans Active Directory pour émettre automatiquement des certificats sur la base des modèles et des configurations optionnelles pour l’ensemble des machines et serveurs qui résident sur un ou plusieurs domaines, en configuration mono ou multi-forêts.

Les certificats numériques utilisés pour authentifier les clients et les équipements ressemblent parfois aux autres certificats numériques potentiellement utilisés dans votre organisation – certificats SSL pour sécuriser les services Web ou signatures d’e-mails/documents (signatures numériques). Certaines de leurs propriétés sont cependant susceptibles de différer suivant leur utilisation.

L'authentification des clients peut être utilisée pour empêcher tout accès non autorisé, ou ajouter simplement une couche de sécurité supplémentaire à la combinaison actuelle «  nom d'utilisateur et mot de passe ». L'authentification des clients et le contrôle d’accès permettent également aux organisations de répondre aux exigences réglementaires et aux obligations de protection de la vie privée, mais pas seulement. L’utilisation de l’authentification à deux facteurs basée sur une infrastructure PKI permet aussi de satisfaire aux obligations de sécurité internes avec « quelque chose que vous possédez » (un certificat numérique GlobalSign) et « quelque chose que vous savez » (un mot de passe géré en interne).

Avantages de l'authentification des clients

L'authentification des clients présente plusieurs avantages en tant que méthode d'authentification par rapport à la simple utilisation d’un nom d'utilisateur et d’un mot de passe :

  • Possibilité d’imposer ou de dispenser les utilisateurs de la saisie d’un nom d’utilisateur et d’un mot de passe
  • Chiffrement des transactions sur le réseau, identification du serveur et validation des messages envoyés
  • Validation de l'identité de l'utilisateur via une tierce partie de confiance (l'autorité de certification) et gestion centralisée des certificats facilitant la révocation
  • Authentification propre à l’équipement sur lequel elle est installée – ne peut être portée sur d'autres équipements
  • Restriction d’accès par utilisateurs, groupe, rôle ou équipement basée sur Active Directory (à l’aide du portail AEG (Auto Enrolment Gateway) de GlobalSign)
  • Champ d’application dépassant le cadre de l’authentification et s’étendant notamment à l’intégrité et la confidentialité
  • Prévention des attaques/problèmes de malveillance, y compris mais sans s’y limiter, les problèmes de hameçonnage (phishing), d’enregistreur de frappe et d’attaques de type de l'homme du milieu (man-in-the-middle)

Prise en charge de l'authentification des clients

De nombreuses applications et réseaux d'entreprise prennent en charge les certificats numériques X.509 (le format standard pour les certificats à clé publique) en mode natif. Il suffit donc de modifier quelque peu la configuration pour activer l'authentification des clients dans de nombreux cas d'utilisation courants : ouverture de session Windows, Google Apps, SalesforceSharePointSAP et accès aux serveurs distants par le biais de portails comme Citrix ou SonicWALL.
Avantages :

  • Configuration minimale pour la mise en œuvre d’une authentification forte
  • Facilité de mise en place d’une authentification à deux facteurs sur plusieurs applications et réseaux
  • Soutien aux collaborateurs mobiles et en télétravail

Les images ci-dessous illustrent l’utilisation des certificats numériques X.509 comme méthode d'authentification à deux facteurs. Tout d'abord, l'utilisateur se connecte avec son nom d'utilisateur et son mot de passe :

Client authentification

Sur l'écran suivant, l'utilisateur est invité à s’identifier à l'aide de son certificat numérique.

Authentification

Il peut alors choisir avec quel certificat il souhaite s’identifier :

Certificate

Si l'organisation souhaite ajouter une couche de sécurité supplémentaire, elle a également la possibilité d’utiliser une carte à puce avec un code secret.

Le problème survient lorsque plusieurs certificats doivent être rapidement émis et installés pour de nouveaux collaborateurs. Dans les grandes entreprises, il arrive que plusieurs nouveaux collaborateurs soient embauchés le même jour. Les départements informatiques se retrouvent alors à devoir arbitrer entre les priorités, comme la mise à disposition d'un ordinateur, d'un bureau ou de comptes utilisateurs pour que les nouvelles recrues puissent utiliser leurs outils et logiciels.

Alors qu’ils devraient être jugés prioritaires, les certificats numériques permettant de sécuriser les e-mails et de s’authentifier sont souvent relégués en fin de liste. L’utilisation du portail AEG de GlobalSign pour émettre ces certificats permettrait de gagner un temps considérable et de réaliser des économies financières. De plus, l’organisation veillerait ainsi dès le départ à protéger ses ressources et ses actifs.

L'intégration d'Active Directory de GlobalSign, baptisée Portail AEG (Auto Enrollment Gateway), agit comme un proxy entre l'environnement Windows de l’entreprise et les services d’autorité de certification de GlobalSign. Vous pouvez donc conserver toutes les fonctionnalités et tous les avantages d'Active Directory et des services de certificats de Windows, y compris la demande automatisée, les modèles de certificats et de politique de groupe, sans avoir à gérer votre propre autorité de certification (AC).

La délégation de la gestion de l'AC aux experts libère votre équipe informatique interne qui peut alors se concentrer sur son cœur de métier, pendant que GlobalSign gère la sécurité, la haute disponibilité et les opérations de l'AC – vous soutenant ainsi dans le respect de vos accords de niveaux de services (SLA) et des audits de conformité. Vous bénéficiez d'autres fonctionnalités comme la capacité à fournir des certificats de confiance reconnus et des certificats pour des objets non associés à un domaine.

Pour en savoir plus sur le fonctionnement de notre portail AEG et sur les 50 % d’économies que vous pouvez réaliser sur le coût total de possession, visionnez notre webinaire.

Partager ce blog