Les extranets et autres places de marché qui intéressent aujourd’hui les entreprises sont bâties sur les protocoles bien connus que sont TCP/IP et HTTP. Hélas, ces deux piliers de l’Internet ne sont absolument pas sûrs : chargés de faciliter la diffusion de l’information, ils n’ont pas été conçus pour en limiter l’accès. Ainsi, l’authentification de base sur le web peut utiliser les en-têtes HTTP – sujets à interception et réutilisables à loisir -, voire l’adresse IP du client, très simple à imiter par spoofing (usurpation d’adresse) et qui n’authentifie en outre qu’une machine et non un utilisateur, ou bien encore le procédé htaccess, le plus utilisé sur le web généraliste. Cette méthode, offerte par défaut dans tous les serveurs web, repose sur la protection de répertoires du serveur par l’intermédiaire d’un couple login-mot de passe personnel, attribué à chaque utilisateur. L’ensemble est stocké dans un fichier contenant des mots de passe distincts de ceux du système. C’est une option acceptable pour la majorité des sites réduits.
Le marché est au Single Sign-On
Le couple IIS-Windows NT offre aussi des avantages. En intégrant le serveur web aux comptes utilisateurs du serveur NT (grâce à l’authentification de base ou par NT LAN Manager – NTLM), IIS permet de gérer facilement l’accès des utilisateurs du serveur à ses ressources, par le web. Hélas, outre le fait que NTLM n’est pas reconnu par tous les navigateurs et ne fonctionnera pas à travers un proxy, la stabilité et la sécurité de l’ensemble ont aussi été souvent prises en défaut. De fait, le commerce électronique a très vite montré les limites de ces types d’authentification : accès non universel, ou bien gestion centralisée quasi impossible, procédures lourdes et répétitives, aucune granularité dans l’attribution des droits et propension à créer des erreurs lors de la réplication des listes de contrôle d’accès sur des serveurs multiples.C’est pourquoi le marché est désormais au Web Single Sign-On (fonction d’authentification unique des utilisateurs). Des produits, tels que Webthority (Axent), permettent de mieux contrôler l’accès aux données web, et d’autres, tels que eTrust SSO for Web (Computer Associates) ou AccessMAster Web SSO (Evidian), permettent désormais d’authentifier de façon fiable un internaute et de lui ouvrir ensuite l’accès à un nombre variable de sites web, d’applications ou de services. Et tout cela sans qu’il ait à s’authentifier à nouveau. Une fois l’internaute validé sur un premier site, le Single Sign-On va émettre un ticket chiffré qui sera transmis au fil de ses accès à des zones ou à des applications protégées. Celles-ci pourront donc l’authentifier autant de fois que nécessaire, les services s’assurant de la continuité de la session.Associé à des certificats numériques de type X. 509 et à des matériels tels que des jetons USB ou des cartes à puce, ce système offre la meilleure sécurité et une confiance mutuelle pour le commerce électronique et l’internaute.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
