Exigences de sécurité pour l’amélioration du parcours d’authentification

Exigences de sécurité pour l’amélioration du parcours d’authentification

Les critères de choix des applications

Plusieurs critères ont permis de choisir les applications de cette étude. Parmi ces critères, les plus importants sont : l’audience, le mécanisme d’authentification et les conséquences d’une exploitation sur l’utilisateur final. L’audience Malgré les recommandations de sécurité, les utilisateurs non formés à la sécurité privilégieront la facilité d’usage au détriment de la sécurité [1]. Ce qui fait des utilisateurs, le maillon faible de la sécurité des systèmes d’informations [151]. De ce fait, nous proposons d’étudier des applications dont l’audience, pour la majorité, ignorent les risques de sécurité qui peuvent être introduits par leurs propres choix. Le mécanisme d’authentification Le moyen d’authentification est au cœur de notre étude d’où l’importance de couvrir les moyens d’authentification représentatifs de la pratique actuelle. Le couple identifiant/mot de passe, est le moyen d’authentification le plus utilisé par les applications Web/Mobile pour protéger l’accès aux ressources de l’utilisateur. Ce mécanisme d’authentification comporte certaines limites tels que les problèmes de mémorisation et la ré-utilisabilité qui peuvent conduire à des exploitations [180, 96]. La fédération d’identités a été introduite afin de permettre à une application de déléguer son authentification à un fournisseur d’identité de confiance et de faciliter le parcours d’authentification via les mécanismes de SSO. En outre, l’authentification à deux ou plusieurs facteurs est utilisée pour garantir une meilleure sécurité. Nous cherchons ainsi à couvrir tous ces mécanismes d’authentification dans cette étude. Les conséquences d’une exploitation sur l’utilisateur final Les conséquences et l’impact d’un accès non-autorisé diffère d’une application à une autre. Celles-ci seraient dévastatrices pour une application qui traite des données personnelles. Toutes les applications de l’étude traitent des données sensibles de l’utilisateur (i.e., carte bancaire, données personnelles).

Démarche de l’étude empirique

Pour étudier les parcours d’authentification des différentes applications, nous avons créé deux comptes temporaires sur Yahoo 1 et Facebook 2 . Le compte Yahoo sert de compte de mail qui est indispensable pour souscrire aux services Web actuels. Le  compte Facebook est utilisé pour les mécanismes de fédération d’identités (e.g., délégation d’authentification, SSO). Sur chaque application, nous analysons les différentes phases qui composent le parcours d’authentification de la manière suivante : — nous utilisons chaque phase selon son usage normal en ajoutant ou modifiant les éléments de contexte ; — nous relevons et classifions les exploitations logiques en fonction de leurs causes (i.e., classes de défauts) et leur localisation (i.e., quelle phase du parcours d’authentification) ; — enfin, nous utilisons ces résultats pour construire une ontologie et en déduire un ensemble d’exigences permettant de les maîtriser. 3.1.3 Résultats de l’étude empirique La table 3.1 récapitule les résultats de l’étude empirique. La description des exploitations sur chaque application est discutée ci-après. Skype Skype 3 est une application de messagerie maintenue par Microsoft. L’application est utilisée par des millions de personnes à travers le monde, notamment par les entreprises. En 2012, un détournement du comportement légitime de l’application permettait à une personne malicieuse de changer le mot de passe de n’importe quel autre utilisateur du service [108]. Pour se faire, celle-ci crée un nouveau compte sur Skype avec une adresse électronique existante et un nom d’usage unique (i.e., le nom d’utilisateur). Puis, grâce au parcours de changement de mot passe, celle-ci choisit de changer le mot de passe associé au compte légitime. En effet, lors du changement de mot de passe, l’application propose le changement du mot de passe l’ensemble des comptes associés à l’adresse mail fournie. Ce qui permet de choisir le compte de l’entité légitime et de changer son mot de passe. Ci-dessous, les défauts logiques qui ont permis cette exploitation. — L’application permet d’associer plusieurs comptes à une même identité sans vérifier l’appartenance de l’adresse mail au souscrivant. — Le parcours de changement de mot de passe ne dispose pas de challenge de sécurité pour authentifier explicitement l’utilisateur courant.

LIRE AUSSI :  La méthode Kanban

Formation et coursTélécharger le document complet

Télécharger aussi :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *