Passer au contenu

Le SSO n’est pas un système de sécurité en soi

Un système d’authentification unique ne renforce pas la sécurité d’une entreprise. Il peut même la fragiliser si son déploiement ne s’accompagne pas de la mise en place d’un annuaire et d’une solution d’authentification forte.

Le concept de SSO (ou mode d’authentification unique) n’est pas réellement nouveau, puisque Computer Associates, IBM et Bull, entre autres, en proposent depuis plus de 10 ans.Lié notamment au développement du portail, l’engouement récent des entreprises pour ce mode d’authentification s’explique par leurs besoins de réduire les coûts d’administration, le renforcement de leur politique de sécurité et l’avènement de nouvelles technologies.Sur le principe, le concept de SSO n’a en effet que peu évolué en 10 ans, mais sa mise en ?”uvre se trouve aujourd’hui considérablement simplifiée grâce aux technologies et aux architectures d’internet.

Indissociable de l’authentification forte et de l’annuaire

Avant toute chose, il convient de dissocier le concept d’authentification unique de la sécurité du SI, comme le souligne Laurent Henriet, architecte système au sein de la SSII Octo Technology : “Intrinsèquement, une solution de SSO n’augmente pas la sécurité de l’entreprise. C’est avant tout un système d’administration qui apporte des services à l’utilisateur final.” En d’autres termes, le SSO ne demande à l’utilisateur qu’une seule authentification avant d’accéder à ses ressources informatiques.Ce qui implique que ses droits aient été préalablement définis dans un référentiel. Une disposition qui ne garantit pas pour autant la sécurité du système, les avantages du SSO constituant aussi son talon d’Achille. Là où il fallait auparavant pirater autant de pseudonymes et de mots de passe qu’il existe d’applications dans l’entreprise, le vol d’un seul code d’accès suffit aujourd’hui pour pénétrer dans le système. Or, le fait de s’authentifier ne garantit pas l’identité de l’utilisateur.La mise en ?”uvre d’un système de SSO va donc généralement de pair avec deux autres briques essentielles : un méta-annuaire, référentiel des droits des utilisateurs capable de se synchroniser avec les annuaires des applications existantes, et un système d’authentification forte (clé USB, carte à puce ou encore token [voir glossaire]) pour protéger le code d’accès de l’utilisateur et garantir son identité.Chaque application disposant de ses propres procédures d’authentification et d’un référentiel des droits des utilisateurs, il est impossible de les remplacer, à moins de s’engager dans des développements lourds et complexes, d’ailleurs pas toujours réalisables. Le principe même du SSO ne consiste donc pas à homogénéiser les procédures d’accès, mais à les masquer pour l’utilisateur en jouant le rôle d’intermédiaire.

Isoler les serveurs de contrôle pour éviter le piratage

Concrètement, l’utilisateur se connecte au système via un mode d’authentification forte. Lorsqu’il clique pour accéder à une application ou à un service, sa requête est redirigée vers le moteur de SSO, qui interroge alors un référentiel global d’entreprise de façon à connaître ses droits. Si l’utilisateur dispose des autorisations requises, le moteur de SSO crée un jeton sur le poste client, qui prend généralement la forme d’un cookie afin d’assurer le maintien de la session SSO.Ce jeton contient des informations chiffrées relatives au profil de l’utilisateur, à savoir les URL des ressources auxquelles il a droit. En aucun cas il ne renferme les codes d’accès, évitant ainsi le stockage de données critiques pour la sécurité de l’entreprise sur le poste de travail, vulnérable au piratage.À chaque fois que l’utilisateur clique sur une des ressources listées dans le jeton, un échange est déclenché entre l’agent SSO, positionné sur le serveur dont dépend l’application (serveur HTTP, d’application ou encore système d’exploitation), et le moteur de SSO.Ce dernier récupère alors les mots de passe et les procédures spécifiques à l’application, puis propage la requête en s’authentifiant auprès de la ressource demandée pour le compte de l’utilisateur, lequel peut alors y accéder.Un tel fonctionnement consolidé et centralisé n’est pas sans vulnérabilités. Outre la protection du code d’accès par un système d’authentification forte, il est impératif de sécuriser tous les points clés, à commencer par l’isolement physique et logique des machines qui contiennent des données critiques.De même que les informations confidentielles (mots de passe et procédures), ainsi que les échanges entre applications et moteur de SSO qui doivent être chiffrés de façon à éviter tout risque de piratage.Alors, et alors seulement, ce système, conçu pour simplifier l’administration des droits d’accès et apporter plus de confort à l’utilisateur final, devient une brique fondamentale d’une politique de sécurité.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Marie Varandat