La gestion d’identité est un mal nécessaire. Avec une criminalité qui explose et des protocoles issus d’Internet qui ont « oublié » les fondamentaux de la sécurité, il est indispensable de traiter correctement les aspects AHA que sont l’Authentification, les Habilitations et les Accès au système d’information. Tout le monde est concerné, les développeurs, les responsables d’infrastructures et les utilisateurs, qui ne devraient pas oublier…que l’on travaille pour eux.

Le responsable TI et son spécialiste sécurité sont au cœur de la problématique d’identité. D’abord parce qu’il y a pléthore d’annuaires dans l’entreprise qui ne se « comprennent » pas, qu’il leur faut tenir compte des nouvelles méthodes de travail, tout en se protégeant des failles les plus criantes du système d’information. Il leur faut s’aligner sur des pratiques curieuses, telles le BYOD, imaginées par des gens qui n’ont qu’une vague idée de ce qu’est la sécurité et sur de nouvelles contraintes règlementaires telles le RGPD, la règlementation européenne. C’est tout sauf un long fleuve tranquille.

Commençons par fixer le décor. Où en est la gestion d’identités aujourd’hui et quelles sont les domaines où elle devrait évoluer de manière durable. On évoquera la fin des mots de passe, définitivement rangés au rayon des contraintes, bien qu’ils soient là pour nous protéger. On notera la montée en puissance de l’authentification forte et des techniques de biométrie, dans un contexte de SSQO et WebSSO, censé alléger les procédures d’identification. Sans oublier l’incontournable Intelligence Artificielle et Machine Learning dont on attend là aussi, monts et merveilles.

La gestion d’identités est un monde où les mots ont des sens parfois contradictoires. D’où la nécessité de définir ce qu’est une entité, un rôle, un profil, etc, et de lever toute ambigüité quant à ces définitions. Nous en profiterons pour préciser le périmètre exact que recouvrent les trois piliers de l’AHA, Authentification et Habilitations, essentiellement.

Pour être efficace, la gestion d’identités doit être traitée avec un maximum de rigueur, dans le cadre d’un projet, dont il est souhaitable, qu’il soit mené par un utilisateur. Nous vous en proposons ici une organisation, l’important n’étant pas technique, mais sur l’idée que le responsable de l’équipe ait l’ « oreille » de la direction générale. Autrement dit, que celle-ci ne passe pas son temps à lui demander des comptes. La gestion d’identités est un projet pérenne dans le temps, fondée sur une équipe permanente. Elle est tout sauf un « one shot », mais tout le monde n’est pas d’accord avec cette idée…

C’est le cœur du projet. Comment construit-on une architecture AHA ? Quels sont ses constituants et comment les mettre en place ? L’AHA est un projet aux multiples facettes, qui déborde largement les frontières de l’entreprise, avec une part de plus en plus grande prise par les techniques de fédération d’identités. Tant il est vrai qu’il n’est plus possible de travailler en « autarcie » et qu’il nous faut collaborer, coopérer, communiquer avec des partenaires externes. Sans pour autant complexifier l’infrastructure de gestion d’identités. Un art difficile…

Plusieurs technologies vont nous accompagner tout au long de ce parcours : XML, le format JSO JavaScript et le protocole REST de sollicitation. XML est indispensable si l’on veut bien comprendre les mécanismes propres à la fédération SAML et JSON est, de plus en plus, le format d’échange préféré par les fournisseurs et développeurs. Il faut impérativement comprendre à quoi on a affaire, ne serait-ce que pour tirer le meilleur parti des solutions du marché, qui ont fait ce choix depuis longtemps.

La gestion d’identités fait un usage systématique des technologies cryptographiques. D’où, là encore, la nécessité de faire un effort de compréhension. Sans entrer dans les détails algorithmiques des techniques de cryptographie, mais en précisant ce qu’elles recouvrent et à quoi elles servent. On évoquera donc les techniques de chiffrement, symétriques, asymétriques et mixtes, qui permettent de distinguer SMAL de Kerberos, le principe des hash (empreintes) et donc de signature électronique et bien entendu, les certificats PKI. Il n’y a rien de compliqué dans cette approche et les mots, très abscons il est vrai, recouvrent une réalité beaucoup plus simple et pragmatique.

Le standard LDAP des annuaires est au centre de toutes les architectures d’identités. Contrairement à ce que sous-entendent certaines idées reçues, ce n’est pas une base de données, mais la représentation d’une infrastructure d’entreprise, constituée d’hommes, de femmes et de ressources machines, qu’il convient de regrouper, pour en modéliser les accès. Nous passons ici en revue les différents aspects de ces annuaires LDAP, l’arbre DIT, les notions d’objets et d’attributs et bien entendu le langage, car LDAP c’est avant tout un langage de description. Le sous-projet LDAP, comme son contenant, doit lui-aussi être confié à un utilisateur, à qui on demandera seulement de bien connaître son entreprise.

Depuis toujours, les systèmes d’authentification sont basés sur la connaissance d’un ou plusieurs mots de passe. Cette pratique va disparaître à terme, car le concept a été dévoyé, insuffisamment expliqué aux utilisateurs qui se sont empressé de le « bypasser ». D’où des mots de passe en « postit » sur les écrans, des mots de passe durcis inutiles et des techniques de renouvellement qui conduisent invariablement à réutiliser les mêmes racines. En attendant cette disparition annoncée, il nous faut quand même tenir compte des besoins présents. Et sans trop se faire d’illusions, nous vous suggérons quelques bonnes pratiques qui peut-être pourront vous aideront à limiter les dégâts.

Au-delà de la justification d’un projet d’identités, un projet AHA met en scène différents acteurs que l’on retrouvera toujours : le client, le fournisseur de services et le fournisseur d’identités, l’IdP, personnage clé de la technologie. Faisons connaissance avec eux, car ils vont jouer un rôle essentiel dans les mécanismes SSO et de fédération d’identités.

Le SSO (Single Sign On) est une architecture qui évite aux usagers d’avoir à se souvenir d’une multitude de mots de passe, qu’ils s’empressent d’écrire dans leurs agendas ou de se les envoyer sur leur propre messagerie, pour en garder la trace… La grande majorité des entreprises, qui ont compris les avantages qu’ils peuvent attendre de sa mise en œuvre, se sont lancés dans un projet de ce type, de plus en plus en mode décentralisé, de manière à laisser les décisions de gestion des authentifications au plus près de ceux qui en ont la charge métier. Nous en profitons pour suggérer quelques recommandations qui seront tout sauf inutiles…

Comme la plupart des fonctions vitales des entreprises, celles dont elles ne peuvent se passer, sosu peine de ne plus pouvoir exercer leur métier, le SSO pose le problème de l’hébergement des ressources. Constat : même si les annuaires comportent des données sensibles, la majorité des entreprises ont entrepris leur migration vers le Cloud. Il y a un risque évident à tout confier à un prestataire, mais nous disposons heureusement de techniques, de partitionnement des bases de données, par exemple, qui nous permettent de limiter les inconvénients et de conserver « sous bonne garde » en local, les données dont on veut conserver la maîtrise.

Dans la mesure où toutes les applications se « webisent », le traitement des authentifications à partir d’un navigateur Internet, le WebSSO, prend une importance cruciale. Et le moins que l’on puisse dire est que ça bouge. La technologie des tokens JWT se répand, qui bientôt constituera le fondement de toutes les solutions commerciales, pendant qu’OAuth pour l’accès aux données patrimoniales, celles dont nous ne sommes pas propriétaires et OpenID Connect, son complément, prennent de plus en plus d’importance. Désormais, nous ne pouvons plus nous réfugier derrière le manque de standards et d’API. Le paysage s’est considérablement structuré.

La fédération d’identités est un chapitre important de la panoplie identitaire. Nous nous contentons ici d’en dérouler les principes et surtout de rappeler que la fédération consiste avant tout à regrouper sous une même « bannière » des technologies très différentes, dont il conviendra de gommer les incompatibilités structurelles.

Pleins feux sur deux technologies phares de la gestion d’identités : SAML et Kerberos. Pour un chef de projet, l’important n’est pas de connaître les détails de ces techniques, car il les percevra à travers des API qui lui en cacheront la complexité, mais il aura besoin de savoir ce qu’elles recouvrent et ce qui les différencie : chiffrement symétrique pour Kerberos et asymétrique pour SAML.

Plutôt que d’installer séparément les constituants « best of breed » d’une gestion d’identités, de nombreuses entreprises choisissent une solution intégrée, l’IAM. Ce qui n’exclut pas de lui appliquer quelques bonnes pratiques et de mettre en place les indicateurs qui prouveront avec le temps, que leur approche est la bonne et que chez eux, l’identité progresse dans le bon sens. Comme pour le SSO, les IAM ont pris le chemin du Cloud et c’est dans ce contexte qu’il faut trouver les réalisations les plus prometteuses.

A côté de l’IAM classique d’intégration de la gestion d’identités, deux nouvelles branches sont apparues : l’IRM et le CIAM. La première concerne l’identité des objets et capteurs qui se répandent et dont le nombre pose des problèmes spécifiques. La seconde, CIAM, concerne les clients et non plus les employés et partenaires « métiers », dont on cherche avec le temps à dresser un profil, une sorte d’identité elle-aussi, dont l’objectif est de servir de base à une stratégie commerciale et marketing, mieux adaptées. L’objectif est de mieux vendre et pour cela on a besoin de connaître les clients et d’en dresser une fiche signalétique la plus fidèle possible.

La biométrie regroupe toutes les techniques qui permettent de reconnaître un individu à partir de ses caractéristiques physiques. En pleine expansion depuis vingt ans, elle vient en complément de technologies plus traditionnelles : passwords, certificats, etc et ne peuvent donc pas être considérés comme un moyen d’authentification primaire. Le moins que l’on puisse dire est que l’imagination est au pouvoir et les fournisseurs se départissent des solutions classiques, empreintes digitales, géométrie du visage ou de la main, etc, pour emprunter des voies très « curieuses » comme la répartition de la chaleur sur le visage, la forme de la langue ou des lèvres, voire du « postérieur », dont on peut imaginer que leur propriétaire n’en change pas tous les mois…

Compte tenu de la faiblesse native des systèmes AHA basés sur les identifiants et mots de passe, la plupart des acteurs en contact avec les clients, ont choisi de les durcir avec des mécanismes d’authentification forte, qui intègrent une ou plusieurs autres techniques, dont certaines biométriques. : banques, prestataires de Cloud, tels Dropbox, etc. Bonne nouvelle : les API existent qui nous permettent de les intégrer dans nos applications, sans avoir à réinventer l’eau chaude.

Les mobiles, considérés à tort comme des objets de consommation courante, posent des problèmes redoutables de sécurité et sont à l’origine de nombreuses déconvenues dans les entreprises. Il n’est donc pas étonnant de constater que c’est dans ce domaine que les évolutions sont les plus marquantes, avec des techniques biométriques très efficaces, comme la reconnaissance de l’iris de l’œil et surtout les premières tentatives pour s’abstraire définitivement des mots de passe. Nous insistons particulièrement sur les méthodes FIDO et leur version WebAuthn pour les navigateurs, qui nous semblent être porteuses d’avenir.

Sans vouloir mettre la Blockchain à « toutes les sauces », il faut admettre que la notion d’identité peut être considérée comme un actif, dont on voudra interdire la mise à jour incontrôlée. Il s’agira pour nous d’une sorte de « compte d’entreprise », que l’on pourra traiter avec des algorithmes de Blockchain, comme n’importe quelle monnaie cryptographique. C’est ce que pensent de nombreuses startups et universités qui se sont lancées dans des projets très concrets et pensent que la Blockchain trouvera dans ce contexte des applications très intéressantes. Il faudra simplement s’armer de patience et ne pas considérer que par la seule magie du mot, tous les problèmes vont se régler.

Pour clore notre parcours, il était logique de nous interroger sur les évolutions envisageables de la notion d’identité. L’identité numérique, sournoise et incontrôlée, celle que patiemment les fournisseurs construisent sans nous demander notre avis (CIAM ?), n’est-elle pas en train de supplanter l’identité que nous véhiculons aujourd’hui. De même que le BYOID (Bring Your Own ID), que de plus en plus d’utilisateurs cherchent à nous imposer, sans que nous ayons la main sur la manière dont elle est constituée et gérée. En d’autres termes, n’avons-nous pas déjà une guerre de retard ? Ce qui ne nous empêchera pas, avant de nous quitter, de vous proposer quelques bonnes recommandations de bon sens…dictées par l’expérience.