Vous avez très probablement déjà entendu parler du concept de l'authentification, cette manière qu'ont les systèmes de sécurité de vous mettre au défi pour que vous leur prouviez que vous êtes le client, l'utilisateur ou l'employé que vous prétendez être, que ce soit par l'utilisation d'un mot de passe, d'un jeton de sécurité ou de tout autre forme d'identification. Il se peut cependant que vous connaissiez moins le concept de l'autorisation, et le terme connexe, contrôle d'accès.
Autorisation
L'authentification vérifie votre identité ; l'authentification permet l'autorisation. Une politique d'autorisation dicte ce que votre identité est autorisée à faire. Par exemple, tout client d'une banque peut créer et utiliser une identité (un nom d'utilisateur par exemple) pour se connecter au service en ligne de la banque, mais la politique d'autorisation de la banque doit garantir que vous soyez la seule personne autorisée à accéder à votre compte individuel en ligne une fois que votre identité est vérifiée.
L'autorisation peut être appliquée à des niveaux plus granulaires que les sites Web ou l'intranet d'une entreprise. Votre identité individuelle peut faire partie d'un groupe d'identités qui partagent une politique d'autorisation commune. À titre d'exemple, imaginez une base de données contenant à la fois les achats du client et les renseignements personnels ou de cartes de crédit. Un marchand pourrait créer une politique d'autorisation pour cette base de données permettant l'accès d'un groupe marketing à tous les achats des clients, tout en l'empêchant d'accéder aux renseignements personnels ou de cartes de crédit, ce qui permet au groupe de marketing de déterminer les produits populaires à promouvoir ou à mettre en vente.
Nous créions de manière implicite des politiques d'autorisation lorsque nous utilisons les médias sociaux : Facebook, LinkedIn, ou Twitter peuvent authentifier des centaines de millions d'utilisateurs, mais dans une certaine mesure c'est à nous d'autoriser ses utilisateurs à s'engager auprès de nous en définissant s'ils peuvent le faire et comment. Cela est également vrai lorsque vous partagez des fichiers, des vidéos ou des photos sur des sites Web comme Google docs, Dropbox, Instagram, Pinterest ou Flickr ou même lorsque vous créez un dossier « partager » sur votre ordinateur portable.
Contrôles d'accès
Les politiques d'autorisation définissent ce à quoi une identité individuelle ou un groupe peuvent accéder, mais les contrôles d'accès – également appelé permissions ou privilèges – sont les méthodes qui nous permettent d'appliquer les politiques précitées. Voyons des exemples :
- Les paramètres de Facebook – Qui a accès à mes pages ? Qui peut me contacter ? Qui peut me rechercher ? – nous autorisons ou interdisons l'accès des utilisateurs ou du public à ce que nous publions sur Facebook.
- Les paramètres de Google Docs nous permettent d'établir, de modifier ou de partager des privilèges pour des documents que nous utilisons de manière en collaboration.
- Les paramètres de Flickr nous permettent de créer ou de partager des albums ou des images avec notre famille, nos amis ou de manière publique, par différentes (ex., Creative Commons) licences de droits de publication.
- Les partages et les permissions sur le MacOS l'onglet Sécurité du système d'exploitation Windowsdans la boîte de dialogue Propriétés du fichier vous permet d'établir des privilèges d'accès aux fichiers individuels ou aux dossiers.
La configuration correcte des privilèges d'accès est un élément critique pour protéger les renseignements contre tout accès non autorisé et protéger les systèmes informatiques contre l'abus, mais la configuration des contrôles d'accès est cependant une tâche délicate. Dans l'article suivant, nous allons examiner les attaques que des acteurs malveillants ou criminels peuvent mener lorsque les contrôles d'accès ne sont pas adéquatement configurés pour prévenir une utilisation non autorisée, une divulgation involontaire ou une escalade des privilèges.