3. Les accès aux comptes - Sécuriser son ordinateur

1. Le plan de cours

1. Introduction

2. Identification et authentification

3. Authentification multi facteurs

4. Sessions et types d’utilisateurs

5. Contrôle des permissions 

6. Quiz

7. Activité

1. Les accès aux comptes

1.2 Identification et authentification

De l'identification de base d'un utilisateur au processus récurrent consistant à s'assurer que la personne qui se connecte ou utilise des services informatiques est la personne qu'elle prétend être, il n'y a jamais eu un besoin plus urgent de bien faire les choses. L'identification, la vérification et l'authentification jouent un rôle crucial dans la capacité à protéger nos services informatiques.

L'identification est simplement le processus par lequel quelqu'un prétend être une personne spécifique. Par exemple, s'identifier au téléphone en tant que « Baptiste », flasher une carte de bibliothèque avec un nom dessus ou avoir une adresse e-mail avec leur nom avant le symbole @.

Dans le cadre de transactions en ligne, vous vous « identifiez » en fournissant un nom, une adresse e-mail ou un numéro de téléphone sur un formulaire Web, par exemple. Ou lorsque vous achetez une nouvelle paire de chaussures en ligne, en saisissant un numéro de carte de crédit et une adresse de facturation. Si vous utilisez uniquement un processus d'identification, tant qu'une personne dispose de vos informations, elles seront acceptées telles quelles et votre identité pourrait être utilisée sans votre consentement.

C'est comme demander : « Qui êtes-vous ? » et prendre la réponse pour argent comptant. Pour les actions à faible enjeu, comme participer à un événement sportif ou consulter un livre, demander à quelqu'un de déclarer son identité sans la vérifier peut suffire.

Cependant, pour la plupart des transactions en ligne, l'identification seule suffit rarement. C'est comme avoir un nom d'utilisateur sans mot de passe.

Alors, comment savoir que la personne qui est entrain d'échanger avec nous est bien celle qu'elle prétend être ? C'est là qu'intervient la vérification.

Par exemple, considérons un utilisateur qui se connecte à un système en entrant un ID utilisateur et un mot de passe. Le système utilise l'ID utilisateur pour identifier puis il authentifie ensuite l'utilisateur au moment de la connexion en vérifiant que le mot de passe fourni est correct.

La vérification ne se contente pas de demander : « Qui êtes-vous ? », elle passe à l'étape suivante et demande : « Êtes-vous vraiment qui vous prétendez être ? »..

Vérifier l'identité de quelqu'un avec un haut degré de certitude demande des efforts. À une époque où les fournisseurs de services souhaitent fournir un processus d'inscription rapide, certains peuvent prendre des raccourcis et exiger une faible barrière à l'entrée. Les comptes de réseaux sociaux typiques, par exemple, demandent uniquement aux nouveaux utilisateurs de fournir un nom, une adresse e-mail, un nom d'utilisateur et un mot de passe. Un numéro de téléphone peut y être ajouté pour faire bonne mesure.

La vérification est généralement effectuée une seule fois, mais une fois vérifiée, l'identité d'une personne doit être authentifiée chaque fois qu'elle accède à un système ou à une ressource. Par exemple, si vous connaissez réellement quelqu'un, vous pouvez l'« authentifier » simplement en le regardant. Cependant, comme la grande majorité des transactions se font en ligne ou avec des personnes que nous ne connaissons pas, il est nécessaire de mettre en place des systèmes pour rétablir que la personne est bien celle qu'elle prétend être et non un imposteur.

L'utilisateur est invité à re-valider qu'il s'agit de la même personne qui a créé le compte. Dans les services à faibles enjeux, l'authentification peut être aussi simple que de demander à l'utilisateur de fournir le mot de passe associé à son compte. 

1.3 Authentification multi facteurs 

Aujourd’hui, il est nécessaire pour beaucoup de services utilisant des données sensibles d’utiliser ce qu’on appelle des authentifications à deux facteurs ou encore à facteurs multiples (multifacteurs).

L'authentification à deux facteurs (2FA) est une méthode permettant d'ajouter une sécurité supplémentaire à votre compte. Le premier "facteur" est votre mot de passe et le deuxième est souvent un code de vérification rafraîchit régulièrement qui est récupéré à partir d'une application sur un appareil mobile ou un ordinateur.

Selon un rapport récent, les mots de passe volés, réutilisés et faibles sont l'une des principales causes de failles de sécurité. La bonne nouvelle est que la cybercriminalité fait tellement l'actualité que la sensibilisation à l'authentification à deux facteurs se développe rapidement et que les utilisateurs exigent de plus en plus d’avoir une sécurité améliorée sur les services qu’ils utilisent. Pour être clair : « Tout le monde devrait utiliser la technologie 2FA ».

Le vol d'identité, les violations et les escroqueries sont omniprésents dans ce domaine. La vérification et l'authentification de l'identité sont donc primordiales pour garantir la sécurité de vos données et de vos identités numériques. 

1.4 Sessions et types d’utilisateurs

Un compte d’utilisateur est une identité créée pour une personne dans un ordinateur ou un système informatique et peut parfois aussi être utilisé par un programme informatique. 

Une fois que vous naviguez sur internet en étant administrateur, les malwares peuvent facilement s'installer sur votre ordinateur à votre insu. Par contre, si vous utilisez un compte qui n’est pas administrateur de l'ordinateur, vous allez augmenter de façon très significative votre protection face aux menaces.

Il existe différents comptes d’utilisateur :

• Les comptes administrateurs (aussi appelés privilégiés):

Dans Windows, ce compte est appelé compte administrateur. Sous Linux, il est connu sous le nom de compte root ou super-utilisateur. Ils accordent des privilèges de haut niveau sur les ordinateurs. Ils peuvent être utilisés pour modifier des données importantes, changer la configuration du système comme le démarrage et l’arrêt de services, la création de nouveaux comptes d’utilisateurs et la suppression de comptes d’utilisateurs existants. Ils peuvent également être utilisés pour installer et supprimer des logiciels et mettre à niveau le système d’exploitation. Tout cela peut être utilisé en cas de piratage du compte en plus de voler discrètement des informations. La surveillance de votre compte privilégié est donc très importante pour vous protéger.

• Les comptes utilisateurs (aussi appelés standards) :

Le compte d’utilisateur normal d’une personne est également appelé compte d’utilisateur standard ou compte interactif. Ce compte d’utilisateur dispose de privilèges modérés. Il n’est pas autorisé à apporter des modifications aux fichiers et propriétés système. Le système d’exploitation permet à ce compte d’utilisateur d’effectuer uniquement les tâches qu’il est autorisé à effectuer, telles que la création de fichiers et de dossiers, l’exécution d’applications, etc.

• Le comptes d’utilisateurs invités

Il dispose du privilège le plus bas et ne peut apporter aucune modification dans les fichiers ou propriétés système. Habituellement, ce compte est utilisé pour accéder au système pour des tâches temporaires telles que naviguer sur internet, regarder des films, jouer à des jeux, etc. Sous Windows, ce compte était auparavant créé automatiquement lors de l’installation, maintenant il est nécessaire de le créer. Sous Linux, si nécessaire, vous pouvez créer ce compte manuellement après l’installation.

• Le compte d’utilisateur local vs le compte d’utilisateur réseau

Le nom d’utilisateur et le mot de passe des comptes d’utilisateurs locaux sont stockés dans l’ordinateur local. Les comptes d’utilisateurs locaux sont liés à l’ordinateur physique. Chaque système d’exploitation crée des comptes d’utilisateurs lors de l’installation. Par défaut, tous ces comptes sont considérés comme des comptes d’utilisateurs locaux.

Pour les utilisateurs réseau le nom et le mot de passe des comptes sont stockés dans une machine centrale généralement appelée ‘serveur’. Contrairement aux comptes d’utilisateurs locaux, les comptes d’utilisateurs réseau ne sont liés à aucun système particulier. En fonction de la configuration, un utilisateur réseau peut se connecter à une machine spécifique ou à n’importe quelle machine du réseau. Ils sont souvent utilisés par les entreprises et liés à ce que l’on appelle un domaine.

Le compte d’utilisateur local et le compte d’utilisateur réseau sont tous deux utilisés pour accéder à un système d’exploitation.

• Le compte système

Ces comptes sont utilisés par différents services s’exécutant dans le système d’exploitation pour accéder aux ressources système. Le système d’exploitation utilise ces comptes pour vérifier si un service particulier qui demande des ressources système est autorisé à accéder à ces ressources ou non. Habituellement, les services créent eux-mêmes les comptes nécessaires lorsqu’ils sont installés. Après l’installation, les services utilisent ces comptes pour accéder aux ressources nécessaires. Sauf si vous êtes un administrateur système ou réseau, vous n’avez jamais besoin de connaître ces comptes.

1.5 Contrôle des permissions

Qu'il s'agisse d'un ordinateur professionnel, d'un ordinateur à usage personnel ou tout simplement du PC familial, tout appareil peut avoir plusieurs utilisateurs avec plusieurs niveaux de responsabilités. Il existe un éventail d'options qui permettent de configurer ces comptes, leurs privilèges et leurs autorisations. Notre objectif ici est de protéger votre système et vos informations personnelles. Effectivement, il serait regrettable qu'un invité ait un contrôle administratif complet sur votre ordinateur et ses paramètres de sécurité, etc. La configuration de ces comptes permet aussi de protéger les utilisateurs eux-mêmes.

En effet, il existe différents types de comptes, ainsi le type de compte détermine ce que l’utilisateur peut ou ne peut pas faire sur l’ordinateur. Par défaut, le premier compte que vous configurez dans Windows 10 sera alors désigné comme étant l’Administrateur standard. Ce compte peut effectuer la plupart des tâches telles que l'installation d'applications et de pilotes, ainsi que l'ajout de différents types d'utilisateurs à l'ordinateur. Il est possible de modifier le privilège d’un compte en se connectant à un compte administrateur et en allant voir dans les paramètres la partie ‘familles et autres’. Il suffira alors de modifier le type de compte après avoir sélectionné le compte souhaité.

Il a donc été vu qu’il y avait deux principaux privilèges de compte par défaut sur Windows 10 : l’administrateur et l’utilisateur. Mais, il existe bien d’autres types de privilèges de compte qui peuvent être appliqués à un compte. Pour ce faire, il suffira d’accéder aux propriétés du compte à travers le panneau de configuration des comptes d’utilisateurs masqués. On pourra alors y trouver une diversité de privilèges de compte, certains ayants à peu près les mêmes fonctionnalités. Un des privilèges qui pourrait se trouver être un des plus utiles est celui des utilisateurs avec pouvoir, qui se situent juste un cran en dessous des administrateurs. Un Power User peut aussi créer et modifier des comptes d'utilisateurs locaux sur l'ordinateur sans avoir besoin d’être administrateur. Les autres comptes sont plus utiles dans les organisations contenant différents types d'utilisateurs en faisant partie d'un grand réseau et s'authentifiant sur un certain domaine.

Néanmoins, même avec cette gestion des privilèges et donc cette tentative de protection de donnée, on n’est jamais à l’abri d’une quelconque menace des données de l’ordinateur. C’est pour cela qu’il est aussi important pour les utilisateurs d’adopter une pratique saine de la sécurité et donc de procéder à une mise à jour de son mot de passe de temps en temps.

Un autre moyen d’assurer davantage la sécurité de ses données est d’opter pour l’authentification à deux facteurs.