Lorsque nous accédons à des données en réseau, elles traversent plusieurs couches, depuis le câble physique jusqu’à l’application. Ce type de modèle multicouche serait-il applicable aux identités également ?
Couche 0 : « Numéro de série »
Les appareils connectés ont une identité qui correspond dans la plupart des cas au numéro de série. Sur la chaîne d’assemblage, chaque constructeur attribue à chaque appareil une chaîne de caractères unique. Ce numéro de série ne remplit en soi aucune fonction de protection ou de sécurité. Il permet simplement d’identifier l’équipement et ne peut être modifié. Les numéros de série ne sont toutefois pas exclusivement réservés aux équipements : vos documents d’identité et les billets de banque possèdent également un numéro de série.
Couche 1 : Identité de l’objet
Tout « objet » équipé d’une puissance de traitement pourrait se voir doté d’identifiants ou d’une identité. Cette identité reprendrait des informations de la Couche 0 comme éléments constitutifs de l’identité. L’émission d’un certificat pour un appareil connecté avec un numéro de série conférerait à l’appareil sa véritable identité. La puissance de traitement utiliserait cette identité pour permettre à l’appareil de fonctionner. L’appareil pourrait utiliser l’identité pour s’authentifier correctement auprès d’une ressource externe. Nous utilisons ces types d’identités ou nous profitons indirectement de leur existence tous les jours. Chaque fois que la barre d’adresse s’affiche en vert dans votre navigateur, cela signifie que vous interagissez avec un « objet » (dans ce cas, un service en ligne) auquel une identité a été attribuée. Dans le cas d’un service, il n’utilise pas de numéro de série, mais une adresse Web vérifiée par l’autorité de certification.
Couche 2 : Identité de l’utilisateur
Nous utilisons des « objets » au quotidien. Et bien souvent, ces « objets » doivent s’assurer de l’identité de leurs utilisateurs. L’identité utilisateur de base permet d’authentifier un utilisateur sur un « objet ». Nous possédons tous plusieurs identités utilisateur éparpillées sur différents services. Si la majorité de nos identités sont des mots de passe peu sécurisés ou des identités sociales, nous avons également des identités plus fortes, comme nos identifiants bancaires et les identifiants électroniques délivrés par les gouvernements. Du point de vue de l’identité, cela revient toujours à une seule couche de plusieurs degrés de sécurité.
Couche 3 : Identité du propriétaire
À chaque « objet » son propriétaire. Chaque équipement, chaque service, et d’après l’ITIL (Information Technology Infrastructure Library), chaque processus devrait avoir un propriétaire. Le propriétaire doit pouvoir décider qui a le droit de faire quoi avec « l’objet ». D’un point de vue technique, l’identité du propriétaire ne diffère pas de celle de l’utilisateur, car elle peut également être adossée à un mot de passe, une carte à puce PKI, etc. Du point de vue de l’identité, mieux vaudrait différencier ces couches, car c’est l’identité du propriétaire qui a pouvoir de décision sur « l’objet ».
Couche 4 : Identité autorisée
L’autorisation permet d’accorder des pouvoirs spéciaux aux identités inférieures. L’identité autorisée possède un privilège particulier : elle peut effectuer une action avec « l’objet ». L’autorisation est accordée par l’identité du propriétaire. L’autorisation est en soi un sujet complexe qui dépend de plusieurs aspects techniques, mais du point de vue de l’identité, les bénéficiaires sont les couches inférieures.
Toutes ces couches d’identité et leurs milliards « d’objets » peuvent être imbriqués en un immense maillage de connexions. La gestion des identités et des accès (IAM) tente de mettre de l’ordre dans tout cela. La technologie IAM s’efforce également de réduire le nombre d’identités nécessaires. Dans un scénario idéal, chaque instance d’un « objet », utilisateurs compris, ne posséderait qu’une seule identité et les relations seraient décrites à la couche 4 (Identités autorisées). Avec l’IAM, un « objet » peut également exiger que l’identité d’un processus ou d’un utilisateur qui accède au système de gestion des accès et des identités soit suffisamment forte. Le volet « gestion des accès » de l’IAM permet de centraliser la gestion de ces conditions.
Vous vous sentez perdu dans le monde des objets et des identités ? Regardez du côté des solutions IAM pour essayer d’y voir plus clair, et notamment la solution IAM complète de GlobalSign.