Première
Précédente
Au sujet des principes
Principes d'Authentification Électronique
Cadre canadien
Mai 2004
Concepts et terminologie
Les principes qui suivent ont pour objet l'authentification des communications électroniques dans son sens large. Les concepts et les termes employés dans le présent document se rapportent donc à toutes les parties prenantes, les mesures et les techniques incluant tous les aspects de l'authentification, que ce soit du point de vue technique, juridique ou commercial. Chaque concept ou terme se rapporte aux autres; aucun d'eux ne devrait être considéré isolément.
Fonctions
Aux fins des présents principes, on considère que le processus d'authentification comporte six fonctions. Leur importance relative dépend du but et de la structure du processus d'authentification.
Administration de l'authentification
Administrer la mesure ou les mesures conçues pour confirmer les attributs d'une partie prenante et la mesure ou les mesures conçues pour appuyer la crédibilité d'une partie prenante qui soutient posséder ces attributs et, par conséquent, être authentifiée.
Spécification
Établir ou choisir un processus d'authentification et un mécanisme d'exécution.
Utilisation finale
Envoyer ou recevoir une communication électronique authentifiée et se fier à l'authentification des attributs.
Élaboration de normes
Établir des normes qui appuient l'élaboration continue de processus conçus pour faciliter l'authentification des communications électroniques.
Évaluation de la conformité
Observer les pratiques liées à l'authentification et en faire des évaluations éclairées afin de s'assurer que les politiques, les procédures et les normes appropriées sont respectées.
Prestation d'infrastructure
Fournir la capacité technique qui permet l'authentification, y compris les fonctions permettant d'authentifier l'identité ou l'intégrité des communications électroniques.
Définitions
Les définitions existantes, particulièrement celles établies par des groupes de normalisation internationale comme l'Organisation internationale de normalisation (ISO), ont été considérées par le Groupe de travail sur les principes d'authentification lors de l'établissement des principes. Toutefois, en raison de la portée générale des principes, ces définitions ne correspondaient nécessairement pas à l'emploi qu'on en fait dans des milieux particuliers.2
Authentification
Processus qui atteste des attributs des parties prenantes à une communication électronique ou de l'intégrité de la communication.
Attributs
Information concernant l'identité, les privilèges ou les droits d'une partie prenante ou d'une autre entité authentifiée.
Partie prenante
Personne ou organisation qui participe à un processus d'authentification, que ce soit directement ou par l'intermédiaire d'une autre entité authentifiée, comme un service de transmission de données ou un objet de données, un périphérique ou un programme logiciel.
Communication électronique
Transmission, message ou transaction électronique.
Intégrité
Assurance que l'information contenue dans une communication électronique n'a pas été modifiée ou corrompue durant le processus de communication.
L'authentification est censé promouvoir la confiance dans la communication électronique. Les parties prenantes à une communication électronique ont l'assurance que les autres parties prenantes ont été authentifiées par des méthodes technologiques et qu'elles peuvent se fier à ces autres parties prenantes, ainsi qu'à l'intégrité de la communication, dans la mesure précisée par l'authentificateur (l'autorité désignée qui confirme les attributs d'une partie prenante ou d'une entité et qui en atteste ensuite auprès des autres parties prenantes à la communication électronique). Les parties prenantes se fient à l'authentification d'une communication électronique dans la mesure où elles peuvent évaluer la fiabilité de l'authentification. Les méthodes et les spécifications technologiques utilisées pour l'authentification sont souvent basées sur des techniques cryptographiques.
L'authentification comme telle dépend de certaines activités préalables qui autorisent les parties prenantes, sur présentation de certains attributs donnés, à prendre part à une communication électronique authentifiée. Les attributs d'une partie prenante peuvent avoir rapport avec l'identité d'une personne. Il se peut aussi que les attributs requis concernent les droits ou les privilèges qu'a cette personne de prendre part à une communication électronique. Dans le dernier cas, il se peut que l'identité personnelle d'un partie prenante n'ait pas à être communiquée aux autres parties prenantes.
Les processus d'authentification attestent souvent des attributs d'entités non humaines. Par exemple, une organisation participant à un processus d'authentification peut choisir d'authentifier un serveur. Le cas échéant, les attributs du serveur peuvent avoir trait aux privilèges qui lui ont été assignés de communiquer avec d'autres serveurs ou clients du système.
L'autorisation relève d'une autorité désignée. Il existe de nombreux modèles pour octroyer une telle autorisation. Par exemple, pour être autorisé, un simple échange d'information peut ne nécessiter que la présentation d'un nom d'utilisateur et d'un mot de passe. Un système électronique établi pour communiquer des renseignements hautement confidentiels et privés peut, par ailleurs, nécessiter la présentation en personne d'une ou deux pièces d'identité fiables ainsi que la présentation de caractéristiques personnelles distinctes, comme les empreintes digitales. Un autre modèle peut désigner un employeur comme autorité : c'est alors ce dernier qui autorise un groupe d'employés à échanger, en son nom, des communications électroniques d'après les fonctions du poste de chacun.
2 Par exemple, la définition d'authentification englobe le concept d'« authentification de message », qui correspond aux procédés utilisés pour assurer l'intégrité des messages. De plus, le terme non-répudiation n'a pas été défini en relation avec les principes. Ce terme est couramment employé pour décrire une norme technique à laquelle le processus d'authentification doit répondre. Ce terme est toutefois trompeur dans un contexte général, car il laisse faussement entrendre une conclusion de droit.