● 84 entries

Identité et accès

Accès Just-in-TimeModèle d'accès accordant des privilèges élevés ou sensibles uniquement pour un temps limité et une tâche précise, puis les révoquant automatiquement.
Access Token (jeton d'acces)Credential a courte duree emise par un serveur d'autorisation, presentee par le client a une API pour acceder aux ressources protegees au nom d'un utilisateur ou service.
Active DirectoryService d'annuaire d'entreprise de Microsoft pour les réseaux Windows, qui assure l'authentification, l'autorisation et la gestion centralisée des stratégies pour utilisateurs, machines et ressources.
Application de messagerie securiseeApplication de communication dont le mode par defaut applique chiffrement de bout en bout, verification d'identite et forward secrecy pour que seuls les participants lisent les messages.
AuthentificationProcessus consistant à vérifier qu'une entité — utilisateur, appareil ou service — est bien celle qu'elle prétend être avant de lui accorder un accès.
Authentification à deux facteurs (2FA)Forme particulière de MFA exigeant exactement deux facteurs — généralement un mot de passe et un second facteur — pour vérifier l'identité.
Authentification adaptativeApproche d'authentification qui ajuste en temps reel la force et le nombre de facteurs demandes en fonction de signaux comme l'appareil, la localisation et le comportement.
Authentification basee sur le risque (RBA)Strategie d'authentification qui calcule en temps reel un score de risque pour chaque connexion et adapte la reponse — autoriser, defier ou bloquer — en consequence.
Authentification biométriqueMéthode d'authentification qui vérifie l'identité à partir de caractéristiques physiques ou physiologiques uniques comme les empreintes, le visage, l'iris ou la voix.
Authentification continueApproche qui valide en permanence l'identite de l'utilisateur durant toute la session a partir de signaux comportementaux et techniques, plutot qu'une seule fois a la connexion.
Authentification multifacteur (MFA)Méthode d'authentification exigeant au moins deux facteurs indépendants — généralement de catégories différentes — avant d'accorder l'accès.
Authentification mutuelleEchange d'authentification ou les deux parties — client et serveur, ou deux services — prouvent cryptographiquement leur identite avant d'echanger des donnees.
Authentification NTLMProtocole d'authentification Windows historique de type défi-réponse qui prouve l'identité de l'utilisateur via un hash de mot de passe, désormais jugé faible.
Authentification par lien magiqueFlux de connexion sans mot de passe ou l'utilisateur recoit une URL a usage unique par e-mail ou SMS, qui authentifie la session a l'ouverture.
Authentification par pushMéthode de MFA dans laquelle le fournisseur d'identité envoie une demande de connexion à une application mobile de confiance, que l'utilisateur approuve ou refuse d'un appui.
Authentification renforcee (step-up)Modele qui exige des facteurs supplementaires ou plus forts lorsque l'utilisateur tente une operation a risque plus eleve que celui pour lequel sa session a ete autorisee.
Authentification unique (SSO)Mécanisme d'authentification permettant à un utilisateur de se connecter une seule fois auprès d'un fournisseur d'identité de confiance pour accéder ensuite à plusieurs applications sans ressaisir d'identifiants.
AutorisationProcessus qui détermine ce qu'une identité déjà authentifiée a le droit de faire : quelles ressources, quelles actions et dans quelles conditions.
Bearer Token (token au porteur)Credential opaque ou structure (RFC 6750) qui accorde l'acces a une ressource par simple possession, sans preuve que le porteur en est le proprietaire legitime.
Biométrie comportementaleTechnique d'authentification continue qui profile des comportements uniques — rythme de frappe, mouvements de souris, démarche, gestes tactiles — pour détecter les imposteurs.
BPF LSMModule de securite Linux qui permet a des programmes eBPF verifies de s'attacher aux hooks LSM et d'appliquer des decisions de controle d'acces obligatoire personnalisees sur les appels systeme, les fichiers, les sockets et les capabilities.
Capabilities LinuxFonctionnalite du noyau Linux issue du brouillon POSIX.1e qui decoupe le tout-puissant privilege de root en plus de 40 capabilities discretes attribuables aux processus et aux fichiers.
Chiffrement de bout en bout (E2EE)Modele de chiffrement ou seuls les terminaux qui communiquent detiennent les cles, de sorte que les serveurs intermediaires et les operateurs reseau ne peuvent pas lire le contenu.
Cle d'API (API Key)Chaine secrete statique delivree par un service pour identifier et authentifier un appelant, transmise habituellement en en-tete ou parametre d'URL a chaque requete.
Coffre-fort de credentialsService centralisé et audité qui stocke, fait tourner et intermédie de manière sécurisée l'accès à des secrets tels que mots de passe, clés d'API, certificats et clés SSH.
Collecte d'identifiantsCapture massive de noms d'utilisateur, mots de passe, jetons et autres secrets d'authentification, souvent en vue d'une prise de compte ou d'une revente.
Compte de serviceIdentité non humaine utilisée par une application, un script ou un service pour s'authentifier auprès d'autres systèmes, généralement sans connexion interactive.
Connexion socialeModele d'authentification ou les utilisateurs se connectent a un site tiers en utilisant leur identite existante chez Google, Apple, Microsoft, Facebook, GitHub ou des fournisseurs similaires.
Contrôle d'accès basé sur les attributs (ABAC)Modèle d'autorisation qui évalue des politiques sur des attributs du sujet, de la ressource, de l'action et de l'environnement pour décider d'autoriser une requête d'accès.
Contrôle d'accès basé sur les rôles (RBAC)Modèle d'autorisation qui attribue les permissions à des rôles plutôt que directement aux utilisateurs, ces derniers héritant des accès via l'attribution de rôles.
Contrôle d'accès discrétionnaire (DAC)Modèle de contrôle d'accès dans lequel le propriétaire d'une ressource décide qui peut y accéder et quelles opérations sont autorisées.
Contrôle d'accès obligatoire (MAC)Modèle de contrôle d'accès dans lequel une politique centrale — et non le propriétaire de la ressource — impose les décisions à partir des classifications et habilitations des sujets et objets.
Credential vérifiableAffirmation signée cryptographiquement et inviolable, émise par une partie au sujet d'une entité, exprimée selon le modèle Verifiable Credentials du W3C.
Detection de voyage impossibleDetection qui signale des connexions successives depuis des emplacements geographiques trop eloignes pour avoir ete atteints dans le temps ecoule.
Entropie de mot de passeMesure en bits de l'imprevisibilite d'un mot de passe : plus l'entropie est elevee, plus il faut d'essais pour le retrouver.
Enumeration de comptesAttaque qui exploite les differences de reponse d'une application pour determiner quels comptes, e-mails ou numeros existent sur la cible.
Énumération de noms d'utilisateurForme spécifique d'énumération de comptes où la réponse de l'application confirme si un nom d'utilisateur donné existe, permettant de cibler les attaques suivantes.
Facteur d'inherence (ce que vous etes)Facteur d'authentification fonde sur une caracteristique biometrique de l'utilisateur : empreinte, visage, iris, voix ou rythme de frappe.
Facteur de connaissance (ce que vous savez)Facteur d'authentification fonde sur une information connue de l'utilisateur, comme un mot de passe, un PIN, une phrase de passe ou une reponse a une question de securite.
Facteur de localisation (ou vous etes)Facteur d'authentification contextuel utilisant la localisation geographique ou reseau de l'utilisateur (GPS, geolocalisation IP, Wi-Fi du bureau, etc.) pour evaluer une connexion.
Facteur de possession (ce que vous possedez)Facteur d'authentification fonde sur un objet physique ou cryptographique detenu par l'utilisateur : token materiel, carte a puce, application d'authentification ou telephone enregistre.
Facteur temporel (authentification)Facteur d'authentification contextuel qui restreint ou evalue l'acces selon l'heure, le jour de la semaine ou la duree d'une session, souvent combine a des politiques basees sur le risque.
Fatigue MFA (Push Bombing)Attaque ou un attaquant disposant d'un mot de passe valide submerge la victime de notifications push MFA jusqu'a ce qu'elle approuve une par lassitude ou erreur.
FIDO2Standard ouvert d'authentification de la FIDO Alliance combinant WebAuthn (API navigateur) et CTAP (protocole des authentificateurs) pour une connexion sans mot de passe et résistante à l'hameçonnage.
Gestion des accès à privilèges (PAM)Ensemble de pratiques et d'outils qui sécurisent, contrôlent, surveillent et auditent l'accès aux comptes et systèmes disposant de privilèges administratifs élevés.
Gestion des identités et des accès (IAM)Discipline et ensemble de technologies permettant de définir les identités numériques et de contrôler à quelles ressources chaque identité peut accéder, et dans quelles conditions.
Gestion des sessionsEnsemble de contrôles qui émettent, maintiennent, rafraîchissent et révoquent une session authentifiée, liant l'identité de l'utilisateur aux requêtes suivantes jusqu'à la déconnexion ou l'expiration.
Gestionnaire de mots de passeApplication qui génère, stocke et remplit automatiquement des identifiants uniques et robustes, protégée par une phrase maîtresse et, de plus en plus, par des passkeys.
Identifiant décentralisé (DID)Identifiant standard du W3C contrôlé directement par son sujet, sans registre centralisé, et qui se résout en un document contenant du matériel cryptographique.
Identité auto-souveraine (SSI)Modèle d'identité dans lequel les individus ou organisations détiennent et présentent eux-mêmes leurs credentials, sans dépendre d'un fournisseur d'identité central.
Identité des collaborateursIdentités, credentials et droits d'accès des employés, prestataires et services internes d'une organisation, par opposition à l'identité client (CIAM).
Identité fédéréeArchitecture dans laquelle plusieurs organisations ou domaines font confiance à un fournisseur d'identité commun afin que les utilisateurs réutilisent la même identité partout.
Identité machineIdentité cryptographique d'une entité non humaine — charge de travail, équipement, conteneur ou client d'API — utilisée pour s'authentifier et établir la confiance avec d'autres systèmes.
Identité numériqueEnsemble d'identifiants, de credentials et d'attributs qui représente une personne, une organisation ou un appareil dans les systèmes en ligne.
Impersonation de tokenTechnique d'elevation de privileges Windows (MITRE ATT&CK T1134) ou un attaquant duplique un token d'acces existant et l'utilise pour executer du code dans le contexte d'un autre utilisateur.
JWT (JSON Web Token)Format de token compact et URL-safe (RFC 7519) portant des claims JSON signees, tres utilise comme access token, ID token et conteneur de session.
KerberosProtocole d'authentification réseau à base de tickets utilisant la cryptographie symétrique et un Centre de Distribution de Clés de confiance pour offrir une authentification unique sécurisée.
LDAPLightweight Directory Access Protocol, standard de l'IETF pour interroger et modifier des annuaires hiérarchiques sur TCP/IP, généralement sur le port 389 ou 636 avec TLS.
Mode Noyau vs Mode UtilisateurLes deux niveaux de privilege CPU imposes par les systemes d'exploitation modernes : mode noyau (supervisor, ring 0) avec acces complet au materiel, et mode utilisateur (ring 3) restreint a son espace memoire et a des instructions limitees.
Modèle AAAModèle fondamental de contrôle d'accès articulé autour de trois fonctions enchaînées : authentification, autorisation et traçabilité.
Mot de passeChaîne de caractères secrète qu'un utilisateur fournit pour prouver son identité à un système ; historiquement le mécanisme d'authentification à facteur unique dominant.
Mot de passe à usage unique (OTP)Court code numérique valable pour une seule tentative de connexion ou une fenêtre de temps réduite, le plus souvent comme second facteur.
Mot de passe à usage unique basé sur HMAC (HOTP)Algorithme d'OTP basé sur les événements défini par la RFC 4226 qui dérive un code court d'un secret partagé et d'un compteur croissant.
Mot de passe à usage unique basé sur le temps (TOTP)Algorithme de mot de passe à usage unique défini par la RFC 6238 qui dérive un code court d'un secret partagé et de l'heure courante, renouvelé toutes les 30 secondes.
Mot de passe compromis (Pwned)Mot de passe deja apparu dans une fuite connue et qui ne doit donc jamais etre autorise, conformement au service Have I Been Pwned de Troy Hunt.
OAuth 2.0Cadre ouvert d'autorisation permettant au propriétaire d'une ressource d'accorder à une application tierce un accès limité à une API sans partager d'identifiants.
OpenID Connect (OIDC)Couche d'identité construite au-dessus d'OAuth 2.0, permettant aux clients de vérifier l'identité d'un utilisateur et d'obtenir un profil de base via un jeton ID signé.
PasskeyIdentifiant FIDO2/WebAuthn résistant à l'hameçonnage : paire de clés asymétriques liée au matériel ou synchronisable, qui remplace le mot de passe par un défi-réponse cryptographique.
Phrase de passeLongue séquence de mots ou de caractères utilisée comme secret d'authentification, choisie pour son entropie élevée et sa facilité de mémorisation plutôt que pour sa complexité.
Politique de mots de passeEnsemble documenté de regles encadrant la creation, le stockage, la rotation et la validation des mots de passe utilisateur pour equilibrer securite et usabilite.
Principe du moindre privilègePrincipe de sécurité accordant à chaque utilisateur, processus ou service uniquement les privilèges strictement nécessaires à sa fonction, et rien de plus.
Protocole SignalProtocole de chiffrement de bout en bout developpe par Open Whisper Systems pour la messagerie Signal, combinant l'echange X3DH et l'algorithme Double Ratchet.
Refresh TokenCredential a longue duree utilisee pour obtenir de nouveaux access tokens a courte duree aupres d'un serveur d'autorisation OAuth 2.0 sans relogin de l'utilisateur.
Rejeu de sessionTechnique d'analytique UX qui enregistre DOM, clics, scrolls et frappes d'une session réelle pour permettre la rediffusion et l'analyse ultérieures.
Réutilisation de mots de passePratique consistant à utiliser le même mot de passe sur plusieurs comptes ou services, qui permet à une seule fuite d'en compromettre beaucoup d'autres.
SAMLStandard ouvert basé sur XML pour échanger des assertions d'authentification et d'autorisation entre un fournisseur d'identité et un fournisseur de service.
SeDebugPrivilegePrivilege Windows tres puissant qui autorise l'ouverture, la lecture et la modification de la memoire de tout processus — y compris LSASS — ce qui en fait une cible privilegiee pour le vol d'identifiants.
Token CSRFValeur imprevisible et par session, integree aux formulaires ou en-tetes, permettant au serveur de verifier que les requetes modifiant l'etat viennent de ses propres pages.
Token de sessionIdentifiant opaque emis apres l'authentification, renvoye par le client a chaque requete, permettant au serveur de retrouver l'etat de session de l'utilisateur.
Traçabilité / Comptabilisation (AAA)Troisième pilier du modèle AAA : enregistrer ce qu'une identité authentifiée a fait, quand, depuis où et sur quelles ressources, à des fins d'audit et de facturation.
U2F (Universal 2nd Factor)Standard ouvert d'authentification de la FIDO Alliance qui ajoute un second facteur matériel au mot de passe via une clé de sécurité USB, NFC ou Bluetooth.
User Account Control (UAC)Fonctionnalite de securite Windows introduite avec Vista qui execute les sessions interactives avec un jeton limite et demande consentement ou identifiants avant qu'une action administrative ne s'eleve.
Verrouillage de compteMecanisme qui bloque temporairement ou definitivement les connexions apres un nombre defini d'echecs consecutifs afin de ralentir les attaques en ligne par devinage.
WebAuthnAPI JavaScript standard du W3C qui permet aux applications web d'enregistrer et d'authentifier les utilisateurs avec des identifiants à clé publique stockés sur des authentificateurs de plateforme ou itinérants.