Autorisation
Qu'est-ce que Autorisation ?
AutorisationProcessus qui détermine ce qu'une identité déjà authentifiée a le droit de faire : quelles ressources, quelles actions et dans quelles conditions.
L'autorisation (AuthZ) intervient après l'authentification : une fois qu'un utilisateur, un service ou un appareil a prouvé son identité, le système doit décider si cette identité peut effectuer une action demandée sur une ressource précise. Les décisions peuvent reposer sur des rôles (RBAC), des attributs et des politiques (ABAC), des classifications (MAC) ou la discrétion du propriétaire (DAC), et sont généralement appliquées par un policy decision point qui évalue le sujet, la ressource, l'action et l'environnement, un policy enforcement point contrôlant la requête. Les architectures modernes externalisent la politique avec des standards comme les scopes OAuth 2.0 (RFC 6749), les claims OpenID Connect, XACML ou Rego/Open Policy Agent (OPA), en gardant les règles hors du code applicatif.
L'autorisation est le contrôle le plus sujet aux défaillances sur le web. L'OWASP a classé le contrôle d'accès défaillant (Broken Access Control) en A01 — le risque numéro 1 — dans son Top 10 de 2021, présent dans 94 % des applications testées, une position qu'il conserve dans l'édition 2025. La faille classique est l'IDOR (Insecure Direct Object Reference) : modifier un id numérique dans une URL ou un appel d'API pour lire les données d'un autre client. En 2022, la fuite d'Optus en Australie a exposé les dossiers d'environ 10 millions de clients via un endpoint d'API non authentifié et énumérable, et l'IDOR d'Instagram en 2019 a exposé des publications et stories privées.
Une catégorie plus subtile est le confused deputy, où un composant plus privilégié est manipulé pour abuser de son autorité au profit de l'attaquant : c'est la racine conceptuelle de CSRF et SSRF. Défenses : refuser par défaut, appliquer l'autorisation côté serveur à chaque requête (ne jamais faire confiance au client), vérifier la propriété de l'objet et pas seulement l'authentification, privilégier des identifiants non devinables, journaliser les décisions d'accès et tester en continu l'escalade de privilèges horizontale et verticale.
flowchart LR U[Requete authentifiee] --> PEP[Policy Enforcement Point] PEP --> PDP[Policy Decision Point] CTX[Sujet ressource action environnement] --> PDP POL[(Politique RBAC ABAC Rego)] --> PDP PDP -->|Autoriser| R[Acceder a la ressource] PDP -->|Refuser| X[403 Forbidden et journal d audit]
● Exemples
- 01
Donner à un agent de support un accès en lecture seule aux tickets clients mais pas aux données de facturation.
- 02
Jetons d'accès OAuth 2.0 émis avec des scopes restreints comme "orders:read".
● Questions fréquentes
Qu'est-ce que Autorisation ?
Processus qui détermine ce qu'une identité déjà authentifiée a le droit de faire : quelles ressources, quelles actions et dans quelles conditions. Cette notion relève de la catégorie Identité et accès en cybersécurité.
Que signifie Autorisation ?
Processus qui détermine ce qu'une identité déjà authentifiée a le droit de faire : quelles ressources, quelles actions et dans quelles conditions.
Comment se défendre contre Autorisation ?
Les défenses contre Autorisation combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Autorisation ?
Noms alternatifs courants : AuthZ, Contrôle d'accès.