L’acronyme AAA, pour Authentification, l’Autorisation et l’Audit, en anglais Authentication, Authorization, Accounting, est un cadre de sécurité qui contrôle l’accès aux ressources informatiques, applique des politiques de sécurité et audite leur utilisation.
🎯 A quoi sert AAA ?
L’AAA et ses processus combinés jouent un rôle majeur dans la gestion et la cybersécurité du réseau en sélectionnant les utilisateurs et en assurant le suivi de leur activité pendant qu’ils sont connectés.
Le cadre AAA et la sécurité AAA qui en découle s’applique à différents concepts :
- Cadre AAA (AAA Framework) : c’est l’ensemble des mécanismes et des processus qui mettent en œuvre les fonctions d’Authentification, d’Autorisation et d’Audit. Il définit l’architecture et les composants nécessaires pour contrôler l’accès aux ressources et assurer la traçabilité des actions.
- Serveur AAA (AAA Server) : serveur dédié qui centralise les fonctions AAA. En tant qu’outil de gestion des identités et des accès (IAM), un serveur AAA reçoit les requêtes d’authentification, vérifie les identifiants, autorise l’accès en fonction des politiques définies et enregistre les événements pour l’audit. RADIUS et TACACS+ sont des exemples de protocoles utilisés par les serveurs AAA.
- Protocole AAA (AAA Protocol) : protocole de communication utilisé pour transporter les informations d’authentification, d’autorisation et d’audit entre les clients (par exemple, un routeur ou un point d’accès Wi-Fi) et le serveur AAA. Les exemples les plus courants sont RADIUS, TACACS+ et Diameter.
- Client AAA (AAA Client) : équipement réseau (routeur, commutateur, point d’accès, etc.) ou une application qui initie les requêtes d’authentification auprès du serveur AAA.
- Service AAA (AAA Service) : service global qui fournit les fonctions d’authentification, d’autorisation et d’audit. Il englobe l’infrastructure, les protocoles et les politiques mis en place.
Fonctionnement
Fonctionnement1. Authentification (Qui êtes-vous ?)
- Définition : l’authentification est le processus de vérification de l’identité d’un utilisateur, d’un appareil ou d’un processus qui tente d’accéder à un système. Il s’agit de prouver que l’entité est bien celle qu’elle prétend être.
- Fonctionnement : l’authentification repose sur l’utilisation de différents facteurs :
- Mot de passe : information secrète connue de l’utilisateur. (Facteur de connaissance)
- Carte à puce, jeton, badge : objet physique que l’utilisateur possède. (Facteur de possession)
- Données biométriques (empreinte digitale, reconnaissance faciale, scan rétinien) : caractéristiques physiques uniques à l’utilisateur. (Facteur inhérent)
- Authentification multifacteur (MFA) : combinaison d’au moins deux de ces facteurs pour renforcer la sécurité.
👉 Exemples : saisie d’un mot de passe pour accéder à un compte email, utilisation d’un code reçu par SMS en plus du mot de passe (MFA), utilisation d’une empreinte digitale pour déverrouiller un téléphone.
2. Autorisation (Qu’avez-vous le droit de faire ?)
- Définition : l’autorisation détermine les actions qu’un utilisateur authentifié est autorisé à effectuer une fois connecté au système. Elle définit les permissions et les restrictions d’accès aux ressources.
- Fonctionnement : l’autorisation s’appuie sur des politiques et des règles qui définissent les droits d’accès en fonction du rôle de l’utilisateur, de son groupe d’appartenance ou d’autres attributs.
👉 Exemples : un utilisateur avec un rôle « administrateur » aura des droits d’accès complets au système, tandis qu’un utilisateur avec un rôle « invité » aura des droits limités. Accéder à un fichier en lecture seule, mais pas en écriture.
3. Audit (Qui a fait quoi ?) :
- Définition : l’audit consiste à enregistrer et à suivre les activités des utilisateurs et des systèmes. Il permet de conserver une trace des événements, des accès, des modifications et des actions effectuées.
- Fonctionnement : l’audit repose sur la collecte de logs (journaux d’événements) qui enregistrent les informations pertinentes. Ces logs peuvent être analysés pour détecter des anomalies, des intrusions ou des comportements suspects.
👉 Exemples : journalisation des connexions et déconnexions des utilisateurs, enregistrement des modifications apportées aux fichiers, suivi des accès aux bases de données.
✔ Avantages du cadre AAA
- Sécurité renforcée : en combinant l’authentification, l’autorisation et l’audit, on met en place un contrôle d’accès plus robuste et une meilleure traçabilité des actions.
- Gestion centralisée des accès : facilite l’administration des droits d’accès et la mise en œuvre des politiques de sécurité.
- Responsabilité accrue : l’audit permet d’identifier les auteurs des actions et de responsabiliser les utilisateurs.
- Détection des intrusions : l’analyse des logs d’audit peut révéler des tentatives d’intrusion ou des activités malveillantes.
- Conformité réglementaire : se nombreuses réglementations (RGPD, HIPAA, etc.) exigent la mise en place de mécanismes d’authentification, d’autorisation et d’audit.
📝 Les protocoles AAA
Il existe plusieurs protocoles AAA utilisés dans les réseaux informatiques pour implémenter les fonctions d’Authentification, d’Autorisation et d’Audit. Voici les principaux types :
1. RADIUS (Remote Authentication Dial-In User Service) :
- Description : RADIUS est un protocole client/serveur standardisé et largement utilisé pour l’authentification et l’autorisation d’accès aux réseaux. Il est souvent employé pour les accès distants (VPN, Wi-Fi, etc.).
- Fonctionnement : un client RADIUS (généralement un équipement réseau comme un routeur ou un point d’accès Wi-Fi) transmet les informations d’authentification de l’utilisateur à un serveur RADIUS. Le serveur vérifie les informations et renvoie une réponse autorisant ou refusant l’accès. RADIUS utilise UDP comme protocole de transport.
Avantages : standard ouvert, largement supporté, évolutif.
Inconvénients : moins sécurisé que TACACS+ car il ne chiffre que le mot de passe et non l’ensemble de la communication.
2. TACACS+ (Terminal Access Controller Access-Control System Plus) :
- Description : TACACS+ est un protocole propriétaire de Cisco, mais il est devenu un standard de facto. Il offre une plus grande sécurité et une plus grande flexibilité que RADIUS.
- Fonctionnement : TACACS+ sépare les fonctions d’authentification, d’autorisation et d’audit, ce qui permet une gestion plus fine des accès. Il utilise TCP comme protocole de transport et chiffre l’ensemble de la communication.
Avantages : plus sécurisé que RADIUS (chiffrement complet), plus flexible pour la gestion des autorisations.
Inconvénients : historiquement propriétaire Cisco, bien que des implémentations open source existent.
Comparaison RADIUS vs. TACACS+ :
| Caractéristique | RADIUS | TACACS+ |
| Protocole de transport | UDP | TCP |
| Chiffrement | Mot de passe uniquement | Communication complète |
| Fonctions AAA | Combinées | Séparées |
| Support | Standard ouvert, large support | Principalement Cisco, mais des implémentations open source existent |
| Utilisation typique | Accès réseau (VPN, Wi-Fi), accès internet | Administration des équipements réseau (routeurs, commutateurs) |
3. Diameter
- Description : Diameter est un protocole AAA plus récent, conçu pour remplacer RADIUS. Il offre des fonctionnalités plus avancées, notamment en termes de fiabilité, de sécurité et d’extensibilité.
- Fonctionnement : Diameter utilise TCP et offre des mécanismes de transport plus robustes que RADIUS. Il supporte également des fonctionnalités avancées comme la gestion des sessions et la comptabilité en temps réel.
Avantages : plus performant et plus fiable que RADIUS, supporte des fonctionnalités avancées.
Inconvénients : plus complexe à mettre en œuvre que RADIUS.
Autres protocoles et technologies liés à AAA :
- Kerberos : protocole d’authentification réseau qui utilise des « tickets » pour authentifier les utilisateurs et les services. Il est souvent utilisé dans les environnements Microsoft Active Directory.
- LDAP (Lightweight Directory Access Protocol) : protocole d’annuaire qui permet d’accéder à des services d’annuaire pour l’authentification et l’autorisation.
- SAML (Security Assertion Markup Language) : standard ouvert pour l’échange de données d’authentification et d’autorisation entre différents domaines de sécurité. Utilisé pour le Single Sign-On (SSO).
- OAuth (Open Authorization) et OpenID Connect (OIDC) : frameworks d’autorisation et d’authentification modernes utilisés pour déléguer l’accès à des ressources sans partager les identifiants. Couramment utilisés pour les applications web et mobiles.
Choix du protocole
Le choix du protocole AAA dépend des besoins spécifiques de l’organisation :
- RADIUS : Solution simple et largement compatible pour les accès réseau de base.
- TACACS+ : Solution plus sécurisée et plus flexible pour l’administration des équipements réseau.
- Diameter : Solution plus performante et plus évolutive pour les environnements complexes.
