Qu'est-ce que le niveau de garantie d'authentification (AAL) ?

Qu'est-ce que le niveau de garantie d'authentification (AAL) ?#

Le niveau de garantie d'authentification (AAL) fait référence à une classification utilisée pour décrire la force et la fiabilité des processus d'authentification. Défini dans la publication spéciale SP 800-63-3 du NIST, l'AAL aide les organisations à déterminer le niveau de sécurité approprié pour leurs interactions numériques.

Il existe trois niveaux d'AAL :

AAL1 : Garantie de base#

• Offre une certaine confiance dans l'authentification de l'utilisateur.
• Implique généralement une authentification à facteur unique, comme un mot de passe ou un appareil OTP.

AAL2 : Garantie élevée#

• Nécessite deux facteurs d'authentification différents.
• Ce niveau intègre des mesures de sécurité supplémentaires comme la résistance aux attaques par rejeu et des temps de réauthentification plus courts.
• Les passkeys synchronisés sont conformes à l'AAL2.

AAL3 : Garantie très élevée#

• Implique une authentification multifacteur utilisant un authentificateur matériel.
• Présente des exigences de sécurité strictes, notamment la résistance à l'usurpation d'identité du vérificateur et la résistance à la compromission du vérificateur.
• Les passkeys liés à un appareil sont conformes à l'AAL3.

Chaque niveau est adapté à des besoins de sécurité différents, allant des environnements à faible risque pour l'AAL1 aux exigences de haute sécurité pour l'AAL3.

---

Voici une analyse plus approfondie des niveaux de garantie d'authentification et de leurs implications :

AAL1 : Accessibilité et risques#

• Destiné aux applications à faible sécurité où la commodité est une priorité.
• Vulnérable aux menaces de sécurité courantes en raison de sa dépendance à des formes d'authentification simples comme les mots de passe (par ex. hameçonnage, attaque de l'homme du milieu, bourrage d'identifiants, …)

AAL2 : Mesures de sécurité renforcées#

• Adapté aux transactions nécessitant une sécurité plus élevée.
• Combine des facteurs physiques (par ex., jetons de sécurité) et des facteurs basés sur la connaissance (par ex., mots de passe) pour renforcer la sécurité.

AAL3 : Normes de sécurité les plus élevées#

• Conçu pour les environnements à haut risque, garantissant une sécurité maximale.
• Utilise des mesures cryptographiques avancées et une résistance matérielle à la falsification physique.

Améliorations de l'AAL liées aux passkeys#

• Le NIST approuve les passkeys synchronisés (par ex. via le Trousseau iCloud) comme étant conformes à l'AAL2, améliorant ainsi le cadre de sécurité pour les entités numériques et ouvrant la voie à une adoption plus large des passkeys.
• Les passkeys peuvent également être utilisés dans des scénarios à plus haut risque comme authentification conforme à l'AAL3, s'il s'agit de passkeys liés à un appareil, ne permettant pas la synchronisation des passkeys entre les appareils comme dans l'AAL2.

Pour en savoir plus sur la conformité des passkeys à l'AAL, consultez cet article de blog.

---

FAQ sur le niveau de garantie d'authentification (AAL)#

Qu'est-ce que l'AAL1 et quand est-il utilisé ?#

L'AAL1 fournit une sécurité d'authentification de base, couramment utilisée dans les environnements à faible risque où la commodité de l'utilisateur est une priorité.

Comment l'AAL2 améliore-t-il la sécurité par rapport à l'AAL1 ?#

L'AAL2 nécessite deux facteurs d'authentification différents, ce qui réduit considérablement le risque d'accès non autorisé par rapport à l'AAL1.

Quelles sont les exigences pour l'AAL3 ?#

L'AAL3 est le plus haut niveau de garantie d'authentification, impliquant des authentificateurs matériels et des mesures de sécurité strictes comme la résistance à l'usurpation d'identité du vérificateur.

Quel est l'impact des passkeys sur les classifications AAL ?#

Les passkeys synchronisés (par ex. via le Trousseau iCloud) sont classés comme conformes à l'AAL2, tandis que les passkeys liés à un appareil sont classés comme conformes à l'AAL3. Pour en savoir plus, consultez cet article de blog.

À propos de Corbado

Corbado est la Passkey Intelligence Platform pour les équipes CIAM qui gèrent l'authentification client à grande échelle. Nous vous montrons ce que les logs IDP et les outils d'analytics génériques ne voient pas : quels appareils, versions d'OS, navigateurs et gestionnaires de credentials prennent en charge les passkeys, pourquoi les enrôlements ne deviennent pas des connexions, où le flux WebAuthn échoue et quand une mise à jour OS ou navigateur casse silencieusement la connexion — le tout sans remplacer Okta, Auth0, Ping, Cognito ni votre IDP interne. Deux produits : Corbado Observe ajoute l'observabilité pour les passkeys et toute autre méthode de connexion. Corbado Connect apporte des passkeys managés avec analytics intégrés (aux côtés de votre IDP). VicRoads gère les passkeys pour plus de 5M d'utilisateurs avec Corbado (+80 % d'activation passkey). Parler à un expert Passkey →