Qu'est-ce que le niveau de garantie d'authentification (AAL) ?

Le niveau de garantie d'authentification (AAL) fait référence à une classification utilisée pour décrire la force et la fiabilité des processus d'authentification. Défini dans la publication spéciale SP 800-63-3 du NIST, l'AAL aide les organisations à déterminer le niveau de sécurité approprié pour leurs interactions numériques.

Il existe trois niveaux d'AAL :

• Offre une certaine confiance dans l'authentification de l'utilisateur.
• Implique généralement une authentification à facteur unique, comme un mot de passe ou un appareil OTP.

• Nécessite deux facteurs d'authentification différents.
• Ce niveau intègre des mesures de sécurité supplémentaires comme la résistance aux attaques par rejeu et des temps de réauthentification plus courts.
• Les passkeys synchronisés sont conformes à l'AAL2.

• Implique une authentification multifacteur utilisant un authentificateur matériel.
• Présente des exigences de sécurité strictes, notamment la résistance à l'usurpation d'identité du vérificateur et la résistance à la compromission du vérificateur.
• Les passkeys liés à un appareil sont conformes à l'AAL3.

Chaque niveau est adapté à des besoins de sécurité différents, allant des environnements à faible risque pour l'AAL1 aux exigences de haute sécurité pour l'AAL3.

---

Voici une analyse plus approfondie des niveaux de garantie d'authentification et de leurs implications :

• Destiné aux applications à faible sécurité où la commodité est une priorité.
• Vulnérable aux menaces de sécurité courantes en raison de sa dépendance à des formes d'authentification simples comme les mots de passe (par ex. hameçonnage, attaque de l'homme du milieu, bourrage d'identifiants, …)

• Adapté aux transactions nécessitant une sécurité plus élevée.
• Combine des facteurs physiques (par ex., jetons de sécurité) et des facteurs basés sur la connaissance (par ex., mots de passe) pour renforcer la sécurité.

• Conçu pour les environnements à haut risque, garantissant une sécurité maximale.
• Utilise des mesures cryptographiques avancées et une résistance matérielle à la falsification physique.

• Le NIST approuve les passkeys synchronisés (par ex. via le Trousseau iCloud) comme étant conformes à l'AAL2, améliorant ainsi le cadre de sécurité pour les entités numériques et ouvrant la voie à une adoption plus large des passkeys.
• Les passkeys peuvent également être utilisés dans des scénarios à plus haut risque comme authentification conforme à l'AAL3, s'il s'agit de passkeys liés à un appareil, ne permettant pas la synchronisation des passkeys entre les appareils comme dans l'AAL2.

Pour en savoir plus sur la conformité des passkeys à l'AAL, consultez cet article de blog.

---

L'AAL1 fournit une sécurité d'authentification de base, couramment utilisée dans les environnements à faible risque où la commodité de l'utilisateur est une priorité.

L'AAL2 nécessite deux facteurs d'authentification différents, ce qui réduit considérablement le risque d'accès non autorisé par rapport à l'AAL1.

L'AAL3 est le plus haut niveau de garantie d'authentification, impliquant des authentificateurs matériels et des mesures de sécurité strictes comme la résistance à l'usurpation d'identité du vérificateur.

Les passkeys synchronisés (par ex. via le Trousseau iCloud) sont classés comme conformes à l'AAL2, tandis que les passkeys liés à un appareil sont classés comme conformes à l'AAL3. Pour en savoir plus, consultez cet article de blog.