Aller au contenu

QCM d'auto-évaluation - Authentification et contrôle d'accès

Ce QCM vous permet de vérifier votre compréhension des notions abordées dans ce module. Répondez aux questions pour évaluer votre progression.

!!! quizdown id="qa1"

### Quelle méthode n'est PAS considérée comme un facteur d'authentification fort ?

- [ ] Un token physique générant des codes à usage unique (OTP)
- [ ] Une empreinte digitale
- [x] Une question secrète dont la réponse est personnelle
- [ ] Une application d'authentification sur smartphone

> **Explication :** Les questions secrètes ne sont pas considérées comme un facteur d'authentification fort car :
> - Les réponses sont souvent faciles à deviner ou à rechercher (sur les réseaux sociaux par exemple)
> - Elles appartiennent à la même catégorie que les mots de passe ("ce que l'utilisateur sait")
> - Elles ont un niveau de sécurité généralement inférieur à un mot de passe complexe
>
> Les autres options représentent des facteurs d'authentification forts : un token physique et une application d'authentification sont "ce que l'utilisateur possède", tandis qu'une empreinte digitale est "ce que l'utilisateur est".

!!! quizdown id="qa2"

### Pourquoi ajoute-t-on un sel (salt) lors du hachage des mots de passe ?

- [ ] Pour rendre le hachage plus rapide
- [x] Pour que deux utilisateurs avec le même mot de passe n'aient pas le même hachage
- [ ] Pour faciliter la récupération du mot de passe en cas d'oubli
- [ ] Pour réduire la taille du hachage stocké

> **Explication :** L'ajout d'un sel (valeur aléatoire unique) au mot de passe avant le hachage sert à :
> - S'assurer que deux utilisateurs avec le même mot de passe auront des hachages différents
> - Protéger contre les attaques par table arc-en-ciel (rainbow tables) ou par dictionnaire précalculé
> - Empêcher de détecter facilement les utilisateurs qui utilisent le même mot de passe
>
> Le sel n'est pas secret - il est généralement stocké en clair avec le hachage, mais sa présence rend impossibles certaines attaques.

!!! quizdown id="qa3"

### Dans le contexte de l'authentification, que signifie SSO ?

- [ ] Security System Operator
- [ ] Strong Security Option
- [x] Single Sign-On
- [ ] Secure Socket Operation

> **Explication :** SSO (Single Sign-On) est un mécanisme d'authentification qui permet à un utilisateur de s'authentifier une seule fois pour accéder à plusieurs applications ou services. Il présente plusieurs avantages :
> - Amélioration de l'expérience utilisateur en réduisant le nombre d'authentifications
> - Réduction du risque lié à la multiplication des mots de passe
> - Centralisation de la gestion des identités et des droits d'accès
>
> Des exemples de technologies SSO incluent SAML, OAuth 2.0 avec OpenID Connect, et Kerberos.

!!! quizdown id="qa4"

### Quel est le principal avantage de l'authentification à deux facteurs (2FA) par rapport à l'authentification par mot de passe simple ?

- [ ] Elle est plus rapide pour l'utilisateur
- [ ] Elle ne nécessite pas de se souvenir de mots de passe
- [x] Elle offre une protection même si le mot de passe est compromis
- [ ] Elle garantit un niveau de sécurité absolu

> **Explication :** Le principal avantage de l'authentification à deux facteurs (2FA) est qu'elle offre une couche de protection supplémentaire : même si un attaquant obtient le mot de passe d'un utilisateur, il ne pourra pas accéder à son compte sans le second facteur (comme un code envoyé par SMS ou généré par une application).
>
> Cependant :
> - La 2FA n'est pas plus rapide, elle ajoute généralement une étape à l'authentification
> - Elle nécessite toujours de se souvenir d'un mot de passe
> - Elle n'offre pas une sécurité absolue, mais renforce considérablement le niveau de sécurité

!!! quizdown id="qa5"

### Quelle pratique est recommandée pour la gestion des sessions utilisateur ?

- [ ] Utiliser des cookies de session sans expiration pour éviter de déconnecter les utilisateurs
- [ ] Stocker l'identifiant et le mot de passe dans le cookie de session pour faciliter la reconnexion
- [x] Régénérer l'identifiant de session après un changement de niveau de privilège
- [ ] Transmettre l'identifiant de session dans l'URL pour simplifier le développement

> **Explication :** La régénération de l'identifiant de session après un changement de privilège (par exemple après une connexion réussie) est une bonne pratique de sécurité qui protège contre les attaques de fixation de session.
>
> Les autres pratiques présentent des risques importants :
> - Les cookies sans expiration augmentent le risque de détournement de session
> - Stocker identifiant et mot de passe dans un cookie expose ces informations sensibles
> - Transmettre l'identifiant de session dans l'URL le rend visible et susceptible d'être partagé involontairement

!!! quizdown id="qa6"

### Quelle affirmation concernant OAuth 2.0 est correcte ?

- [x] C'est un framework d'autorisation qui permet à une application d'accéder à des ressources pour le compte d'un utilisateur
- [ ] C'est un protocole d'authentification qui remplace les mots de passe
- [ ] C'est un algorithme de chiffrement spécialement conçu pour les applications web
- [ ] C'est un système de gestion des identités qui stocke les informations des utilisateurs

> **Explication :** OAuth 2.0 est un framework d'autorisation (et non d'authentification) qui permet à une application tierce d'obtenir un accès limité à un service au nom d'un utilisateur, sans que celui-ci n'ait à partager ses identifiants.
>
> Par exemple, lorsqu'une application vous propose de "vous connecter avec Google", c'est généralement OAuth 2.0 qui est utilisé pour permettre à cette application d'accéder à certaines informations de votre compte Google, avec votre consentement explicite.
>
> Pour l'authentification proprement dite, OAuth 2.0 est souvent utilisé conjointement avec OpenID Connect, qui est une couche d'identité construite sur OAuth 2.0.

!!! quizdown id="qa7"

### Quelle vulnérabilité est liée à la gestion des sessions utilisateur ?

- [ ] Cross-Site Scripting (XSS)
- [x] Session Hijacking (détournement de session)
- [ ] SQL Injection
- [ ] Directory Traversal

> **Explication :** Le Session Hijacking (détournement de session) est une attaque spécifiquement liée à la gestion des sessions utilisateur. Elle consiste à voler ou prédire un identifiant de session valide pour usurper l'identité d'un utilisateur déjà authentifié.
>
> Pour se protéger contre cette attaque, il est recommandé de :
> - Utiliser des identifiants de session aléatoires et complexes
> - Transmettre les sessions via des cookies avec les attributs HttpOnly et Secure
> - Implémenter une vérification d'empreinte de navigateur
> - Mettre en place des délais d'expiration de session
> - Régénérer l'identifiant de session lors des changements d'état d'authentification
>
> Les autres vulnérabilités mentionnées, bien que sérieuses, ne sont pas spécifiquement liées à la gestion des sessions.

!!! quizdown id="qa8"

### Quel principe de sécurité est mis en œuvre lorsqu'on limite les droits d'un utilisateur au strict minimum nécessaire pour accomplir ses tâches ?

- [ ] Principe de défense en profondeur
- [ ] Principe de séparation des pouvoirs
- [x] Principe du moindre privilège
- [ ] Principe de sécurité par l'obscurité

> **Explication :** Le principe du moindre privilège stipule qu'un utilisateur, un programme ou un processus ne devrait disposer que des privilèges minimaux nécessaires pour accomplir sa fonction. Ce principe fondamental en sécurité informatique permet de :
>
> - Limiter l'impact d'une compromission d'un compte
> - Réduire la surface d'attaque
> - Faciliter l'audit et la traçabilité
>
> Les autres principes sont également importants mais ont des significations différentes :
> - La défense en profondeur consiste à mettre en place plusieurs couches de sécurité complémentaires
> - La séparation des pouvoirs requiert plusieurs entités pour réaliser une action sensible
> - La sécurité par l'obscurité repose sur le secret du fonctionnement du système (approche généralement déconseillée)

Interprétation de votre score

  • 7-8/8 : Excellent ! Vous avez une très bonne compréhension des mécanismes d'authentification et de contrôle d'accès.

  • 5-6/8 : Bon travail ! Vous maîtrisez les concepts essentiels mais quelques points méritent d'être revus.

  • 3-4/8 : Des bases solides, mais plusieurs notions importantes nécessitent une révision.

  • 0-2/8 : Il est recommandé de revoir l'ensemble du module pour consolider vos connaissances.

Points clés à retenir

  1. Utilisez l'authentification multi-facteurs pour renforcer significativement la sécurité des comptes

  2. Stockez les mots de passe avec des fonctions de hachage spécialisées (bcrypt, Argon2) et un sel unique

  3. Gérez les sessions utilisateur de façon sécurisée (identifiants aléatoires, expiration, régénération)

  4. Mettez en œuvre le principe du moindre privilège dans la conception des systèmes de contrôle d'accès

  5. Validez et nettoyez toutes les entrées utilisateur pour prévenir les injections et autres attaques

Pour aller plus loin

  • Explorez les frameworks d'authentification modernes (OpenID Connect, SAML)
  • Familiarisez-vous avec la gestion des identités et des accès (IAM)
  • Approfondissez vos connaissances sur les architectures sans état (stateless) avec les JWT
  • Étudiez les méthodes biométriques et leurs limites