{"id":6645,"date":"2022-01-17T13:05:13","date_gmt":"2022-01-17T12:05:13","guid":{"rendered":"https:\/\/www.zeetim.com\/?p=6645"},"modified":"2022-12-07T19:02:26","modified_gmt":"2022-12-07T18:02:26","slug":"pourquoi-sauthentifier-en-local-sur-un-client-leger-est-une-tres-mauvaise-idee","status":"publish","type":"post","link":"https:\/\/www.zeetim.com\/fr\/pourquoi-sauthentifier-en-local-sur-un-client-leger-est-une-tres-mauvaise-idee\/","title":{"rendered":"Pourquoi s\u2019authentifier en local sur un client l\u00e9ger est une (tr\u00e8s) mauvaise id\u00e9e"},"content":{"rendered":"\n

\u201cDumb\u201d et fiers de l\u2019\u00eatre !<\/h3>\n\n\n\n

Alors que nous sommes toujours pr\u00eats \u00e0 fournir un service sur mesure \u00e0 nos clients, lorsque ces derniers nous demandent de mettre en \u0153uvre une authentification locale sur nos terminaux, c’est toujours un non cat\u00e9gorique. Voici pourquoi.
Imaginez quelqu’un qui dirait : \u00ab Nous n\u2019utilisons pas d’outil d\u2019authentification sur nos appareils informatiques ! \u00bb. La premi\u00e8re chose qui nous viendrait \u00e0 l’esprit, c\u2019est : \u00ab Quel inconscient\u2026 ! \u00bb Inconscient, en effet, si l’entreprise met \u00e0 disposition de ses employ\u00e9s un bureau d\u2019ordinateur traditionnel, avec toutes les applications et donn\u00e9es stock\u00e9es directement sur la machine.
Cependant, si l’entreprise a adopt\u00e9 la virtualisation des postes de travail avec en sus des terminaux clients l\u00e9gers, il est tout \u00e0 fait logique, et m\u00eame tr\u00e8s sain, de ne pas avoir de syst\u00e8me d’authentification local. Explications.<\/p>\n\n\n\n

Les clients l\u00e9gers sont des terminaux \u00ab stupides \u00bb ou \u00ab muets \u00bb (dumb terminals), pour des raisons bien pr\u00e9cises.
Ci-dessous 3 raisons pour lesquelles il faut \u00e9viter l’authentification locale dessus.<\/p>\n\n\n\n

1. Ajouter de l’information en local sur un client l\u00e9ger est un contresens<\/strong><\/h2>\n\n\n\n

Leur r\u00f4le est de permettre aux utilisateurs de se connecter \u00e0 leur espace de travail virtuel. La raison d\u2019\u00eatre de la virtualisation est de cloisonner les donn\u00e9es dans le cloud et de donc de limiter l’authentification au serveur distant. L’ajout d’une authentification locale sur le client l\u00e9ger entra\u00eenera la pr\u00e9sence du profil de l’utilisateur localement sur l’appareil. Pour maintenir la session d’authentification locale, les donn\u00e9es de l’utilisateur devront \u00e9galement \u00eatre stock\u00e9es sur l’appareil : un contresens total au principe de virtualisation des donn\u00e9es.<\/p>\n\n\n

\n
\"\"<\/figure><\/div>\n\n\n

Authentification locale sur un client l\u00e9ger<\/em><\/p>\n\n\n\n

2.  Un surplus de travail pour l’\u00e9quipe IT<\/strong><\/h2>\n\n\n\n

Ensuite, l’utilisateur doit s’authentifier deux fois : une fois localement sur le terminal et une deuxi\u00e8me fois sur l’espace de travail virtuel. Par cons\u00e9quent, l’utilisateur doit se souvenir de deux informations d’identification pour acc\u00e9der \u00e0 son espace de travail. Et, dans la majorit\u00e9 des cas, les utilisateurs ont tendance \u00e0 utiliser le m\u00eame mot de passe. Cela peut \u00e9galement conduire \u00e0 la compromission de leur compte. L’\u00e9quipe informatique doit appliquer des politiques de mot de passe \u00e0 la fois diff\u00e9rents et \u00e9galement robustes pour chacune des authentifications, ce qui ajoute \u00e0 sa charge de travail. L’un des moyens de r\u00e9soudre ce probl\u00e8me serait d’avoir une authentification unique entre le client l\u00e9ger et l\u2019infrastructure VDI. Cependant, cela signifie \u00e9galement que le syst\u00e8me d’exploitation client l\u00e9ger doit avoir des applications SSO, ce qui alourdit le syst\u00e8me d’exploitation et ajoute un composant suppl\u00e9mentaire \u00e0 maintenir par l’\u00e9quipe informatique.<\/p>\n\n\n

\n
\"\"
Pfff\u2026encore un probl\u00e8me de mot de passe\u2026<\/em><\/figcaption><\/figure><\/div>\n\n\n

3. Une s\u00e9curit\u00e9 fortement compromise<\/strong><\/h2>\n\n\n\n

Enfin, les informations d’identification locales fournies par l’utilisateur devraient \u00eatre valid\u00e9es par rapport \u00e0 un service d’authentification tel qu’un backend connect\u00e9 \u00e0 une base de donn\u00e9es utilisateur : Active Directory, LDAP, etc. Ce processus laissera des traces d’authentification localement sur l’appareil. Dans le cas o\u00f9 le poste de travail est compromis, cela peut avoir de graves r\u00e9percussions sur la s\u00e9curit\u00e9 des donn\u00e9es de l\u2019entreprise. Parall\u00e8lement \u00e0 cela, si l’utilisateur ne peut pas acc\u00e9der \u00e0 l’espace de travail, l’\u00e9quipe de support doit intervenir \u00e0 deux endroits diff\u00e9rents, pour identifier le probl\u00e8me : localement et sur l\u2019infrastructure VDI. Cela augmente la quantit\u00e9 de travail et le temps n\u00e9cessaire pour remettre l\u2019infrastructure en marche suite \u00e0 une tentative d\u2019intrusion.<\/p>\n\n\n

\n
\"\"
Un syst\u00e8me d\u2019authentification en local\u2026MOUHAHAHA trop facile de s\u2019introduire dans leur syst\u00e8me\u2026!<\/figcaption><\/figure><\/div>\n\n\n

Vouloir ajouter un m\u00e9canisme d\u2019authentification locale peut partir d\u2019une bonne intention : ajouter une couche de s\u00e9curit\u00e9 suppl\u00e9mentaire. Mais le faire sur un client l\u00e9ger va \u00e0 l’encontre de l’objectif de la virtualisation et du client l\u00e9ger lui-m\u00eame, cet objectif \u00e9tant une exp\u00e9rience utilisateur de meilleure qualit\u00e9, s\u00e9curis\u00e9e et unifi\u00e9e.<\/p>\n\n\n\n