{"id":4144,"date":"2022-01-17T10:11:00","date_gmt":"2022-01-17T09:11:00","guid":{"rendered":"https:\/\/zeetim.com\/?p=4144"},"modified":"2025-10-24T11:36:49","modified_gmt":"2025-10-24T09:36:49","slug":"pourquoi-sauthentifier-en-local-sur-un-client-leger-est-une-tres-mauvaise-idee","status":"publish","type":"post","link":"https:\/\/zeetim.com\/fr\/pourquoi-sauthentifier-en-local-sur-un-client-leger-est-une-tres-mauvaise-idee\/","title":{"rendered":"Pourquoi s\u2019authentifier en local sur un client l\u00e9ger est une (tr\u00e8s) mauvaise id\u00e9e"},"content":{"rendered":"\n

\u201cDumb\u201d et fiers de l\u2019\u00eatre !<\/strong><\/p>\n\n\n\n

Alors que nous sommes toujours pr\u00eats \u00e0 fournir un service sur mesure \u00e0 nos clients, lorsque ces derniers nous demandent de mettre en \u0153uvre une authentification locale sur nos terminaux, c\u2019est toujours un non cat\u00e9gorique. Voici pourquoi.<\/p>\n\n\n\n

Imaginez quelqu\u2019un qui dirait : \u00ab Nous n\u2019utilisons pas d\u2019outil d\u2019authentification sur nos appareils informatiques ! \u00bb. La premi\u00e8re chose qui nous viendrait \u00e0 l\u2019esprit, c\u2019est : \u00ab Quel inconscient\u2026 ! \u00bb Inconscient, en effet, si l\u2019entreprise met \u00e0 disposition de ses employ\u00e9s un bureau d\u2019ordinateur traditionnel, avec toutes les applications et donn\u00e9es stock\u00e9es directement sur la machine.<\/p>\n\n\n\n

Cependant, si l\u2019entreprise a adopt\u00e9 la virtualisation des postes de travail avec en sus des terminaux clients l\u00e9gers, il est tout \u00e0 fait logique, et m\u00eame tr\u00e8s sain, de ne pas avoir de syst\u00e8me d\u2019authentification local. Explications.<\/p>\n\n\n\n

Les clients l\u00e9gers sont des terminaux \u00ab stupides \u00bb ou \u00ab muets \u00bb (dumb terminals), pour des raisons bien pr\u00e9cises.
Ci-dessous 3 raisons pour lesquelles il faut \u00e9viter l\u2019authentification locale dessus.<\/p>\n\n\n\n<\/br>\n\n\n\n

1. Ajouter de l\u2019information en local sur un client l\u00e9ger est un contresens<\/strong><\/h2>\n\n\n\n

Leur r\u00f4le est de permettre aux utilisateurs de se connecter \u00e0 leur espace de travail virtuel. La raison d\u2019\u00eatre de la virtualisation est de cloisonner les donn\u00e9es dans le cloud et de donc de limiter l\u2019authentification au serveur distant. L\u2019ajout d\u2019une authentification locale sur le client l\u00e9ger entra\u00eenera la pr\u00e9sence du profil de l\u2019utilisateur localement sur l\u2019appareil. Pour maintenir la session d\u2019authentification locale, les donn\u00e9es de l\u2019utilisateur devront \u00e9galement \u00eatre stock\u00e9es sur l\u2019appareil : un contresens total au principe de virtualisation des donn\u00e9es.<\/p>\n\n\n\n<\/br>\n\n\n\n

\"A<\/figure>\n\n\n\n

Authentification locale sur un client l\u00e9ger<\/em><\/p>\n\n\n\n<\/br>\n\n\n\n

2.  Un surplus de travail pour l\u2019\u00e9quipe IT<\/strong><\/h2>\n\n\n\n

Ensuite, l\u2019utilisateur doit s\u2019authentifier deux fois : une fois localement sur le terminal et une deuxi\u00e8me fois sur l\u2019espace de travail virtuel. Par cons\u00e9quent, l\u2019utilisateur doit se souvenir de deux informations d\u2019identification pour acc\u00e9der \u00e0 son espace de travail. Et, dans la majorit\u00e9 des cas, les utilisateurs ont tendance \u00e0 utiliser le m\u00eame mot de passe. Cela peut \u00e9galement conduire \u00e0 la compromission de leur compte. L\u2019\u00e9quipe informatique doit appliquer des politiques de mot de passe \u00e0 la fois diff\u00e9rents et \u00e9galement robustes pour chacune des authentifications, ce qui ajoute \u00e0 sa charge de travail. L\u2019un des moyens de r\u00e9soudre ce probl\u00e8me serait d\u2019avoir une authentification unique entre le client l\u00e9ger et l\u2019infrastructure VDI. Cependant, cela signifie \u00e9galement que le syst\u00e8me d\u2019exploitation client l\u00e9ger doit avoir des applications SSO, ce qui alourdit le syst\u00e8me d\u2019exploitation et ajoute un composant suppl\u00e9mentaire \u00e0 maintenir par l\u2019\u00e9quipe informatique.<\/p>\n\n\n\n<\/br>\n\n\n\n

\"Help<\/figure>\n\n\n\n

Pfff\u2026encore un probl\u00e8me de mot de passe\u2026<\/em><\/p>\n\n\n\n<\/br>\n\n\n\n

3. Une s\u00e9curit\u00e9 fortement compromise<\/strong><\/h2>\n\n\n\n

Enfin, les informations d\u2019identification locales fournies par l\u2019utilisateur devraient \u00eatre valid\u00e9es par rapport \u00e0 un service d\u2019authentification tel qu\u2019un backend connect\u00e9 \u00e0 une base de donn\u00e9es utilisateur : Active Directory, LDAP, etc. Ce processus laissera des traces d\u2019authentification localement sur l\u2019appareil. Dans le cas o\u00f9 le poste de travail est compromis, cela peut avoir de graves r\u00e9percussions sur la s\u00e9curit\u00e9 des donn\u00e9es de l\u2019entreprise. Parall\u00e8lement \u00e0 cela, si l\u2019utilisateur ne peut pas acc\u00e9der \u00e0 l\u2019espace de travail, l\u2019\u00e9quipe de support doit intervenir \u00e0 deux endroits diff\u00e9rents, pour identifier le probl\u00e8me : localement et sur l\u2019infrastructure VDI. Cela augmente la quantit\u00e9 de travail et le temps n\u00e9cessaire pour remettre l\u2019infrastructure en marche suite \u00e0 une tentative d\u2019intrusion.<\/p>\n\n\n\n<\/br>\n\n\n\n

\"Hacker\"<\/figure>\n\n\n\n

Un syst\u00e8me d\u2019authentification en local\u2026MOUHAHAHA trop facile de s\u2019introduire dans leur syst\u00e8me\u2026!<\/p>\n\n\n\n<\/br>\n\n\n\n

Vouloir ajouter un m\u00e9canisme d\u2019authentification locale peut partir d\u2019une bonne intention : ajouter une couche de s\u00e9curit\u00e9 suppl\u00e9mentaire. Mais le faire sur un client l\u00e9ger va \u00e0 l\u2019encontre de l\u2019objectif de la virtualisation et du client l\u00e9ger lui-m\u00eame, cet objectif \u00e9tant une exp\u00e9rience utilisateur de meilleure qualit\u00e9, s\u00e9curis\u00e9e et unifi\u00e9e.<\/p>\n\n\n\n