Entreprises et professionnels
Protégez votre entreprise des cybercriminels.
Commencez l'essai gratuitKerberos est un protocole d'authentification de réseau informatique qui vérifie l'identité des utilisateurs ou des hôtes à l'aide d'un système de « tickets » numériques. Il utilise la cryptographie à clé secrète et un tiers de confiance pour vérifier l'identité des utilisateurs et authentifier les applications client-serveur.
À l'origine, le protocole Kerberos a été développé au Massachusetts Institute of Technology (MIT) en 1988, afin que l'université puisse authentifier en toute sécurité les utilisateurs du réseau et les autoriser à accéder à des ressources spécifiques, telles que le stockage et les bases de données. À l'époque, les réseaux informatiques authentifiaient les utilisateurs à l'aide d'identifiants et de mots de passe, qui étaient transmis en clair. Les acteurs malveillants pouvaient ainsi intercepter les identifiants des utilisateurs et les utiliser pour s'introduire dans le réseau du MIT.
Kerberos a permis à des hôtes de confiance de communiquer sur des réseaux non fiables (en particulier sur Internet) sans transmettre ou stocker des mots de passe en texte clair. Kerberos a également permis aux utilisateurs d'accéder à plusieurs systèmes avec un seul mot de passe, ce qui constitue une première version de la technologie d'authentification unique (Single Sign-On, ou SSO).
Kerberos est l'un des protocoles d'authentification réseau les plus utilisés aujourd'hui. Il est souvent utilisé pour prendre en charge le SSO dans les grands réseaux d'entreprise, c'est la méthode d'authentification par défaut dans Windows et il joue un rôle essentiel dans Windows Active Directory (AD). Il existe également des implémentations de Kerberos sous Apple OS, FreeBSD, UNIX et Linux.
Les tickets sont au centre du protocole d'authentification Kerberos.
Le nom de Kerberos provient de la mythologie grecque. Kerberos, également connu sous le nom de Cerbère, était un chien à trois têtes qui gardait les portes du monde des morts. Le nom fait référence aux trois « têtes » du protocole Kerberos : le client, le serveur et le Centre de distribution de clés Kerberos (KDC) qui émet les « tickets » Kerberos.
Un « ticket » Kerberos est un certificat numérique, émis par un serveur d'authentification et chiffré à l'aide de la clé du serveur, qui permet aux hôtes de prouver leur identité les uns aux autres de manière sécurisée. C'est ce qu'on appelle l'authentification mutuelle.
La demande et l'octroi de tickets Kerberos se font de manière transparente pour l'utilisateur final. Lorsqu'un client reçoit un ticket d'authentification Kerberos, il le renvoie au serveur, accompagné d'informations supplémentaires permettant de vérifier l'identité du client. Le serveur émet alors un ticket de service Kerberos et une clé de session, ce qui complète le processus d'autorisation pour cette session. Tous les tickets Kerberos sont horodatés, limités dans le temps et spécifiques à une session, ce qui minimise le risque qu'un acteur malveillant puisse utiliser un ticket compromis pour accéder au système.
Voici une description très simplifiée du fonctionnement du protocole Kerberos :
Kerberos est un protocole d'authentification éprouvé et robuste intégré dans tous les systèmes d'exploitation courants et qui prend en charge les environnements informatiques distribués modernes. Il est particulièrement adapté aux déploiements SSO, où il fournit la technologie back-end pour que les utilisateurs finaux bénéficient d'une expérience fluide tout en prenant en charge le contrôle d'accès basé sur les rôles (RBAC) et l'accès selon le principe de moindre privilège aux ressources numériques.
Étant donné que Kerberos est une technologie largement utilisée et datant de plusieurs dizaines d'années, les acteurs malveillants ont trouvé des moyens de la compromettre. Voici quelques-unes des cyberattaques les plus courantes contre Kerberos :
Néanmoins, bien qu'aucune technologie ne soit totalement inattaquable, Kerberos est tout à fait sécurisé s'il est configuré et entretenu correctement. Pour assurer la sécurité de votre déploiement Kerberos, assurez-vous que Kerberos est à jour et que vos utilisateurs finaux utilisent des mots de passe forts et uniques, renforcés par une authentification multifacteur (MFA).