Qu'est-ce que Kerberos ?
- Glossaire IAM
- Qu'est-ce que Kerberos ?
Kerberos est un protocole d'authentification de réseau informatique qui vérifie l'identité des utilisateurs ou des hôtes à l'aide d'un système de « tickets » numériques. Il utilise la cryptographie à clé secrète et un tiers de confiance pour vérifier l'identité des utilisateurs et authentifier les applications client-serveur.
À l'origine, le protocole Kerberos a été développé au Massachusetts Institute of Technology (MIT) en 1988, afin que l'université puisse authentifier en toute sécurité les utilisateurs du réseau et les autoriser à accéder à des ressources spécifiques, telles que le stockage et les bases de données. À l'époque, les réseaux informatiques authentifiaient les utilisateurs à l'aide d'identifiants et de mots de passe, qui étaient transmis en clair. Les acteurs malveillants pouvaient ainsi intercepter les identifiants des utilisateurs et les utiliser pour s'introduire dans le réseau du MIT.
Kerberos a permis à des hôtes de confiance de communiquer sur des réseaux non fiables (en particulier sur Internet) sans transmettre ou stocker des mots de passe en texte clair. Kerberos a également permis aux utilisateurs d'accéder à plusieurs systèmes avec un seul mot de passe, ce qui constitue une première version de la technologie d'authentification unique (Single Sign-On, ou SSO).
À quoi sert Kerberos ?
Kerberos est l'un des protocoles d'authentification réseau les plus utilisés aujourd'hui. Il est souvent utilisé pour prendre en charge le SSO dans les grands réseaux d'entreprise, c'est la méthode d'authentification par défaut dans Windows et il joue un rôle essentiel dans Windows Active Directory (AD). Il existe également des implémentations de Kerberos sous Apple OS, FreeBSD, UNIX et Linux.
À quoi sert un ticket dans Kerberos ?
Les tickets sont au centre du protocole d'authentification Kerberos.
Le nom de Kerberos provient de la mythologie grecque. Kerberos, également connu sous le nom de Cerbère, était un chien à trois têtes qui gardait les portes du monde des morts. Le nom fait référence aux trois « têtes » du protocole Kerberos : le client, le serveur et le Centre de distribution de clés Kerberos (KDC) qui émet les « tickets » Kerberos.
Un « ticket » Kerberos est un certificat numérique, émis par un serveur d'authentification et chiffré à l'aide de la clé du serveur, qui permet aux hôtes de prouver leur identité les uns aux autres de manière sécurisée. C'est ce qu'on appelle l'authentification mutuelle.
La demande et l'octroi de tickets Kerberos se font de manière transparente pour l'utilisateur final. Lorsqu'un client reçoit un ticket d'authentification Kerberos, il le renvoie au serveur, accompagné d'informations supplémentaires permettant de vérifier l'identité du client. Le serveur émet alors un ticket de service Kerberos et une clé de session, ce qui complète le processus d'autorisation pour cette session. Tous les tickets Kerberos sont horodatés, limités dans le temps et spécifiques à une session, ce qui minimise le risque qu'un acteur malveillant puisse utiliser un ticket compromis pour accéder au système.
Comment fonctionne le protocole Kerberos ?
Voici une description très simplifiée du fonctionnement du protocole Kerberos :
- Le processus d'authentification du client Kerberos commence lorsqu'un client demande un ticket d'authentification, ou ticket TGT (Ticket Granting Ticket), au serveur d'authentification KDC. Cette demande initiale est envoyée en texte clair car elle ne contient aucune information sensible.
- Le KDC recherche le client dans sa base de données. S'il trouve le client, il lui renvoie un TGT chiffré et une clé de session. Dans le cas contraire, le processus s'arrête et le client se voit refuser l'accès.
- Une fois authentifié, le client utilise le TGT pour demander un ticket de service au service TGS (Ticket Granting Service).
- Si le TGS parvient à authentifier le client, il lui envoie les identifiants et le ticket lui permettant d'accéder au service demandé. Ce ticket est stocké sur l'appareil de l'utilisateur final.
- Le client utilise son ticket pour demander l'accès au serveur d'application. Une fois que le serveur d'application authentifie la demande, le client peut accéder au serveur.
Quels sont les avantages du protocole Kerberos ?
Kerberos est un protocole d'authentification éprouvé et robuste intégré dans tous les systèmes d'exploitation courants et qui prend en charge les environnements informatiques distribués modernes. Il est particulièrement adapté aux déploiements SSO, où il fournit la technologie back-end pour que les utilisateurs finaux bénéficient d'une expérience fluide tout en prenant en charge le contrôle d'accès basé sur les rôles (RBAC) et l'accès selon le principe de moindre privilège aux ressources numériques.
Kerberos peut-il être piraté ?
Étant donné que Kerberos est une technologie largement utilisée et datant de plusieurs dizaines d'années, les acteurs malveillants ont trouvé des moyens de la compromettre. Voici quelques-unes des cyberattaques les plus courantes contre Kerberos :
- Les attaques de type « Pass-the-ticket », lors desquelles les acteurs malveillants interceptent et réutilisent les tickets envoyés à un utilisateur authentifié ou en provenance de celui-ci.
- Les attaques par « golden ticket », également connues sous le nom d'attaques par DC shadow, lors desquelles les acteurs malveillants obtiennent l'accès dont ils ont besoin pour mettre en place leur propre contrôleur de domaine Windows. Cela leur permet de créer de faux identifiants privilégiés qui leur accordent un accès illimité aux ressources du réseau.
- Les attaques par « credential stuffing », au cours desquelles les acteurs malveillants tentent de compromettre les mots de passe des utilisateurs. Ces attaques visent généralement les serveurs d'authentification KDC ou les services d'attribution de tickets.
Néanmoins, bien qu'aucune technologie ne soit totalement inattaquable, Kerberos est tout à fait sécurisé s'il est configuré et entretenu correctement. Pour assurer la sécurité de votre déploiement Kerberos, assurez-vous que Kerberos est à jour et que vos utilisateurs finaux utilisent des mots de passe forts et uniques, renforcés par une authentification multifacteur (MFA).