Comment fonctionne l’authentification Kerberos ?

Photo of author

By pierre



Même s’il s’agit d’un système back-end, Kerberos est tellement bien intégré que la plupart des utilisateurs, voire des administrateurs, ignorent son existence.

Qu’est-ce que Kerberos et comment ça marche ?

Si vous utilisez des services en ligne nécessitant une connexion pour accéder à des ressources, il est fort probable que votre authentification s’effectue via le protocole Kerberos.

Kerberos, ce mécanisme d’authentification sécurisée, assure des communications protégées entre les appareils, systèmes et réseaux. Son but principal est de défendre vos informations et identifiants de connexion contre les intrusions malveillantes.

Kerberos est compatible avec tous les systèmes d’exploitation courants, notamment Microsoft Windows, Apple macOS, FreeBSD et Linux.

Le modèle de sécurité de Kerberos, articulé en cinq niveaux, comprend l’authentification mutuelle et le chiffrement par clé symétrique. La vérification d’identité permet aux utilisateurs autorisés d’accéder à un système.

Il combine une base de données centralisée et le cryptage pour valider la légitimité des utilisateurs et des services. Le serveur Kerberos authentifie d’abord l’utilisateur avant de lui autoriser l’accès à un service. En cas de succès, l’utilisateur reçoit un « ticket » utilisable pour l’accès au service.

Kerberos s’appuie donc sur des « tickets » pour sécuriser les communications. Le protocole utilise un Centre de Distribution de Clés (KDC) pour établir la liaison entre clients et serveurs.

Lorsqu’un client fait une requête, le serveur répond avec un jeton. Le client utilise alors ce jeton pour demander l’accès au service.

Il s’agit d’une méthode essentielle pour la sécurité des données lors de leur transfert. Le Massachusetts Institute of Technology (MIT) a développé Kerberos dans les années 1980 pour pallier les failles des connexions réseau non sécurisées. Il est désormais intégré à de nombreux systèmes.

Dans cet article, nous allons explorer en détail les avantages de Kerberos, ses applications pratiques, son fonctionnement étape par étape et sa sécurité.

Les avantages de l’authentification Kerberos

Dans les environnements informatiques distribués, le protocole d’authentification réseau Kerberos permet aux systèmes de s’identifier et de communiquer en toute sécurité.

Kerberos, utilisant un chiffrement par clé secrète, est conçu pour une authentification robuste des applications client-serveur. Il est souvent utilisé en complément du cryptage SSL/TLS, formant ainsi la base de la sécurité des applications.

Ce protocole offre de multiples avantages, ce qui le rend attrayant pour les PME et grandes entreprises.

Tout d’abord, Kerberos est très fiable. Il a résisté à de nombreuses attaques et s’est avéré très robuste. De plus, il est facile à mettre en place, à utiliser et à intégrer dans divers systèmes.

Avantages notables :

  • Un système de ticket unique permet une authentification rapide.
  • Clients et services peuvent s’authentifier mutuellement.
  • La période d’authentification, limitée par un horodatage, est particulièrement sécurisée.
  • Répond aux exigences des systèmes distribués modernes.
  • Les utilisateurs n’ont pas à ressaisir leurs informations pour accéder à différentes ressources, tant que le ticket est valide.
  • La sécurité est renforcée par de multiples clés secrètes, l’autorisation par des tiers et le chiffrement.

Quel est le niveau de sécurité de Kerberos ?

Nous avons vu que Kerberos est un processus d’authentification sécurisé. Nous allons maintenant voir comment des attaquants peuvent tenter de contourner cette sécurité.

Le protocole Kerberos est utilisé depuis de nombreuses années. Par exemple, Microsoft Windows l’a adopté comme mécanisme d’authentification standard dès la sortie de Windows 2000.

Le service d’authentification Kerberos utilise le chiffrement par clé secrète, la cryptographie, ainsi que l’authentification par tiers de confiance, afin de protéger efficacement les données sensibles en transit.

Pour une sécurité accrue, Kerberos 5, la dernière version, utilise l’Advanced Encryption Standard (AES) pour sécuriser les communications et prévenir les intrusions.

Le gouvernement américain a adopté l’AES car il est particulièrement efficace pour la protection d’informations sensibles.

Cependant, aucune plateforme n’est entièrement infaillible, et Kerberos ne fait pas exception. Bien qu’il soit très sécurisé, les entreprises doivent surveiller en permanence leur surface d’attaque afin de se prémunir des piratages.

En raison de son utilisation généralisée, les pirates cherchent activement à exploiter les failles de sécurité dans l’infrastructure.

Voici quelques attaques courantes :

  • Attaque « Golden Ticket » : C’est l’attaque la plus dommageable. Les attaquants détournent le service de distribution de clés d’un utilisateur authentique en utilisant ses tickets Kerberos. Cette attaque cible principalement les environnements Windows utilisant Active Directory (AD) pour le contrôle des accès.
  • Attaque « Silver Ticket » : Un faux ticket d’authentification de service est appelé « Silver Ticket ». Un pirate peut produire un Silver Ticket en déchiffrant le mot de passe d’un compte d’ordinateur et en l’utilisant pour construire un faux ticket d’authentification.
  • « Passer le ticket » : En générant un faux TGT, l’attaquant crée une fausse clé de session et la présente comme un identifiant légitime.
  • Attaque « Passer le hachage » : Cette méthode consiste à obtenir le hachage du mot de passe NTLM d’un utilisateur, puis à utiliser ce hachage pour l’authentification NTLM.
  • Kerberoasting : Cette attaque consiste à collecter les hachages de mots de passe pour les comptes d’utilisateurs Active Directory ayant des valeurs servicePrincipalName (SPN), comme les comptes de service, en exploitant le protocole Kerberos.

Atténuation des risques Kerberos

Les mesures d’atténuation suivantes peuvent aider à prévenir les attaques Kerberos :

  • Utiliser un logiciel de surveillance réseau 24h/24 pour identifier les vulnérabilités en temps réel.
  • Principe du moindre privilège : Seuls les utilisateurs, comptes et processus informatiques ayant les autorisations nécessaires à leur travail doivent avoir accès aux ressources. Cela empêchera l’accès non autorisé aux serveurs, en particulier le serveur KDC et les autres contrôleurs de domaine.
  • Remédier aux vulnérabilités logicielles, y compris les failles zero-day.
  • Exécuter le mode protégé du service de sous-système de l’autorité de sécurité locale (LSASS) : LSASS héberge des plug-ins tels que l’authentification NTLM et Kerberos, et fournit des services d’authentification unique.
  • Authentification forte : Adopter des normes de création de mots de passe robustes pour les comptes administratifs, locaux et de service.
  • Attaques par déni de service (DoS) : Un attaquant peut lancer une attaque DoS en surchargeant le KDC de demandes d’authentification. Pour prévenir les attaques et équilibrer la charge, le KDC doit être placé derrière un pare-feu, avec un KDC redondant supplémentaire déployé.

Quelles sont les étapes du déroulement du protocole Kerberos ?

L’architecture Kerberos comprend quatre éléments essentiels qui gèrent toutes les opérations du protocole :

  • Serveur d’authentification (AS) : Le processus d’authentification commence avec le serveur AS. Le client doit d’abord se connecter à l’AS en fournissant son nom d’utilisateur et son mot de passe pour prouver son identité. Après cette étape, l’AS envoie le nom d’utilisateur au KDC, qui émet alors un TGT.
  • Centre de Distribution de Clés (KDC) : Son rôle est de faire le lien entre le serveur AS et le Service d’Octroi de Tickets (TGS), en relayant les messages de l’AS et en émettant des TGT, qui sont ensuite transmis au TGS pour le chiffrement.
  • Ticket-Granting Ticket (TGT) : Le TGT est chiffré et contient des informations sur les services auxquels le client a droit d’accès, la durée de cet accès et une clé de session pour la communication.
  • Service d’Octroi de Tickets (TGS) : Le TGS sert d’intermédiaire entre les clients possédant des TGT et les différents services du réseau. Après avoir authentifié le TGT, le TGS établit une clé de session partagée entre le serveur et le client.

Voici le déroulement étape par étape de l’authentification Kerberos :

  • L’utilisateur se connecte.
  • Le client fait une requête au serveur d’octroi de tickets.
  • Le serveur vérifie le nom d’utilisateur.
  • Le serveur retourne le ticket au client.
  • Le client obtient la clé de session TGS.
  • Le client fait une demande d’accès à un service au serveur.
  • Le serveur vérifie le service.
  • Le serveur obtient la clé de session TGS.
  • Le serveur crée une clé de session de service.
  • Le client reçoit la clé de session de service.
  • Le client contacte le service.
  • Le service déchiffre.
  • Le service vérifie la demande.
  • Le service s’authentifie auprès du client.
  • Le client confirme le service.
  • Le client et le service interagissent.

Quelles sont les applications concrètes de Kerberos ?

Dans un environnement de travail moderne, connecté et basé sur Internet, Kerberos est d’autant plus précieux qu’il est excellent pour l’authentification unique (SSO).

Microsoft Windows utilise l’authentification Kerberos comme méthode d’autorisation standard. Kerberos est également supporté par Apple OS, FreeBSD, UNIX et Linux.

Il est devenu une norme pour les sites web et les applications d’authentification unique. Kerberos a renforcé la sécurité d’Internet et de ses utilisateurs, tout en permettant d’effectuer des tâches en ligne et au bureau sans risques.

Kerberos est déjà intégré aux systèmes d’exploitation et logiciels courants, et constitue un élément essentiel de l’infrastructure informatique. C’est notamment la technologie d’autorisation standard de Microsoft Windows.

Grâce à son chiffrement puissant et à l’autorisation par tickets de tiers, Kerberos rend plus difficile l’accès des pirates à un réseau d’entreprise. Les organisations peuvent ainsi utiliser internet en toute sérénité.

L’application la plus connue de Kerberos est Microsoft Active Directory, qui contrôle les domaines et effectue l’authentification des utilisateurs. C’est un service d’annuaire standard intégré à Windows 2000 et versions ultérieures.

Parmi les utilisateurs notables, on compte Apple, la NASA, Google, le département américain de la Défense et des institutions à travers le monde.

Voici quelques exemples de systèmes intégrant ou supportant Kerberos :

  • Amazon Web Services
  • Google Cloud
  • Hewlett Packard Unix
  • Cadre IBM Advanced Interactive
  • Microsoft Azure
  • Microsoft Windows Server et AD
  • Oracle Solaris
  • OpenBSD

Ressources additionnelles

Conclusion

Kerberos est la méthode d’authentification la plus utilisée pour sécuriser les connexions client-serveur. C’est un mécanisme d’authentification par clé symétrique qui assure l’intégrité des données, la confidentialité et l’authentification mutuelle des utilisateurs.

Il est à la base de Microsoft Active Directory et est devenu l’un des protocoles les plus ciblés par les attaquants.

Vous pouvez désormais consulter des outils pour surveiller la santé d’Active Directory.



Tweetez
Partagez
Épingle
Partagez
Partagez
0 Partages

13 raisons de choisir AWS comme fournisseur de cloud

10 plateformes de service client pour augmenter les taux de rétention