| Fiche technique | |
|---|---|
| Nom : | Kerberos |
| Nom long : | Kerberos |
| Type de produit : | Protocole |
| Couche : | Application |
| Auteur : | MIT |
| Date de publication : | 1988 à maintenant |
Introduction
Le protocole Kerberos est un système d'authentification sécurisé conçu pour fonctionner sur des réseaux non fiables, comme ceux des entreprises ou d'Internet. Il permet à des utilisateurs et des services de s'authentifier mutuellement sans jamais échanger de mots de passe en clair. Basé sur le principe de tickets et utilisant la cryptographie symétrique, Kerberos évite les attaques par écoute et usurpation. Lorsqu'un utilisateur se connecte, il reçoit un Ticket Granting Ticket (TGT) émis par le KDC (Key Distribution Center). Ce TGT peut ensuite servir à obtenir d'autres tickets pour accéder aux différents services du réseau. Ce mécanisme permet une authentification unique (SSO) : l'utilisateur s'identifie une fois et accède ensuite à tous les services autorisés. Kerberos est ainsi largement utilisé dans les environnements informatiques nécessitant une sécurité élevée.
Kerberos fonctionne à la couche application du modèle OSI, bien qu'il s'appuie sur des protocoles de transport comme TCP ou UDP pour transmettre ses messages. Il repose sur un modèle client-serveur où le KDC joue le rôle central. Celui-ci se compose de deux parties : un serveur d'authentification (AS) et un serveur de tickets (TGS). Grâce à ces composantes, Kerberos établit une relation de confiance sans exiger des échanges d'informations sensibles comme les mots de passe. Le protocole a été initialement développé par le MIT dans les années 1980 et est aujourd'hui normalisé par l'IETF (RFC 4120). Il est utilisé nativement dans Microsoft Active Directory, mais aussi dans les environnements Linux/UNIX, notamment via les services comme SSSD ou Heimdal.
Avec l'évolution des besoins en sécurité réseau, Kerberos s'est imposé comme un standard de fait pour l'authentification dans les systèmes d'information. Il assure une protection robuste contre les attaques par rejeu, l'interception de données sensibles ou l'accès non autorisé aux services. Toutefois, sa mise en oeuvre requiert une bonne synchronisation de l'heure entre les machines (élément essentiel pour la validité des tickets). Bien que des alternatives existent (comme OAuth ou OpenID Connect), Kerberos reste indispensable dans de nombreux contextes, notamment les réseaux d'entreprise et les infrastructures centralisées. Sa fiabilité, sa maturité et son intégration native dans plusieurs systèmes d'exploitation en font un protocole incontournable en matière de sécurité réseau.