Kerberos remplace NTLM chez Microsoft : vers une authentification renforcée
Image générée par intelligence artificielle via Copilot
Dans la mythologie grecque, Cerbère (en grec ancien Kérberos) est le chien polycéphale (généralement à trois têtes, ou cinquante selon Hésiode, ou cent chez Horace) gardant l’entrée des Enfers. Il empêche les morts de s’échapper de l’antre d’Hadès et les vivants de venir récupérer certains morts.
NTLM officiellement obsolète : un tournant vers Kerberos ?
Microsoft a récemment franchi un cap en déclarant NTLM obsolète, le poussant ainsi vers la sortie. Cette décision, bien qu’anticipée depuis plusieurs années, sonne le glas d’un protocole d’authentification vieux de plus de 20 ans, fragilisé par des failles de sécurité croissantes. L’objectif est clair : migrer massivement vers Kerberos, un protocole plus robuste et plus sécurisé.
NTLM (NT LAN Manager), introduit avec Windows NT 4.0, a longtemps été le protocole d’authentification par défaut au sein des environnements Windows. Basé sur un système de challenge-réponse, il présente aujourd’hui des failles majeures :
Cryptographie fragile : La fonction de hachage HMAC-MD5 et l’algorithme MD4, sur lesquels repose NTLM, sont aujourd’hui facilement craquables.
Absence de salage des mots de passe : Ce manque expose les identifiants à des attaques de type « pass-the-hash« .
Pas d’authentification serveur : NTLM ne permet pas au client de s’assurer de l’identité du serveur, ouvrant la porte à des attaques par relais.
Formats d’authentifiants limités : Seuls les mots de passe sont pris en charge, excluant les certificats, la biométrie ou les clés FIDO.
Kerberos : un remplaçant plus sûr, mais des défis à relever
Kerberos, introduit avec Windows 2000, offre une alternative bien plus robuste. Ses atouts principaux incluent :
Cryptographie plus robuste : Kerberos utilise des algorithmes de chiffrement plus résistants aux attaques modernes.
Authentification serveur mutuelle : Le client et le serveur s’authentifient mutuellement, empêchant les attaques par relais.
Diversité des authentifiants : Kerberos supporte les mots de passe, les certificats, la biométrie et les clés FIDO. 🛡️
Cependant, l’implémentation généralisée de Kerberos se heurte à plusieurs obstacles :
Dépendance au KDC (Key Distribution Center) : Kerberos nécessite un KDC pour délivrer des tickets d’authentification. Ce composant n’est pas toujours accessible à tous les clients, notamment en cas de topologie réseau complexe ou de pare-feu restrictifs.
Authentification des utilisateurs locaux : L’authentification des utilisateurs locaux par les serveurs d’application pose un défi particulier. Microsoft propose des solutions alternatives comme les KDC locaux, mais leur déploiement à grande échelle peut s’avérer complexe.
Applications codant en dur NTLM : De nombreuses applications, notamment des composants système, intègrent NTLM en dur, rendant leur migration vers Kerberos laborieuse.
Bref, vous l’aurez compris : c’est un changement majeur pour toutes les infrastructures qui peuvent reposer sur des systèmes Microsoft (et notamment l’Active Directory – mais pas que). Cela étant dit, il est évident qu’il s’agit d’un changement profond qui va prendre du temps pour les entreprises dans le monde !
Vers une migration progressive et des solutions pour les cas problématiques
Microsoft conscient des défis à relever, propose une approche progressive pour migrer vers Kerberos. L’entreprise encourage l’utilisation de l’interface Negotiate (SPNEGO) qui permet de choisir le protocole d’authentification le plus adapté entre Kerberos et NTLM.
De plus, Microsoft développe des solutions pour les cas problématiques :
IAKerb (Internet Key Exchange for Kerberos) : Ce protocole permet aux clients de s’authentifier auprès d’un serveur d’application sans avoir de KDC en ligne de mire. Voir cet excellent article sur le sujet sur IT-Connect.
KDC locaux : Des KDC peuvent être installés sur chaque machine Windows pour gérer l’authentification des utilisateurs locaux.
Clés de registre et stratégies : Des options de configuration permettent de contrôler l’utilisation des adresses IP pour Kerberos.
Et pour les environnements non-Windows ?
L’intégration de Kerberos en dehors des environnements Windows reste un point d’interrogation. Microsoft travaille sur des solutions pour IAKerb et les KDC locaux, mais la compatibilité avec les systèmes non-Windows n’est pas encore garantie.
Cela dit, Microsoft a noué des partenariats avec de nombreuses distributions Linux ces dernières années et il y a fort à parier qu’elles évoluent également de leur côté afin de pouvoir prendre en compte ce changement. 🐧
Conclusion : un futur plus sécurisé
L’obsolescence de NTLM marque un tournant important dans la stratégie de sécurité de Microsoft. Si la migration vers Kerberos s’annonce complexe et progressive, elle représente une avancée majeure vers une authentification plus robuste et plus fiable. Les efforts de Microsoft pour développer des solutions aux cas problématiques et assurer la compatibilité avec les environnements non-Windows témoignent de son engagement à sécuriser les infrastructures numériques.
En résumé
Microsoft officialise l’obsolescence de NTLM et encourage la migration vers Kerberos, plus sécurisé.
Le remplacement complet de NTLM par Kerberos est complexe et nécessite des adaptations du protocole et des applications.
Microsoft travaille sur des solutions pour pallier aux limitations de Kerberos et faciliter la transition, mais des défis subsistent, notamment pour l’authentification hors Windows.