Spécialité : Administration et sécurité des données Date : 23-10-2022

Module : Mise en œuvre d’une stratégie d’authentification Enseignante : K.Lebbal

Cours 01 : Définition exacte des notions d’authentification

Les protocoles d’authentification

Quels sont les protocoles d’authentification couramment utilisés ?

Quand quelqu’un essaie de se connecter à votre réseau via des serveurs d’accès réseau, NPS
((network policy server ou serveur de strategie réseau) authentifie cette connexion avant de
permettre l’accès. Cette authentification a pour but de vérifier l’identité de l’utilisateur ou de
l’ordinateur qui se connecte au réseau. NPS récolte donc des preuves attestant de la véracité de
l’identité de l’utilisateur ou de l’ordinateur. Pour crypter ces informations, il y a ce que l’on
appelle les protocoles d’authentification. Quels sont-ils ?

1- Le protocole d’authentification RADIUS

Le protocole RADIUS (Remote Authentication Dial-In User Service), est un protocole

d'authentification standard. Le fonctionnement de RADIUS est basé sur un système
client/serveur chargé de définir les accès d'utilisateurs distants à un réseau. Il s'agit du
protocole de prédilection des fournisseurs d'accès à internet car il est relativement standard et
propose des fonctionnalités de comptabilité permettant aux FAI (Fournisseur d’Accès
Internet) de facturer précisément leurs clients. Le protocole RADIUS repose principalement
sur un serveur (le serveur RADIUS), relié à une base d'identification et un client RADIUS,
appelé NAS (Network Access Server), faisant office d'intermédiaire entre l'utilisateur final et
le serveur. L'ensemble des transactions entre le client RADIUS et le serveur RADIUS est
chiffrée et authentifiée grâce à un secret partagé

- Les différents acteurs de RADIUS

➢ L’utilisateur : émetteur de la requête d’authentification (poste de travail, un

portable...).
➢ Client RADIUS : le point d’accès au réseau (NAS, firewall, point d’accès Wireless,
etc...).
➢ Serveur RADIUS : relié à une base d’authentification (Base de données).

- Principe du protocole RADIUS

Le protocole d’authentification RADIUS se déroule comme suit
1. Un utilisateur envoie une requête au NAS (Network Acces Server) afin d’autoriser une
connexion à distance.
2. Le NAS achemine la demande au serveur RADIUS.
3. Le serveur RADIUS consulte sa base de données d’identification afin de connaitre le type
de scénario d’identification demandé pour l’utilisateur.

1
Spécialité : Administration et sécurité des données Date : 23-10-2022
Module : Mise en œuvre d’une stratégie d’authentification Enseignante : K.Lebbal
Cours 01 : Définition exacte des notions d’authentification

4. Soit le scénario actuel convient, soit une autre méthode d’identification est demandée à
l’utilisateur. Le serveur RADIUS retourne ainsi une des quatre réponses suivantes :
i. ACCEPT : L’identification a réussi.

ii. REJECT : L’identification a échoué.

iii. CHALLENGE : Le serveur RADIUS souhaite des informations

supplémentaires de la part de l’utilisateur et propose un « défi ».
iv. CHANGE PASSWORD où le serveur RADIUS demande à l’utilisateur un
nouveau mot de passe.
5. Suite à cette phase dite d’authentification, débute une phase d’autorisation où le serveur
retourne les autorisations de l’utilisateur.

La figure suivante explique brièvement le fonctionnement du protocol

- Avantages
✓ Fonctionnement basé sur un système client/serveur chargé de définir les accès
d’utilisateurs distants à un réseau.
✓ Le protocole RADIUS permet de faire la liaison entre des besoins d’identification et
une base d’utilisateurs en assurant le transport des données d’authentification de façon
normalisée.
✓ L’ensemble des transactions entre le client RADIUS et le serveur RADIUS est chiffré.
✓ RADIUS permet le respect des trois A : Authentication, Authorization et Accounting
(AAA) ou Authentification, autorisation et comptabilisation.
✓ L’utilisation du protocole UDP qui simplifie la mise en œuvre du serveur.

2
Spécialité : Administration et sécurité des données Date : 23-10-2022
Module : Mise en œuvre d’une stratégie d’authentification Enseignante : K.Lebbal
Cours 01 : Définition exacte des notions d’authentification

- Inconvénients
✓ RADIUS a été conçu pour des identifications par modem, sur des liaisons lentes et peu
sûres, c’est la raison du choix du protocole UDP.
✓ Il base son identification sur le seul principe du couple (nom, mot de passe).

✓ Il assure un transport en claire, seul le mot de passe est chiffré par hachage.
✓ Il est strictement client-serveur.

2- Le SecurID
C’est un protocole permettant d’identifier tous les utilisateurs du système et du réseau en une
seule fois. Il peut aussi interdire tout accès illicite. Le SecurID est employé avec des modules
de contrôle d’accès appelé ACM qui sont des logiciels ou des matériels spécialement conçus à
cet effet. Ce protocole génère un code d’accès toutes les minutes pour sécuriser l’accès. Il
dispose de plusieurs spécificités. En premier lieu, la procédure est plus simple puisqu’elle se
fait en une seule fois ainsi il est facile d’assurer l’authentification des utilisateurs. Par ailleurs,
c’est une bonne prévention pour les accès non-autorisés aux ressources d’information de
l’organisation. Les codes d’accès générés sont à usage unique et sont complètement aléatoire
la sécurité est donc accrue

3- Le CHAP ou le Challenge-Handshake Authentication Protocol

Il s’agit d’une procédure qui est plus sécurisée puisqu’il permet de se connecter à un système.
Il peut remplacer le procédé d’authentification de mot de passe PAP. La particularité de ce
protocole c’est qu’il fonctionne en mode défi-réponse, en d’autres termes, après que le lien ait
été fait, le serveur transmet un message à celui qui tente de se connecter. Le demandeur répond
par la suite en utilisant une valeur obtenue à l’aide d’une fonction à sens unique de données
parasites. Le serveur gère la réponse et la compare en calculant la valeur prévue des mêmes
informations. Dans le cas où les valeurs sont compatibles, l’authentification sera reconnue et la
connexion est autorisée. Les identificateurs de CHAP sont régulièrement modifiés et
l’authentification peut être demandée par le serveur plusieurs fois. Ce protocole est donc plus
sécuritaire que le PAP.

3
Spécialité : Administration et sécurité des données Date : 23-10-2022
Module : Mise en œuvre d’une stratégie d’authentification Enseignante : K.Lebbal
Cours 01 : Définition exacte des notions d’authentification

4- Le protocole PAP (Password Authentication Protocol)

Le protocole PAP est, comme son nom l'indique, un protocole d'authentification par mot de
passe. Le protocole PAP a été originalement utilisé dans le cadre du protocole PPP.

Le principe du protocole PAP consiste à envoyer l'identifiant et le mot de passe en clair à

travers le réseau. Si le mot de passe correspond, alors l'accès est autorisé.

5- Le protocol Kerberos

Kerberos est un service d’authentification qui est utilisé sur les réseaux informatiques
ouverts ou non sécurisés. Le protocole de sécurité authentifie les demandes de service entre
deux hôtes de confiance, ou plus, via un réseau non approuvé comme Internet. Pour
l’authentification d’applications client-serveur et la vérification de l’identité de l’utilisateur, il
utilise le chiffrement cryptographique et un tiers de confiance (Trusted Third Party en
anglais).

Les utilisateurs, ordinateurs et services qui utilisent Kerberos s’appuient sur le KDC, qui
assure deux fonctions en un seul processus : l’authentification et l’attribution de tickets.
Les « tickets KDC » authentifient toutes les parties impliquées, en vérifiant l’identité de tous
les nœuds, les points de départ et d’arrivée des connexions logiques. Pour cela, le processus
d’authentification Kerberos utilise un mécanisme de clés secrètes qui évite que les paquets de
données transmis ne soient lus ou modifiés. Ils sont ainsi protégés contre les écoutes et
attaques répétées.

Comment fonctionne l’authentification Kerberos ?

Pour comprendre comment se déroule exactement l’authentification Kerberos, nous allons,

dans cette section, revenir sur ses principaux composants. Voici les principaux composants
qui sont impliqués dans un processus Kerberos standard :

• Client : le client agit pour le compte de l’utilisateur et initie la communication lors

d’une demande de service.

4
Spécialité : Administration et sécurité des données Date : 23-10-2022
Module : Mise en œuvre d’une stratégie d’authentification Enseignante : K.Lebbal
Cours 01 : Définition exacte des notions d’authentification

• Serveur hôte : il s’agit du serveur qui héberge le service auquel l’utilisateur veut
accéder.
• Serveur d’authentification (AS) : l’AS effectue l’authentification du client. Lorsque
l’authentification est réussie, l’AS émet un ticket au client, le TGT (Ticket Granting
Ticket). Ce ticket indique aux autres serveurs que le client a été authentifié.
• Serveur d’émission de tickets(TGS) : le TGS est un serveur d’application qui émet
des tickets de service.
• Centre de distribution de clés (KDC) : le KDC est composé d’un serveur
d’authentification (AS) et d’un serveur d’émission de tickets (TGS).
• 1re étape : le client envoie une requête chiffrée au serveur d’authentification. Lorsque
l’AS reçoit la requête, il cherche dans la base de données Kerberos le mot clé à l’aide
de l’identifiant utilisateur. Si l’utilisateur a donné le bon mot clé, l’AS déchiffre la
requête.
• 2e étape : après la vérification de l’utilisateur, l’AS émet un Ticket Granting Ticket
(TGT) qui est envoyé au client.
• 3e étape : le client envoie ensuite le TGT à un serveur d’émission de tickets. Avec le
TGT, le client « explique » la raison de l’accès au serveur hôte. Le TGS déchiffre le
ticket avec une clé secrète que l’AS et le TGS ont en commun.
• 4e étape : si le TGT est valide, le TGS émet un ticket de service pour le client.
• 5e étape : le client envoie le ticket de service au serveur hôte. Celui-ci déchiffre le
ticket avec la clé secrète qu’il partage avec le TGS.
• 6e étape : si la clé secrète correspond, le serveur hôte autorise l’accès du service au
client. Le ticket de service détermine combien de temps l’utilisateur peut utiliser le
service. Dès que l’autorisation d’accès au service expire, il peut renouveler le
processus d’authentification Kerberos grâce à une commande Kinit.

• L’authentification Kerberos englobe les trois composantes suivantes : le client, le

serveur hôte et le centre de distribution des clés (KDC).

5
Spécialité : Administration et sécurité des données Date : 23-10-2022
Module : Mise en œuvre d’une stratégie d’authentification Enseignante : K.Lebbal
Cours 01 : Définition exacte des notions d’authentification

Points forts et points faibles de Kerberos

Comme nous l’avons déjà vu, Kerberos est sensiblement plus sécurisé que NTLM. En effet,
l’autorisation par un tiers fait du service l’un des protocoles de vérification les plus sûrs du
monde informatique. En outre, les mots de passe ne sont jamais envoyés en texte brut sur le
réseau. Les « clés secrètes » ne sont transmises que sous forme chiffrée. Kerberos permet
également de retracer facilement qui a permis quoi et quand.
Des protocoles transparents et précis sont essentiels pour les audits de sécurité dans les
grandes et petites entreprises. Ces dernières disposent également d’un excellent contrôle des
accès au protocole. Le service permet en outre aux utilisateurs et systèmes de service
de s’authentifier mutuellement. À chaque étape du processus d’authentification, l’utilisateur
aussi bien que le système serveur savent qu’ils traitent avec un interlocuteur authentifié. Au fil
des années, les experts en sécurité ont tenté de pirater le projet open source ce qui lui a permis
de s’améliorer en continu.
Mais Kerberos a aussi des points faibles. Lorsqu’un serveur Kerberos tombe en panne,
l’utilisateur ne peut plus se connecter. Les mécanismes d’authentification de secours et les
serveurs secondaires servent souvent de solution à ces problèmes. Il existe également
des exigences strictes en matière de délais : les configurations de dates et heures des parties
concernées doivent systématiquement être synchronisées dans des limites prédéfinies. Si ce
n’est pas le cas, l’authentification échoue, car les tickets ne sont disponibles que dans une
certaine limite.
Certains systèmes hérités ne sont également pas compatibles avec les mécanismes
d’authentification par un tiers. Et bien que les mots de passe soient, en principe, sécurisés
dans l’authentification Kerberos, les pirates peuvent cependant y avoir accès grâce à
des attaques par force brute ou des attaques de phishing. C’est l’une des raisons pour
lesquelles l’authentification multi-facteurs (MFA) reste un moyen privilégié pour la
protection de l’identité en ligne.

6
Spécialité : Administration et sécurité des données Date : 23-10-2022
Module : Mise en œuvre d’une stratégie d’authentification Enseignante : K.Lebbal
Cours 01 : Définition exacte des notions d’authentification