IT Glossary

Kerberos

Kerberos est le protocole d'authentification réseau utilisé dans Active Directory. Découvrez comment fonctionne Kerberos, ses tickets, et son rôle dans les environnements hybrides.

June 8, 2026

Kerberos est un protocole d'authentification réseau basé sur des tickets cryptographiques qui permet à des entités de se prouver mutuellement leur identité sur un réseau non sécurisé, sans jamais transmettre de mot de passe. Développé par le MIT et adopté par Microsoft dans Active Directory, il est le mécanisme d'authentification par défaut des environnements Windows d'entreprise.

Comment fonctionne Kerberos

L'utilisateur s'authentifie auprès du KDC (Key Distribution Center).
Le KDC délivre un Ticket Granting Ticket (TGT) chiffré.
Pour accéder à un service, l'utilisateur présente son TGT et reçoit un ticket de service.
Le service vérifie le ticket sans contacter le KDC à chaque requête.
Les tickets ont une durée de vie limitée, ce qui réduit l'exposition.

Composants Kerberos

Composant	Rôle
KDC	Centre de distribution des tickets
AS (Authentication Service)	Émet le TGT initial
TGS (Ticket Granting Service)	Émet les tickets de service
Ticket de service	Autorisation d'accès à une ressource

Exemples et cas d'usage

Dans un réseau Windows, chaque connexion à un partage de fichiers, une imprimante ou un serveur utilise Kerberos de façon transparente. C'est l'authentification SSO native des environnements Active Directory. Dans les architectures hybrides, Kerberos couvre l'on-premises, tandis que SAML et OIDC prennent le relais pour les applications SaaS cloud.

Concepts associés

LDAP et Single Sign-On (SSO)
Fournisseur d'identité (IdP)
Article : L'IAM avec Active Directory expliqué simplement
Solution : Corma pour les équipes IT

FAQ

Kerberos est-il encore utilisé ?

‍Oui. Il reste le protocole dominant dans les environnements Active Directory. Dans les architectures hybrides, il couvre l'on-premises pendant que SAML/OIDC couvre le SaaS.

Quelle est la principale vulnérabilité de Kerberos ?

‍Les attaques Kerberoasting (vol de tickets de service pour des comptes de service) et Pass-the-Ticket (réutilisation de tickets volés) sont les plus courantes. La surveillance des tickets et la rotation des mots de passe des comptes de service en atténuent les risques.

Kerberos peut-il être utilisé pour les applications SaaS ?

‍Rarement en direct. Les SaaS nécessitent SAML ou OIDC. Kerberos peut servir de mécanisme d'authentification sous-jacent dans un IdP hybride qui expose ensuite du SAML.

Corma couvre la gouvernance des accès dans les environnements hybrides, on-premises et SaaS. Voir gouvernance des identités ou demandez une démo.