II.1.1.2.4 - Kerberos (standard utilisé par Windows et bien d'autres systèmes)

Mis au point dans les années 1990, Kerberos a été créé par Massachusetts Institute of Technology (MIT) pour résoudre ces problèmes de sécurité réseau. Il s'agit d'un protocole d'authentification AAA (Authentication Authorization Accounting) issu du projet « Athena ». Le protocole Kerberos a été normalisé dans sa version 5 par l'IETF dans les RFC 1510 (en septembre 1993) et RFC 1964 (juin 1996)^16(*) . Il est maintenant très largement déployé et est disponible dans tous les environnements (Linux, Windows, Mac OS...).Kerberos utilise un système de chiffrement symétrique pour assurer un dialogue sécurisé entre deux protagonistes. Les dialogues s'opèrent en utilisant une clé secrète et partagée. Les algorithmes de chiffrement sont publics (AES, DES, 3DES...), toute la sécurité du système repose sur la confidentialité de la clef de chiffrement.

Il est conçu pour fournir une authentification forte aux applications client / serveur en utilisant une cryptographie à clé secrète.

II.1.1.2.5 -Le Central Authentication Service (CAS) : Mécanisme d'authentification et de SSO17(*)

Le Central Authentication Service (CAS) est un système d'authentification unique (SSO) pour le web développé par Shawn Bayern de l'Université Yale. CAS est essentiellement un protocole basé sur des requêtes HTTP pures. Certains messages sont cependant formatés en XML.Ce protocole est basé sur une notion d'échange de tickets, un peu à la manière de Kerberos.

II.1.1.2.6 - RADIUS

Le protocole RADIUS (Remote Authentication Dial-In User Service) a été développé à l'origine par Steve Willens pour la société Livingston Enterprises comme un serveur d'authentification et d'accounting. Bien qu'il soit un protocole d'authentification, d'accounting mais pas d'autorisation, le protocole RADIUS fait pourtant parti de la famille des protocoles AAA. Devenu depuis la propriété de Lucent Technologie, il appartient maintenant au domaine public et a été amendé par plusieurs RFC^18(*) consécutives. La première normalisation a été celle énoncée par la RFC 2058 en 1997, elle fut modifiée dans la RFC 2138 et la version actuelle est la RFC 2868.

II.1.1.2.7 - CHAP (Challenge Handshake Authentication Protocol)19(*)

Il s'agit d'une procédure qui est plus sécurisée puisqu'elle permet de se connecter à un système. La particularité de ce protocole c'est qu'il fonctionne en mode défi-réponse, en d'autres termes, après que le lien ait été fait, le serveur transmet un message à celui qui tente de se connecter. Le demandeur répond par la suite en utilisant une valeur obtenue à l'aide d'une fonction à sens unique de données parasites. Le serveur gère la réponse et la compare en calculant la valeur prévue des mêmes informations. Dans le cas où les valeurs sont compatibles, l'authentification sera reconnue et la connexion est autorisée. Les identificateurs de CHAP sont régulièrement modifiés et l'authentification peut être demandée par le serveur plusieurs fois.

* ¹⁶https://blog.devensys.com/kerberos-principe-de-fonctionnement, Léo GONZALES, Kerberos : Principe de fonctionnement, Consulté le 23 Juillet 2019

* ¹⁷https://fr.wikipedia.org/wiki/Central_Authentication_Service, Wikipedia, Central Authentication Service, Consulté le 23 Juillet 2019

* ¹⁸https://fr.wikipedia.org/wiki/Request_for_comments, Wikipedia, Request for comments,Consulté le 22 Juillet 2019

* ¹⁹https://www.guill.net/view.php?cat=4&sec=2&cqr=4, S.Coze et S.Heldebaume de l'IUP du Littoral, Les protocoles d'authentification,Consulté le 22 Juillet 2019