Authentification mutuelle
Qu'est-ce que Authentification mutuelle ?
Authentification mutuelleEchange d'authentification ou les deux parties — client et serveur, ou deux services — prouvent cryptographiquement leur identite avant d'echanger des donnees.
L'authentification mutuelle, ou bidirectionnelle, exige que les deux extremites verifient l'identite de l'autre, pas seulement le serveur face au client. L'implementation dominante est aujourd'hui le mutual TLS (mTLS) defini dans le RFC 8446 pour TLS 1.3 : chaque cote presente un certificat X.509 valide via une autorite privee. Autres exemples : AP-REQ/AP-REP de Kerberos, SSH avec authentification d'hote et de cle, IPsec IKEv2 par certificat et ceremonies FIDO2/WebAuthn avec attestation. C'est une exigence des service meshes (Istio, Linkerd, Consul) et des architectures zero trust comme Google BeyondCorp, ou chaque appel workload-a-workload est authentifie avec une identite SPIFFE a courte duree. Elle protege contre l'usurpation, le man-in-the-middle et les services pirates.
● Exemples
- 01
Service mesh Istio appliquant le mTLS entre chaque paire de microservices dans un cluster Kubernetes.
- 02
API bancaires exigeant un certificat client emis par la CA privee de la banque, en plus des jetons OAuth.
● Questions fréquentes
Qu'est-ce que Authentification mutuelle ?
Echange d'authentification ou les deux parties — client et serveur, ou deux services — prouvent cryptographiquement leur identite avant d'echanger des donnees. Cette notion relève de la catégorie Identité et accès en cybersécurité.
Que signifie Authentification mutuelle ?
Echange d'authentification ou les deux parties — client et serveur, ou deux services — prouvent cryptographiquement leur identite avant d'echanger des donnees.
Comment fonctionne Authentification mutuelle ?
L'authentification mutuelle, ou bidirectionnelle, exige que les deux extremites verifient l'identite de l'autre, pas seulement le serveur face au client. L'implementation dominante est aujourd'hui le mutual TLS (mTLS) defini dans le RFC 8446 pour TLS 1.3 : chaque cote presente un certificat X.509 valide via une autorite privee. Autres exemples : AP-REQ/AP-REP de Kerberos, SSH avec authentification d'hote et de cle, IPsec IKEv2 par certificat et ceremonies FIDO2/WebAuthn avec attestation. C'est une exigence des service meshes (Istio, Linkerd, Consul) et des architectures zero trust comme Google BeyondCorp, ou chaque appel workload-a-workload est authentifie avec une identite SPIFFE a courte duree. Elle protege contre l'usurpation, le man-in-the-middle et les services pirates.
Comment se défendre contre Authentification mutuelle ?
Les défenses contre Authentification mutuelle combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Authentification mutuelle ?
Noms alternatifs courants : Authentification bidirectionnelle, TLS mutuel, mTLS.
● Termes liés
- network-security№ 1159
TLS (Transport Layer Security)
Protocole cryptographique standardisé par l'IETF qui fournit confidentialité, intégrité et authentification au trafic entre deux applications en réseau.
- network-security№ 157
Épinglage de certificats
Technique par laquelle une application code en dur un certificat ou une clé publique attendue et refuse les connexions TLS non conformes, contrant les autorités de certification compromises ou pirates.
- network-security№ 878
Infrastructure à clé publique (PKI)
Ensemble de politiques, logiciels, matériels et autorités de confiance qui émettent, distribuent, valident et révoquent les certificats numériques liant identités et clés publiques.
- network-security№ 156
Autorité de certification (CA)
Entité de confiance qui émet et signe des certificats numériques, liant des clés publiques à des identités vérifiées telles que des noms de domaine ou des organisations.
- identity-access№ 584
Kerberos
Protocole d'authentification réseau à base de tickets utilisant la cryptographie symétrique et un Centre de Distribution de Clés de confiance pour offrir une authentification unique sécurisée.
- identity-access№ 076
Authentification
Processus consistant à vérifier qu'une entité — utilisateur, appareil ou service — est bien celle qu'elle prétend être avant de lui accorder un accès.