L'authentification par certificat pour Active Directory : pourquoi elle devient essentielle avec la dépréciation de NTLM

Microsoft met fin à NT Lan Manager (NTLM), mais le remplacer dans les systèmes legacy, les applications et les intégrations tierces n'est pas une mince affaire. Pour gérer les accès distants exposés sur Internet, l'authentification par certificat client (CCA), également appelée authentification basée sur les certificats (CBA), est souvent la solution de remplacement la plus sécurisée. Voici dans quels cas la CCA peut remplacer NTLM, et comment UserLock facilite sa mise en œuvre dans deux contextes distincts : la sécurisation des accès distants, et l'extension de l'authentification sur site aux applications SaaS via le single sign-on (SSO) Active Directory.

NTLM est le protocole d'authentification Windows d'origine. Microsoft l'a introduit dans Windows NT dans les années 1990 pour authentifier les utilisateurs réseau auprès de NT Directory Services, l'ancêtre d'Active Directory (AD).

Ses limites en matière de sécurité sont rapidement devenues évidentes, poussant Microsoft à lui substituer Kerberos, un protocole plus sécurisé, dès l'an 2000. Mais Kerberos présente une contrainte de conception importante : pour fonctionner, il doit contacter un contrôleur de domaine (DC) pour la distribution des clés, ce qui nécessite une « ligne de vue » directe.

Cela fonctionne sur un réseau local (LAN) ou lors d'une connexion distante via VPN, mais pas lorsque la connexion transite par Internet. Dans ce cas, le DC se trouve derrière un pare-feu et ne peut pas être contacté directement.

NTLM, en revanche, est un simple protocole de défi-réponse capable d'authentifier les utilisateurs se connectant via un serveur IIS, RD Gateway ou Exchange, sans avoir besoin d'atteindre un DC. C'est cette caractéristique qui explique que NTLM reste utilisé pour les accès distants via Internet lorsqu'un VPN n'est pas disponible.

Microsoft a désormais officiellement décidé de mettre fin à NTLM, ce qui n'a rien de surprenant au vu de ses nombreuses failles de sécurité. Microsoft a d'abord supprimé NTLMv1 de Windows 11 version 24H2 et de Windows Server 2025. À partir de fin 2026, NTLM sera progressivement désactivé par défaut. À partir de cette date, toute organisation souhaitant continuer à l'utiliser devra l'activer explicitement, à ses propres risques.

La CCA est une méthode d'identification des appareils reposant sur le chiffrement à clé publique. L'organisation génère une clé publique, qu'elle associe à une clé privée pour chaque appareil autorisé à accéder au réseau. Lors d'une tentative de connexion, la première vérification porte sur le certificat X.509 de l'appareil, c'est-à-dire son identité par clé publique.

L'authentification par CCA est bien moins médiatisée que les identifiants classiques et l'authentification multifacteur (MFA), mais elle gagne en popularité auprès des grandes entreprises et des fournisseurs cloud, car elle offre un moyen de renforcer la résistance au phishing tout en s'inscrivant dans une logique de zéro confiance (zero trust).

En résumé : parce que chaque appareil doit disposer de son propre certificat CCA, la gestion de l'infrastructure de certificats peut s'avérer complexe et coûteuse. Historiquement, cela a cantonné la CCA aux grandes entreprises capables de supporter cet investissement.

Initié via un agent desktop, UserLock Anywhere permet de faire le pont entre l'authentification AD sur site et les utilisateurs se connectant via Internet sans accès VPN.

Grâce à UserLock Anywhere, les mêmes politiques AD et la même MFA s'appliquent aux utilisateurs distants, comme s'ils se connectaient depuis le réseau local ou via VPN.

UserLock Anywhere prend désormais en charge l'authentification par certificat client généré par l'appareil (CCA), stocké dans le module de plateforme sécurisée (TPM) de l'appareil ou son équivalent mobile.

De nombreux réseaux sur site peuvent aujourd'hui déployer la CCA grâce aux outils AD natifs, notamment Active Directory Certificate Services (AD CS), le rôle Windows Server dédié à l'émission et à la gestion des certificats à clé publique.

Le rôle de UserLock Anywhere et de UserLock SSO est d'étendre cette capacité aux utilisateurs se connectant via SSO ou à distance sur une connexion Internet non sécurisée. Point important : depuis UserLock 13.0, cette extension ne repose plus sur NTLM.

• UserLock SSO ajoute une couche supplémentaire de vérification d'identité lors de la connexion aux applications SaaS. Les certificats émis par l'autorité de certification de confiance de votre organisation (en alternative à AD CS) sont validés automatiquement à la connexion.

• UserLock Anywhere remplace NTLM par la CCA. Seuls les ordinateurs membres du domaine disposant de certificats AD valides peuvent ainsi communiquer de manière sécurisée avec le serveur UserLock — ce qui pérennise votre environnement à mesure que NTLM est supprimé.

Pour configurer l'authentification par certificat client dans UserLock Anywhere, l'agent doit être mis à jour vers UserLock 13.0. L'ordinateur doit disposer d'un certificat présent dans le module de plateforme sécurisée (TPM) local.

De plus, SSL doit être activé et les certificats client définis sur « Accepter » sur le serveur IIS hébergeant UserLock Anywhere, via les paramètres SSL de l'application ulproxy.

UserLock SSO, quant à lui, permet d'intégrer l'AD sur site aux applications cloud telles que Microsoft 365, UserLock SSO opérant comme fournisseur d'identité (IdP) de l'organisation. La CCA peut également être activée pour cette connectivité.