Domaine 5, troisième partie : le cycle de vie des accès, la gestion des privilèges, Kerberos pas à pas et les systèmes d'authentification.
Domaine
5 — Identity & Access Management · 13 %
Objectifs couverts
5.5 · 5.6
Entraînement
25 questions + corrigé raisonné
L'essentiel en 60 secondes
Cycle de vie : provisioning → revue périodique (recertification) → deprovisioning ; le maillon critique est la désactivation rapide.
Privilege creep : l'accumulation de droits aux mutations — combattue par les revues d'accès et le RBAC.
PAM : coffre des comptes privilégiés, élévation just-in-time, enregistrement des sessions, comptes break-glass.
Les comptes de service (non interactifs) : secrets à faire tourner, jamais de droits excessifs (cible du kerberoasting).
Kerberos = KDC (AS + TGS), TGT puis service tickets ; port 88 ; tout repose sur des timestamps (tolérance ~5 min).
Faiblesses Kerberos : le KDC est un SPOF ; sensible au décalage d'horloge et aux attaques de tickets (golden/silver).
LDAP/LDAPS (389/636) interroge l'annuaire (DIT, DN, bind) ; Active Directory en est la mise en œuvre Microsoft.
Authentification distante : PAP (clair !) < CHAP (défi-réponse) < EAP (cadre extensible).
Attaques mot de passe : dictionary, brute force, spraying (un mot de passe sur beaucoup de comptes), credential stuffing (identifiants réutilisés), rainbow.
Le provisioning lifecycle gère les droits d'un compte de sa création à sa suppression — un fil rouge du domaine 5 déjà croisé côté personnel (chapitre 2) :
Provisioning : à l'arrivée (onboarding), on accorde au moindre privilège les droits nécessaires au rôle — via RBAC de préférence.
Account access review / recertification : à intervalles réguliers, les responsables revalident que chaque accès est encore justifié. La revue couvre les comptes utilisateurs, systèmes et de service. C'est le contrôle détectif qui rattrape les dérives.
Role transition : à chaque mutation, retirer les anciens droits avant d'accorder les nouveaux — sinon apparaît le privilege creep (accumulation silencieuse de droits d'anciens postes, qui viole le moindre privilège). Une matrice de séparation des tâches vérifie qu'aucune combinaison toxique n'est accordée.
Deprovisioning : au départ (offboarding), désactiver les accès immédiatement (au moment de la notification, chapitre 2), révoquer les certificats, récupérer les tokens. Un compte oublié (orphaned account) est une porte dérobée idéale.
Objectif 5.5Escalade de privilèges et PAM
Les comptes privilégiés (admin, root) sont la cible n° 1 des attaquants — leur gestion mérite un traitement dédié :
Privilege escalation : verticale (un utilisateur standard obtient des droits admin — la faille, chapitre 8) vs horizontale (accès aux ressources d'un autre utilisateur de même niveau). La légitime passe par des mécanismes contrôlés.
sudo / managed service accounts : accorder une élévation ponctuelle et tracée plutôt qu'un compte admin permanent ; minimiser l'usage de sudo.
PAM (Privileged Access Management) : coffre-fort des identifiants privilégiés (vaulting), élévation just-in-time (le droit admin n'existe que le temps de la tâche), enregistrement des sessions (audit vidéo des actions privilégiées), rotation automatique des secrets.
Break-glass accounts : comptes d'urgence, hautement protégés et surveillés, utilisés seulement quand les mécanismes normaux échouent — chaque usage déclenche une alerte et une revue.
Service accounts : comptes non interactifs pour applications et services — souvent oubliés, sur-privilégiés et jamais changés. Bonnes pratiques : moindre privilège, rotation des secrets, pas d'usage interactif, surveillance renforcée (ils sont la cible du kerberoasting, ci-dessous).
🧠 Mnémonique — PAM
« Vault, JIT, Record. » Un bon PAM enferme les secrets (vault), n'accorde le privilège qu'au moment voulu (just-in-time), et filme tout (session recording). Le break-glass est l'extincteur derrière la vitre : brisable, mais chaque bris est vu.
Objectif 5.6Kerberos, pas à pas
Kerberos est le protocole d'authentification SSO d'Active Directory et de bien des environnements — un incontournable de l'examen. Ses composants :
KDC (Key Distribution Center) : l'autorité centrale, qui contient deux services — l'AS (Authentication Service) et le TGS (Ticket Granting Service).
TGT (Ticket Granting Ticket) : le « laissez-passer maître » remis après l'authentification initiale.
Service ticket : le ticket pour accéder à un service précis.
Principals : les identités (utilisateurs, services) enregistrées dans le KDC.
La séquence
Authentification (AS) : l'utilisateur s'authentifie auprès de l'AS. En retour, le KDC lui remet un TGT chiffré et une clé de session.
Demande de service (TGS) : pour atteindre un service, l'utilisateur présente son TGT au TGS et demande un ticket de service.
Ticket de service : le TGS émet un service ticket chiffré avec la clé du service cible.
Accès : l'utilisateur présente ce ticket au service, qui le déchiffre et accorde l'accès — sans jamais recontacter le KDC.
Tout repose sur des timestamps : chaque ticket est horodaté et à durée de vie limitée, ce qui contre le replay. Corollaire critique : les horloges doivent être synchronisées (tolérance d'environ 5 minutes par défaut) — d'où l'importance de NTP (chapitre 10). Le mot de passe de l'utilisateur ne circule jamais sur le réseau.
🧠 Mnémonique — Kerberos
« TGT d'abord, service ticket ensuite ; l'horloge à 5 minutes près. » AS authentifie → TGT ; TGS accorde → service ticket. Le KDC est le cerbère à trois têtes : un mythe, un SPOF, une cible.
Les faiblesses
Le KDC est un point de défaillance unique (SPOF) et une cible de choix : le compromettre, c'est compromettre le royaume — à redonder et protéger.
Sensibilité au décalage d'horloge : une dérive au-delà de la tolérance casse l'authentification.
Attaques de tickets (rappel chapitre 8) : pass the ticket, kerberoasting (casser hors ligne le haché d'un compte de service via son ticket — d'où l'exigence de mots de passe forts pour ces comptes), golden ticket (TGT forgé avec le haché de KRBTGT) et silver ticket (ticket de service forgé).
Objectif 5.6Les autres systèmes d'authentification
RADIUS / TACACS+ / Diameter : les protocoles AAA réseau détaillés au chapitre 12 (RADIUS = UDP, chiffre le mot de passe seul ; TACACS+ = TCP, chiffre tout, sépare l'AAA ; Diameter = successeur).
LDAP / LDAPS (389 / 636) : protocole d'interrogation d'un annuaire hiérarchique — le DIT (Directory Information Tree) organise les entrées, chacune identifiée par un DN (Distinguished Name) ; le bind authentifie la connexion (à faire en LDAPS, jamais en clair). Active Directory est l'implémentation Microsoft, combinant LDAP (annuaire), Kerberos (authentification) et DNS.
SAML / OAuth / OIDC : la fédération, vue au chapitre 14.
802.1X : contrôle d'accès au port (chapitre 11), s'appuyant sur EAP.
Authentification distante (protocoles PPP) :
Protocole
Mécanisme
Sécurité
PAP
Envoie identifiant/mot de passe en clair
Nulle — à proscrire
CHAP
Défi-réponse à base de haché, répété périodiquement
Correcte — le mot de passe ne circule pas
EAP
Cadre extensible (EAP-TLS, PEAP… — chapitre 11)
Variable, la plus forte avec EAP-TLS
Objectif 5.6Les attaques sur l'accès
Attaque
Principe
Contre-mesure
Dictionary
Essayer une liste de mots courants
Longueur, listes de compromission, key stretching
Brute force
Essayer toutes les combinaisons
Longueur, lockout, MFA
Password spraying
Un seul mot de passe courant testé sur beaucoup de comptes (évite le lockout)
Détection d'anomalie, MFA, interdiction des mots de passe courants
Credential stuffing
Rejouer des identifiants volés ailleurs (réutilisation)
MFA, unicité des mots de passe, détection
Rainbow table
Hachés précalculés
Salting (chapitre 8)
Pass the hash
Réutiliser un haché capturé (chapitre 8)
Limiter NTLM, isolation des comptes privilégiés
Côté humain (ingénierie sociale, approfondie au chapitre 19) : phishing (masse), spear phishing (ciblé), whaling (dirigeants), vishing (par téléphone), smishing (par SMS), shoulder surfing (regarder par-dessus l'épaule). La parade transverse à presque toutes ces attaques : le MFA (chapitre 13) — un mot de passe volé ou deviné ne suffit plus.
⚠️ Pièges d'examen
Privilege creep = accumulation aux mutations ; parade = revues d'accès + retirer avant d'accorder. Ce n'est pas une escalade d'attaquant.
Deprovisioning immédiat au départ ; les comptes orphelins sont des portes dérobées.
PAM = vault + JIT + session recording ; break-glass = urgence surveillée, pas un compte admin ordinaire.
Kerberos : AS → TGT, puis TGS → service ticket. Le TGT vient en premier.
Kerberos dépend des horloges (~5 min) → NTP indispensable ; le KDC est un SPOF.
Golden ticket = TGT forgé (KRBTGT) ; silver ticket = service ticket forgé ; kerberoasting vise les comptes de service.
PAP = clair (proscrit) ; CHAP = défi-réponse ; EAP = cadre extensible.
Password spraying (un mot de passe, beaucoup de comptes) ≠ credential stuffing (identifiants volés ailleurs) ≠ brute force (toutes les combinaisons sur un compte).
LDAP en clair (389) expose le bind ; utiliser LDAPS (636).
Le MFA neutralise la plupart des attaques par mot de passe — souvent la « BEST » réponse.
Scénario fil rouge — Awa
La revue d'accès annuelle post-fusion est édifiante : des dizaines de comptes orphelins d'anciens salariés de Berlin encore actifs, et un chef de projet cumulant les droits de trois postes successifs — privilege creep caractérisé. Awa impose une recertification trimestrielle et bascule tout en RBAC. Les comptes admin passent sous PAM : coffre des secrets, élévation just-in-time, sessions enregistrées, et deux comptes break-glass scellés pour les urgences. L'audit Kerberos révèle deux problèmes : un décalage d'horloge sur un contrôleur de domaine (NTP mal configuré) qui cassait des authentifications par intermittence, et des comptes de service à mots de passe faibles — cible parfaite du kerberoasting ; elle impose des phrases longues et la rotation. Le KDC, unique, est redondé. Enfin, la télémétrie détecte une campagne de password spraying (le mot de passe « Printemps2026 ! » testé sur des centaines de comptes) : le MFA généralisé au chapitre 13 la rend inoffensive, et les mots de passe saisonniers courants sont désormais bloqués.
Quiz25 questions
Conditions réelles : 30 minutes, une seule passe, réponses notées avant de consulter le corrigé.
Question 1
What is the purpose of a periodic account access review (recertification)?
To reset all passwords
To revalidate that each granted access is still justified
To increase network bandwidth
To encrypt user data
Voir la réponseRéponse : B
La recertification revalide que chaque accès reste justifié : le contrôle détectif qui rattrape les dérives (privilege creep, comptes orphelins). Elle ne touche ni aux mots de passe (A) ni au réseau (C).
Question 2
An employee who has changed roles several times has accumulated permissions from every previous position. What is this called?
Privilege escalation
Privilege creep
Separation of duties
Break-glass access
Voir la réponseRéponse : B
Accumuler les droits des postes successifs = privilege creep. L'escalade (A) est le fait d'un attaquant ; ici c'est une dérive administrative, corrigée par les revues.
Question 3
During a role transition, what is the correct order of operations?
Grant new permissions, then remove old ones later if needed
Remove permissions no longer required before or as new ones are granted
Keep all permissions to avoid disruption
Create a second account for the new role
Voir la réponseRéponse : B
Retirer les anciens droits avant/en accordant les nouveaux évite le privilege creep. Accorder puis « nettoyer plus tard » (A) ou tout garder (C) créent précisément la dérive.
Question 4
Why are orphaned accounts a security risk?
They consume too much storage
They remain active with no legitimate owner and can serve as a backdoor
They slow down the directory
They cannot be audited
Voir la réponseRéponse : B
Un compte orphelin reste actif sans propriétaire légitime : une porte dérobée idéale, non surveillée. Le stockage (A) et la performance (C) sont anecdotiques.
Question 5
Which capability is central to privileged access management (PAM)?
Broadcasting the SSID
Vaulting credentials, just-in-time elevation, and session recording
Assigning static public IPs
Disabling all logging
Voir la réponseRéponse : B
PAM = coffre des secrets + élévation JIT + enregistrement des sessions. Les autres options sont hors sujet.
Question 6
What is a break-glass account?
A shared account used daily by administrators
A highly protected emergency account whose every use triggers an alert and review
A guest account with no privileges
A service account for backups
Voir la réponseRéponse : B
Le break-glass est un compte d'urgence hautement protégé, dont chaque usage déclenche alerte et revue — pas un compte d'usage courant (A).
Question 7
Which practice grants administrative rights only for the duration of a specific task?
Permanent admin accounts
Just-in-time elevation
Shared root access
Disabling MFA
Voir la réponseRéponse : B
L'élévation just-in-time n'accorde le privilège que le temps de la tâche : la surface d'exposition disparaît ensuite. Les comptes admin permanents (A) sont l'anti-modèle.
Question 8
Which best practice applies to non-interactive service accounts?
Grant broad privileges and never change the password
Apply least privilege, rotate secrets, and forbid interactive logon
Share them among applications for simplicity
Use them for daily administrator logins
Voir la réponseRéponse : B
Moindre privilège, rotation des secrets, pas d'usage interactif : les fondamentaux des comptes de service, précisément pour couper court au kerberoasting. A décrit exactement la mauvaise pratique.
Question 9
In Kerberos, what does a user receive after successful initial authentication with the Authentication Service?
A service ticket
A ticket-granting ticket (TGT)
An access control list
A digital certificate
Voir la réponseRéponse : B
L'AS remet un TGT après l'authentification initiale. Le service ticket (A) vient plus tard, via le TGS. « TGT d'abord. »
Question 10
Which two services does the Kerberos KDC contain?
The Authentication Service (AS) and the Ticket Granting Service (TGS)
A firewall and a proxy
A DNS server and a DHCP server
An IdP and an SP
Voir la réponseRéponse : A
Le KDC contient l'AS (authentification) et le TGS (délivrance des tickets de service). Les autres paires n'ont rien à voir avec Kerberos.
Question 11
To access a specific service in Kerberos, what does the user present to the Ticket Granting Service?
Their password in clear text
Their TGT, to obtain a service ticket
An ACL
A rainbow table
Voir la réponseRéponse : B
L'utilisateur présente son TGT au TGS pour obtenir un ticket de service. Le mot de passe (A) ne circule jamais — c'est un principe fondateur de Kerberos.
Question 12
Why is time synchronization critical in a Kerberos environment?
To speed up ticket generation
Because tickets are timestamped and clock skew beyond tolerance (about 5 minutes) breaks authentication
To reduce bandwidth
Because passwords are sent in clear text
Voir la réponseRéponse : B
Les tickets sont horodatés : une dérive d'horloge au-delà de ~5 min casse l'authentification (protection anti-replay). D'où NTP. A et C sont hors sujet, D est faux.
Question 13
Which is a KEY weakness of Kerberos?
It sends passwords over the network in clear text
The KDC is a single point of failure and a high-value target
It does not use encryption
It requires no time synchronization
Voir la réponseRéponse : B
Le KDC centralise tout : SPOF et cible majeure — à redonder et durcir. Kerberos chiffre bien (C faux), ne transmet pas les mots de passe (A faux) et exige la synchronisation (D faux).
Question 14
An attacker forges a ticket-granting ticket using the KRBTGT account hash. What is this attack called?
Silver ticket
Golden ticket
Pass the hash
Password spraying
Voir la réponseRéponse : B
TGT forgé avec le haché de KRBTGT = golden ticket, accès quasi total au domaine. Le silver ticket (A) forge un ticket de service ciblé.
Question 15
Kerberoasting specifically targets what?
The physical KDC hardware
Service account hashes obtained via service tickets, cracked offline
The user's biometric template
The firewall rule set
Voir la réponseRéponse : B
Le kerberoasting demande des tickets de service et casse hors ligne le haché du compte de service : d'où l'importance de mots de passe forts pour ces comptes.
Question 16
Which port does Kerberos use?
53
88
389
636
Voir la réponseRéponse : B
Kerberos = 88. 53 = DNS, 389 = LDAP, 636 = LDAPS — tous à connaître (chapitre 10).
Question 17
In LDAP, what uniquely identifies an entry in the directory information tree?
The distinguished name (DN)
The MAC address
The TGT
The IP address
Voir la réponseRéponse : A
Le DN identifie de façon unique une entrée dans le DIT. MAC, TGT et IP n'ont aucun rôle d'identifiant LDAP.
Question 18
Which secure port should be used to protect LDAP directory queries?
389 (LDAP)
636 (LDAPS)
88 (Kerberos)
25 (SMTP)
Voir la réponseRéponse : B
LDAPS (636) chiffre les échanges d'annuaire, y compris le bind. Le LDAP en clair (389) expose les identifiants.
Question 19
Which remote authentication protocol transmits credentials in clear text and should never be used?
CHAP
PAP
EAP-TLS
Kerberos
Voir la réponseRéponse : B
PAP transmet identifiant et mot de passe en clair : à proscrire. CHAP (A) et EAP-TLS (C) protègent le secret.
Question 20
Which protocol uses a periodic challenge-response so the password never crosses the network?
PAP
CHAP
Telnet
HTTP
Voir la réponseRéponse : B
CHAP utilise un défi-réponse haché, répété périodiquement : le mot de passe ne circule jamais. PAP (A) l'envoie en clair.
Question 21
An attacker tries a single common password against hundreds of accounts to avoid lockout. Which attack is this?
Brute force
Password spraying
Credential stuffing
Rainbow table
Voir la réponseRéponse : B
Un mot de passe courant testé sur beaucoup de comptes = password spraying, conçu pour éviter le lockout par compte. Le brute force (A) s'acharne sur un seul compte.
Question 22
An attacker reuses username/password pairs stolen from another breached site. Which attack is this?
Password spraying
Credential stuffing
Dictionary attack
Shoulder surfing
Voir la réponseRéponse : B
Rejouer des identifiants volés ailleurs = credential stuffing, qui exploite la réutilisation des mots de passe. Le spraying (A) teste un mot de passe deviné, pas volé.
Question 23
Which control MOST effectively neutralizes stolen or guessed passwords across these attacks?
Longer session timeouts
Multi-factor authentication
Disabling account reviews
Sharing service accounts
Voir la réponseRéponse : B
Le MFA rend inutile un mot de passe volé ou deviné : c'est la parade transverse à spraying, stuffing, brute force et phishing. Souvent la « BEST » réponse du domaine 5.
Question 24
A targeted phishing email is sent specifically to a company's CEO. What is this called?
Vishing
Whaling
Smishing
Shoulder surfing
Voir la réponseRéponse : B
Cibler spécifiquement un dirigeant = whaling. Vishing (A) et smishing (C) sont par téléphone et SMS ; le shoulder surfing (D) est visuel.
Question 25
Which Microsoft technology combines LDAP, Kerberos, and DNS to provide directory and authentication services?
Active Directory
RADIUS
OAuth
TACACS+
Voir la réponseRéponse : A
Active Directory combine LDAP (annuaire), Kerberos (authentification) et DNS. RADIUS, OAuth et TACACS+ sont d'autres mécanismes distincts.
Auto-diagnostic
≥ 20/25 : le domaine 5 est bouclé — cap sur le domaine 6 (chapitre 16). Entre 15 et 19 : récitez la séquence Kerberos et la distinction spraying/stuffing. < 15 : relisez le chapitre ; Kerberos est un incontournable dont chaque étape peut être testée.
FicheFiche de révision
À savoir par cœur avant le chapitre 16
Cycle de vie : provisioning (moindre privilège) → recertification périodique → deprovisioning immédiat.
Privilege creep = accumulation aux mutations ; retirer avant d'accorder ; matrice de SoD.
Comptes orphelins = portes dérobées ; désactivation à la notification du départ.
PPP : PAP (clair, proscrit) < CHAP (défi-réponse) < EAP (extensible).
Attaques : dictionary · brute force (un compte) · spraying (un mot de passe, beaucoup de comptes) · credential stuffing (identifiants volés ailleurs) · rainbow (contré par sel).
Social : phishing/spear/whaling, vishing, smishing, shoulder surfing.
MFA = parade transverse aux attaques par mot de passe (souvent la BEST réponse).
Ce site utilise des cookies de mesure d'audience (Google Analytics) pour comprendre sa fréquentation. Vous pouvez accepter ou refuser — votre choix est conservé.