CISSP · Réussir du premier coup

Chapitre 15
Lifecycle des identités
et Kerberos

Domaine 5, troisième partie : le cycle de vie des accès, la gestion des privilèges, Kerberos pas à pas et les systèmes d'authentification.

Domaine
5 — Identity & Access Management · 13 %
Objectifs couverts
5.5 · 5.6
Entraînement
25 questions + corrigé raisonné
L'essentiel en 60 secondes
  • Cycle de vie : provisioning → revue périodique (recertification) → deprovisioning ; le maillon critique est la désactivation rapide.
  • Privilege creep : l'accumulation de droits aux mutations — combattue par les revues d'accès et le RBAC.
  • PAM : coffre des comptes privilégiés, élévation just-in-time, enregistrement des sessions, comptes break-glass.
  • Les comptes de service (non interactifs) : secrets à faire tourner, jamais de droits excessifs (cible du kerberoasting).
  • Kerberos = KDC (AS + TGS), TGT puis service tickets ; port 88 ; tout repose sur des timestamps (tolérance ~5 min).
  • Faiblesses Kerberos : le KDC est un SPOF ; sensible au décalage d'horloge et aux attaques de tickets (golden/silver).
  • LDAP/LDAPS (389/636) interroge l'annuaire (DIT, DN, bind) ; Active Directory en est la mise en œuvre Microsoft.
  • Authentification distante : PAP (clair !) < CHAP (défi-réponse) < EAP (cadre extensible).
  • Attaques mot de passe : dictionary, brute force, spraying (un mot de passe sur beaucoup de comptes), credential stuffing (identifiants réutilisés), rainbow.
  • Ingénierie sociale : phishing/spear/whaling, vishing, smishing, shoulder surfing.

Objectif 5.5Le cycle de vie des accès

Le provisioning lifecycle gère les droits d'un compte de sa création à sa suppression — un fil rouge du domaine 5 déjà croisé côté personnel (chapitre 2) :

Objectif 5.5Escalade de privilèges et PAM

Les comptes privilégiés (admin, root) sont la cible n° 1 des attaquants — leur gestion mérite un traitement dédié :

🧠 Mnémonique — PAM

« Vault, JIT, Record. » Un bon PAM enferme les secrets (vault), n'accorde le privilège qu'au moment voulu (just-in-time), et filme tout (session recording). Le break-glass est l'extincteur derrière la vitre : brisable, mais chaque bris est vu.

Objectif 5.6Kerberos, pas à pas

Kerberos est le protocole d'authentification SSO d'Active Directory et de bien des environnements — un incontournable de l'examen. Ses composants :

La séquence

  1. Authentification (AS) : l'utilisateur s'authentifie auprès de l'AS. En retour, le KDC lui remet un TGT chiffré et une clé de session.
  2. Demande de service (TGS) : pour atteindre un service, l'utilisateur présente son TGT au TGS et demande un ticket de service.
  3. Ticket de service : le TGS émet un service ticket chiffré avec la clé du service cible.
  4. Accès : l'utilisateur présente ce ticket au service, qui le déchiffre et accorde l'accès — sans jamais recontacter le KDC.

Tout repose sur des timestamps : chaque ticket est horodaté et à durée de vie limitée, ce qui contre le replay. Corollaire critique : les horloges doivent être synchronisées (tolérance d'environ 5 minutes par défaut) — d'où l'importance de NTP (chapitre 10). Le mot de passe de l'utilisateur ne circule jamais sur le réseau.

🧠 Mnémonique — Kerberos

« TGT d'abord, service ticket ensuite ; l'horloge à 5 minutes près. » AS authentifie → TGT ; TGS accorde → service ticket. Le KDC est le cerbère à trois têtes : un mythe, un SPOF, une cible.

Les faiblesses

Objectif 5.6Les autres systèmes d'authentification

Objectif 5.6Les attaques sur l'accès

AttaquePrincipeContre-mesure
DictionaryEssayer une liste de mots courantsLongueur, listes de compromission, key stretching
Brute forceEssayer toutes les combinaisonsLongueur, lockout, MFA
Password sprayingUn seul mot de passe courant testé sur beaucoup de comptes (évite le lockout)Détection d'anomalie, MFA, interdiction des mots de passe courants
Credential stuffingRejouer des identifiants volés ailleurs (réutilisation)MFA, unicité des mots de passe, détection
Rainbow tableHachés précalculésSalting (chapitre 8)
Pass the hashRéutiliser un haché capturé (chapitre 8)Limiter NTLM, isolation des comptes privilégiés

Côté humain (ingénierie sociale, approfondie au chapitre 19) : phishing (masse), spear phishing (ciblé), whaling (dirigeants), vishing (par téléphone), smishing (par SMS), shoulder surfing (regarder par-dessus l'épaule). La parade transverse à presque toutes ces attaques : le MFA (chapitre 13) — un mot de passe volé ou deviné ne suffit plus.

⚠️ Pièges d'examen
  • Privilege creep = accumulation aux mutations ; parade = revues d'accès + retirer avant d'accorder. Ce n'est pas une escalade d'attaquant.
  • Deprovisioning immédiat au départ ; les comptes orphelins sont des portes dérobées.
  • PAM = vault + JIT + session recording ; break-glass = urgence surveillée, pas un compte admin ordinaire.
  • Kerberos : AS → TGT, puis TGS → service ticket. Le TGT vient en premier.
  • Kerberos dépend des horloges (~5 min) → NTP indispensable ; le KDC est un SPOF.
  • Golden ticket = TGT forgé (KRBTGT) ; silver ticket = service ticket forgé ; kerberoasting vise les comptes de service.
  • PAP = clair (proscrit) ; CHAP = défi-réponse ; EAP = cadre extensible.
  • Password spraying (un mot de passe, beaucoup de comptes) ≠ credential stuffing (identifiants volés ailleurs) ≠ brute force (toutes les combinaisons sur un compte).
  • LDAP en clair (389) expose le bind ; utiliser LDAPS (636).
  • Le MFA neutralise la plupart des attaques par mot de passe — souvent la « BEST » réponse.
Scénario fil rouge — Awa

La revue d'accès annuelle post-fusion est édifiante : des dizaines de comptes orphelins d'anciens salariés de Berlin encore actifs, et un chef de projet cumulant les droits de trois postes successifs — privilege creep caractérisé. Awa impose une recertification trimestrielle et bascule tout en RBAC. Les comptes admin passent sous PAM : coffre des secrets, élévation just-in-time, sessions enregistrées, et deux comptes break-glass scellés pour les urgences. L'audit Kerberos révèle deux problèmes : un décalage d'horloge sur un contrôleur de domaine (NTP mal configuré) qui cassait des authentifications par intermittence, et des comptes de service à mots de passe faibles — cible parfaite du kerberoasting ; elle impose des phrases longues et la rotation. Le KDC, unique, est redondé. Enfin, la télémétrie détecte une campagne de password spraying (le mot de passe « Printemps2026 ! » testé sur des centaines de comptes) : le MFA généralisé au chapitre 13 la rend inoffensive, et les mots de passe saisonniers courants sont désormais bloqués.


Quiz25 questions

Conditions réelles : 30 minutes, une seule passe, réponses notées avant de consulter le corrigé.

Question 1

What is the purpose of a periodic account access review (recertification)?

  1. To reset all passwords
  2. To revalidate that each granted access is still justified
  3. To increase network bandwidth
  4. To encrypt user data
Voir la réponse Réponse : B

La recertification revalide que chaque accès reste justifié : le contrôle détectif qui rattrape les dérives (privilege creep, comptes orphelins). Elle ne touche ni aux mots de passe (A) ni au réseau (C).

Question 2

An employee who has changed roles several times has accumulated permissions from every previous position. What is this called?

  1. Privilege escalation
  2. Privilege creep
  3. Separation of duties
  4. Break-glass access
Voir la réponse Réponse : B

Accumuler les droits des postes successifs = privilege creep. L'escalade (A) est le fait d'un attaquant ; ici c'est une dérive administrative, corrigée par les revues.

Question 3

During a role transition, what is the correct order of operations?

  1. Grant new permissions, then remove old ones later if needed
  2. Remove permissions no longer required before or as new ones are granted
  3. Keep all permissions to avoid disruption
  4. Create a second account for the new role
Voir la réponse Réponse : B

Retirer les anciens droits avant/en accordant les nouveaux évite le privilege creep. Accorder puis « nettoyer plus tard » (A) ou tout garder (C) créent précisément la dérive.

Question 4

Why are orphaned accounts a security risk?

  1. They consume too much storage
  2. They remain active with no legitimate owner and can serve as a backdoor
  3. They slow down the directory
  4. They cannot be audited
Voir la réponse Réponse : B

Un compte orphelin reste actif sans propriétaire légitime : une porte dérobée idéale, non surveillée. Le stockage (A) et la performance (C) sont anecdotiques.

Question 5

Which capability is central to privileged access management (PAM)?

  1. Broadcasting the SSID
  2. Vaulting credentials, just-in-time elevation, and session recording
  3. Assigning static public IPs
  4. Disabling all logging
Voir la réponse Réponse : B

PAM = coffre des secrets + élévation JIT + enregistrement des sessions. Les autres options sont hors sujet.

Question 6

What is a break-glass account?

  1. A shared account used daily by administrators
  2. A highly protected emergency account whose every use triggers an alert and review
  3. A guest account with no privileges
  4. A service account for backups
Voir la réponse Réponse : B

Le break-glass est un compte d'urgence hautement protégé, dont chaque usage déclenche alerte et revue — pas un compte d'usage courant (A).

Question 7

Which practice grants administrative rights only for the duration of a specific task?

  1. Permanent admin accounts
  2. Just-in-time elevation
  3. Shared root access
  4. Disabling MFA
Voir la réponse Réponse : B

L'élévation just-in-time n'accorde le privilège que le temps de la tâche : la surface d'exposition disparaît ensuite. Les comptes admin permanents (A) sont l'anti-modèle.

Question 8

Which best practice applies to non-interactive service accounts?

  1. Grant broad privileges and never change the password
  2. Apply least privilege, rotate secrets, and forbid interactive logon
  3. Share them among applications for simplicity
  4. Use them for daily administrator logins
Voir la réponse Réponse : B

Moindre privilège, rotation des secrets, pas d'usage interactif : les fondamentaux des comptes de service, précisément pour couper court au kerberoasting. A décrit exactement la mauvaise pratique.

Question 9

In Kerberos, what does a user receive after successful initial authentication with the Authentication Service?

  1. A service ticket
  2. A ticket-granting ticket (TGT)
  3. An access control list
  4. A digital certificate
Voir la réponse Réponse : B

L'AS remet un TGT après l'authentification initiale. Le service ticket (A) vient plus tard, via le TGS. « TGT d'abord. »

Question 10

Which two services does the Kerberos KDC contain?

  1. The Authentication Service (AS) and the Ticket Granting Service (TGS)
  2. A firewall and a proxy
  3. A DNS server and a DHCP server
  4. An IdP and an SP
Voir la réponse Réponse : A

Le KDC contient l'AS (authentification) et le TGS (délivrance des tickets de service). Les autres paires n'ont rien à voir avec Kerberos.

Question 11

To access a specific service in Kerberos, what does the user present to the Ticket Granting Service?

  1. Their password in clear text
  2. Their TGT, to obtain a service ticket
  3. An ACL
  4. A rainbow table
Voir la réponse Réponse : B

L'utilisateur présente son TGT au TGS pour obtenir un ticket de service. Le mot de passe (A) ne circule jamais — c'est un principe fondateur de Kerberos.

Question 12

Why is time synchronization critical in a Kerberos environment?

  1. To speed up ticket generation
  2. Because tickets are timestamped and clock skew beyond tolerance (about 5 minutes) breaks authentication
  3. To reduce bandwidth
  4. Because passwords are sent in clear text
Voir la réponse Réponse : B

Les tickets sont horodatés : une dérive d'horloge au-delà de ~5 min casse l'authentification (protection anti-replay). D'où NTP. A et C sont hors sujet, D est faux.

Question 13

Which is a KEY weakness of Kerberos?

  1. It sends passwords over the network in clear text
  2. The KDC is a single point of failure and a high-value target
  3. It does not use encryption
  4. It requires no time synchronization
Voir la réponse Réponse : B

Le KDC centralise tout : SPOF et cible majeure — à redonder et durcir. Kerberos chiffre bien (C faux), ne transmet pas les mots de passe (A faux) et exige la synchronisation (D faux).

Question 14

An attacker forges a ticket-granting ticket using the KRBTGT account hash. What is this attack called?

  1. Silver ticket
  2. Golden ticket
  3. Pass the hash
  4. Password spraying
Voir la réponse Réponse : B

TGT forgé avec le haché de KRBTGT = golden ticket, accès quasi total au domaine. Le silver ticket (A) forge un ticket de service ciblé.

Question 15

Kerberoasting specifically targets what?

  1. The physical KDC hardware
  2. Service account hashes obtained via service tickets, cracked offline
  3. The user's biometric template
  4. The firewall rule set
Voir la réponse Réponse : B

Le kerberoasting demande des tickets de service et casse hors ligne le haché du compte de service : d'où l'importance de mots de passe forts pour ces comptes.

Question 16

Which port does Kerberos use?

  1. 53
  2. 88
  3. 389
  4. 636
Voir la réponse Réponse : B

Kerberos = 88. 53 = DNS, 389 = LDAP, 636 = LDAPS — tous à connaître (chapitre 10).

Question 17

In LDAP, what uniquely identifies an entry in the directory information tree?

  1. The distinguished name (DN)
  2. The MAC address
  3. The TGT
  4. The IP address
Voir la réponse Réponse : A

Le DN identifie de façon unique une entrée dans le DIT. MAC, TGT et IP n'ont aucun rôle d'identifiant LDAP.

Question 18

Which secure port should be used to protect LDAP directory queries?

  1. 389 (LDAP)
  2. 636 (LDAPS)
  3. 88 (Kerberos)
  4. 25 (SMTP)
Voir la réponse Réponse : B

LDAPS (636) chiffre les échanges d'annuaire, y compris le bind. Le LDAP en clair (389) expose les identifiants.

Question 19

Which remote authentication protocol transmits credentials in clear text and should never be used?

  1. CHAP
  2. PAP
  3. EAP-TLS
  4. Kerberos
Voir la réponse Réponse : B

PAP transmet identifiant et mot de passe en clair : à proscrire. CHAP (A) et EAP-TLS (C) protègent le secret.

Question 20

Which protocol uses a periodic challenge-response so the password never crosses the network?

  1. PAP
  2. CHAP
  3. Telnet
  4. HTTP
Voir la réponse Réponse : B

CHAP utilise un défi-réponse haché, répété périodiquement : le mot de passe ne circule jamais. PAP (A) l'envoie en clair.

Question 21

An attacker tries a single common password against hundreds of accounts to avoid lockout. Which attack is this?

  1. Brute force
  2. Password spraying
  3. Credential stuffing
  4. Rainbow table
Voir la réponse Réponse : B

Un mot de passe courant testé sur beaucoup de comptes = password spraying, conçu pour éviter le lockout par compte. Le brute force (A) s'acharne sur un seul compte.

Question 22

An attacker reuses username/password pairs stolen from another breached site. Which attack is this?

  1. Password spraying
  2. Credential stuffing
  3. Dictionary attack
  4. Shoulder surfing
Voir la réponse Réponse : B

Rejouer des identifiants volés ailleurs = credential stuffing, qui exploite la réutilisation des mots de passe. Le spraying (A) teste un mot de passe deviné, pas volé.

Question 23

Which control MOST effectively neutralizes stolen or guessed passwords across these attacks?

  1. Longer session timeouts
  2. Multi-factor authentication
  3. Disabling account reviews
  4. Sharing service accounts
Voir la réponse Réponse : B

Le MFA rend inutile un mot de passe volé ou deviné : c'est la parade transverse à spraying, stuffing, brute force et phishing. Souvent la « BEST » réponse du domaine 5.

Question 24

A targeted phishing email is sent specifically to a company's CEO. What is this called?

  1. Vishing
  2. Whaling
  3. Smishing
  4. Shoulder surfing
Voir la réponse Réponse : B

Cibler spécifiquement un dirigeant = whaling. Vishing (A) et smishing (C) sont par téléphone et SMS ; le shoulder surfing (D) est visuel.

Question 25

Which Microsoft technology combines LDAP, Kerberos, and DNS to provide directory and authentication services?

  1. Active Directory
  2. RADIUS
  3. OAuth
  4. TACACS+
Voir la réponse Réponse : A

Active Directory combine LDAP (annuaire), Kerberos (authentification) et DNS. RADIUS, OAuth et TACACS+ sont d'autres mécanismes distincts.

Auto-diagnostic

≥ 20/25 : le domaine 5 est bouclé — cap sur le domaine 6 (chapitre 16). Entre 15 et 19 : récitez la séquence Kerberos et la distinction spraying/stuffing. < 15 : relisez le chapitre ; Kerberos est un incontournable dont chaque étape peut être testée.

FicheFiche de révision

À savoir par cœur avant le chapitre 16
  1. Cycle de vie : provisioning (moindre privilège) → recertification périodique → deprovisioning immédiat.
  2. Privilege creep = accumulation aux mutations ; retirer avant d'accorder ; matrice de SoD.
  3. Comptes orphelins = portes dérobées ; désactivation à la notification du départ.
  4. PAM : vault + JIT elevation + session recording ; break-glass = urgence surveillée.
  5. Comptes de service : moindre privilège, rotation des secrets, pas d'interactif (cible du kerberoasting).
  6. Escalade verticale (droits admin) vs horizontale (autre utilisateur de même niveau).
  7. Kerberos : KDC = AS + TGS ; AS → TGT, puis TGS → service ticket ; port 88.
  8. Tout repose sur les timestamps (tolérance ~5 min) → NTP ; le mot de passe ne circule jamais.
  9. Faiblesses Kerberos : KDC = SPOF, décalage d'horloge, golden ticket (KRBTGT), silver ticket, kerberoasting, pass the ticket.
  10. LDAP/LDAPS (389/636) : DIT, DN, bind ; AD = LDAP + Kerberos + DNS.
  11. PPP : PAP (clair, proscrit) < CHAP (défi-réponse) < EAP (extensible).
  12. Attaques : dictionary · brute force (un compte) · spraying (un mot de passe, beaucoup de comptes) · credential stuffing (identifiants volés ailleurs) · rainbow (contré par sel).
  13. Social : phishing/spear/whaling, vishing, smishing, shoulder surfing.
  14. MFA = parade transverse aux attaques par mot de passe (souvent la BEST réponse).