Nouvelle réglementation de cybersécurité 2026 en vigueur au Maroc. Obtenir un audit de conformité gratuit →
← Retour au blog
Ethical-hacking 2025-05-05 ⏱️ 14 min

Exploitation Active Directory : Comprendre Kerberoasting et AS-REP Roasting

Exploitation Active Directory : Explication du Kerberoasting et de l'AS-REP Roasting

L'Active Directory (AD) est le système nerveux central de plus de 90% des réseaux d'entreprise. Par conséquent, l'exploitation de l'AD est la pierre angulaire des tests d'intrusion de réseau interne et des cyberattaques modernes.

Parmi l'arsenal utilisé, le vol d'identités et de mots de passe via le protocole Kerberos est favorisé par les attaquants car il opère de la même manière que le trafic légitime. Dans ce tutoriel approfondi, la Red Team de Cayvora Security détaille la mécanique de deux attaques dévastatrices : Kerberoasting et AS-REP Roasting.

Les Fondements de la Vulnérabilité (Kerberos)

L'erreur globale qui permet le piratage via Kerberoasting et AS-REP Roasting provient du fait que des parties des "tickets" de connexion de Kerberos sont renvoyées par le serveur tout en étant chiffrées à l'aide de l'empreinte NTLM (le hachage du mot de passe).

1. Kerberoasting

Kerberoasting est une technique efficace d'élévation de privilèges : tout utilisateur authentifié peut demander un ticket pour un compte de "Service", l'extraire, puis craquer son mot de passe hors ligne.

Le Problème des Comptes de Service

Historiquement, les équipes informatiques configuraient ces comptes de service (MS SQL, IIS) avec deux défauts fatals : 1. "Le mot de passe n'expire jamais" est coché. 2. Le mot de passe utilisé est souvent faible, et inchangé depuis des années.

Exécution de l'Attaque

  1. L'attaquant recherche les comptes liés à un SPN (Service Principal Name).
  2. L'attaquant demande un Ticket TGS au contrôleur de domaine (KDC).
  3. Le KDC fournit le ticket chiffré avec le hachage du mot de passe du service.
  4. L'attaquant l'extrait pour un craquage hors ligne (sur une machine puissante via Hashcat).

Ce processus s'effectue hors ligne, contournant toutes les stratégies de verrouillage de compte et les alertes de sécurité (SOC).

2. AS-REP Roasting

AS-REP Roasting exploite une mauvaise configuration spécifique sur les comptes utilisateurs standard : la désactivation de la Pré-authentification Kerberos.

Si un administrateur désactive la pré-authentification pour un vieux système obsolète, le contrôleur de domaine enverra volontiers les informations du ticket fraîchement chiffrées avec le hachage du mot de passe de l'utilisateur concerné, à quiconque en fera la demande, sans vérifier son identité.

L'attaquant capture la réponse (AS-REP) et effectue une attaque par dictionnaire hors ligne.

Prévention et Sécurisation

Se Défendre contre le Kerberoasting

  • Déployez des comptes de service gérés (gMSA) qui gèrent et font tourner automatiquement des mots de passe ultra-complexes de 120 caractères.
  • S'il n'est pas possible d'utiliser le gMSA, exigez des mots de passe aléatoires de 25 caractères minimum.

Se Défendre contre l'AS-REP Roasting

  • Effectuez un audit complet à l'aide de scripts PowerShell pour retrouver les utilisateurs avec l'indicateur UAC DONT_REQ_PREAUTH et réactivez immédiatement l'option.

Conclusion

Ces deux attaques utilisent la cryptographie à leur avantage. Rendre les mots de passe trop longs pour être décryptés mathématiquement reste l'unique solution infaillible.

Votre Active Directory est-il vulnérable ?

Assurez-vous qu'aucun chemin d'exploitation n'est caché dans vos configurations. Programmez une évaluation AD certifiée avec Cayvora Security.

📱 Réservez une Consultation sur WhatsApp

Besoin d'un audit de sécurité ?

Contactez Cayvora pour une consultation gratuite et protégez votre entreprise contre les cybermenaces.

📱 Contacter via WhatsApp

Articles connexes