cto-at-work.com
Le média des directeurs technique
Espace partenaires
Blog

Comprendre les défis du kerberoasting

Analyse approfondie du kerberoasting, ses impacts sur la sécurité des systèmes d’information et les stratégies de mitigation adaptées aux entreprises, à destination des CTO.
Sommaire
  1. Qu’est-ce que le kerberoasting et pourquoi cela concerne l’entreprise ?
  2. Les vecteurs d’attaque privilégiés par les attaquants
  3. Impacts potentiels sur la sécurité des systèmes d’information
  4. Détection proactive des tentatives de kerberoasting
  5. Stratégies de mitigation adaptées au contexte de l’entreprise
  6. Rôle du CTO dans la gouvernance et la sensibilisation
Comprendre les défis du kerberoasting

Qu’est-ce que le kerberoasting et pourquoi cela concerne l’entreprise ?

Le fonctionnement du protocole Kerberos et ses enjeux

Le protocole Kerberos est largement utilisé dans les environnements d’entreprise pour l’authentification des utilisateurs et des services. Il repose sur un système de tickets, notamment le ticket granting ticket (TGT) et le ticket service (TGS), délivrés par le centre de distribution de clés, souvent le contrôleur de domaine. Ce mécanisme vise à garantir la sécurité des échanges sur le réseau et à limiter l’exposition des informations d’identification.

Pourquoi le kerberoasting représente un risque concret

Le kerberoasting est une technique d’attaque qui cible spécifiquement les comptes service associés à un service principal name (SPN) dans l’annuaire du domaine. Les attaquants cherchent à obtenir des tickets service (TGS) chiffrés avec le mot de passe du compte service. Une fois ces tickets récupérés, ils peuvent être soumis à des outils de type kerberoasting afin de tenter de casser le chiffrement hors ligne et ainsi récupérer les informations d’identification du compte service.

  • Les comptes service sont souvent dotés de privilèges élevés et de mots de passe rarement renouvelés.
  • Les tickets TGS sont accessibles à tout utilisateur authentifié sur le domaine, ce qui facilite les attaques kerberoasting.
  • Le protocole d’authentification Kerberos, bien que robuste, présente des faiblesses face à ce type d’attaques ciblées.

Enjeux pour la sécurité des entreprises

Les attaques de type kerberoasting sont référencées dans le framework MITRE ATT&CK, ce qui souligne leur impact potentiel sur la sécurité des systèmes d’information. La compromission d’un compte service peut ouvrir la voie à une élévation de privilèges, à la compromission du réseau ou à l’accès non autorisé à des ressources critiques. Comprendre ces mécanismes est essentiel pour anticiper les vecteurs d’attaque et renforcer la posture de sécurité.

Pour approfondir la gestion des risques liés à l’authentification et à la sécurité des comptes, il est recommandé de consulter l’importance de l’ISO 27001 en entreprise.

Les vecteurs d’attaque privilégiés par les attaquants

Techniques d’exploitation du protocole Kerberos par les attaquants

Le kerberoasting repose sur l’exploitation de faiblesses dans la gestion des tickets service du protocole Kerberos. Les attaquants ciblent principalement les comptes service associés à un Service Principal Name (SPN) dans le directory d’un domaine. Ces comptes, souvent dotés de droits étendus, sont utilisés pour l’authentification kerberos et l’accès à des ressources sensibles.

  • Un utilisateur malveillant, déjà authentifié sur le réseau, peut demander un ticket service (TGS ticket) pour un service kerberos identifié par un service spn.
  • Le centre de distribution (contrôleur de domaine) délivre alors un ticket tgs chiffré avec le mot de passe du compte service.
  • L’attaquant récupère ce ticket et tente de le casser hors ligne à l’aide d’outils spécialisés, afin d’obtenir les informations d’identification du compte ciblé.

Les attaques kerberoasting visent en priorité :

  • Les comptes utilisateurs disposant de privilèges élevés.
  • Les comptes machines mal protégés.
  • Les services exposés avec des mots de passe faibles ou réutilisés.

La technique est référencée dans le framework MITRE ATT&CK comme un type d’attaque sur le protocole d’authentification Kerberos. Elle est difficile à détecter car elle exploite des fonctionnalités natives du protocole, sans générer d’alertes immédiates.

Pour approfondir la protection contre ce type d’attaque et renforcer la sécurité numérique, il est recommandé de consulter l’article renforcer la sécurité numérique dans une entreprise spécialisée en cybersécurité.

Impacts potentiels sur la sécurité des systèmes d’information

Conséquences sur l’intégrité et la confidentialité des données

Le kerberoasting exploite les faiblesses du protocole Kerberos, notamment la gestion des tickets service et des comptes service associés à des SPN (Service Principal Name). Lorsqu’un attaquant parvient à obtenir un ticket TGS (Ticket Granting Service) pour un service Kerberos, il peut tenter de récupérer le mot de passe du compte service hors ligne. Cela met en péril la confidentialité des informations d’identification et l’intégrité des systèmes d’information.

Risques d’escalade de privilèges et de compromission du domaine

Une fois le mot de passe d’un compte service compromis, l’attaquant peut accéder à des ressources critiques du réseau ou même viser le contrôleur de domaine. Les comptes utilisateurs et comptes machines deviennent alors vulnérables à des attaques type kerberoasting répétées, facilitant l’escalade de privilèges et la prise de contrôle du domaine.

Exposition accrue via les outils d’attaque automatisés

Des outils spécialisés, souvent référencés dans le cadre du MITRE ATT&CK, permettent d’automatiser la collecte des tickets service et l’extraction des hashs de mots de passe. Cela augmente la vitesse et l’efficacité des attaques kerberoasting, rendant la détection plus complexe pour les équipes de sûreté et de gouvernance.

Vulnérabilité du centre de distribution et du protocole d’authentification

Le centre de distribution Kerberos, en délivrant les tickets nécessaires à l’authentification Kerberos, devient une cible stratégique. Une mauvaise gestion des comptes service ou une configuration inadéquate du protocole d’authentification peut ouvrir la voie à des attaques à grande échelle.

Impacts sur la disponibilité et la confiance dans le système d’information

  • Interruption potentielle des services critiques en cas de compromission massive
  • Perte de confiance des utilisateurs et partenaires
  • Augmentation des coûts liés à la remédiation et à la surveillance renforcée

Pour approfondir la réflexion sur la sécurisation de l’architecture réseau face à ces menaces, consultez notre analyse sur l’optimisation de l’architecture réseau.

Détection proactive des tentatives de kerberoasting

Signes révélateurs d’une attaque kerberoasting

La détection proactive des attaques de type kerberoasting repose sur l’identification de comportements anormaux autour du protocole Kerberos et des tickets service. Les attaquants cherchent à obtenir des tickets TGS pour des comptes service disposant d’un SPN (Service Principal Name) afin de tenter de récupérer les informations d’identification associées. Plusieurs indicateurs peuvent alerter sur une tentative d’exploitation :

  • Demande inhabituelle de tickets service (TGS) pour de nombreux comptes service ou comptes machines sur le réseau.
  • Augmentation soudaine du volume de requêtes Kerberos, en particulier depuis un même utilisateur ou poste.
  • Utilisation d’outils automatisés connus pour les attaques kerberoasting, qui génèrent des patterns spécifiques dans les logs du contrôleur de domaine.
  • Accès répété à des comptes utilisateurs ou comptes service rarement sollicités.

Bonnes pratiques de surveillance et d’analyse

Pour anticiper les attaques kerberoasting, il est essentiel de mettre en place une surveillance fine du centre de distribution Kerberos (KDC) et des contrôleurs de domaine. Voici quelques recommandations :

  • Activer l’audit détaillé des événements liés à l’authentification Kerberos et à la délivrance des tickets TGS.
  • Analyser les logs pour détecter des demandes de tickets service anormales, en particulier sur les comptes à privilèges ou à fort impact sur la sécurité.
  • Corréler les événements avec d’autres signaux faibles, comme des modifications de droits sur des comptes utilisateurs ou des changements de SPN.
  • Utiliser des solutions de détection avancée capables d’identifier les techniques référencées dans le framework MITRE ATT&CK pour ce type d’attaques.

Collaboration et sensibilisation des équipes

La détection proactive ne repose pas uniquement sur la technologie. Il est crucial de sensibiliser les équipes IT et sécurité à la reconnaissance des attaques kerberoasting et à la gestion des comptes service. Une bonne connaissance du protocole d’authentification Kerberos, des tickets et des risques associés permet d’augmenter la réactivité face aux tentatives d’intrusion sur le domaine.

Stratégies de mitigation adaptées au contexte de l’entreprise

Adapter les mesures de défense au contexte de l’entreprise

Pour contrer efficacement les attaques de type kerberoasting, il est essentiel d’adapter les stratégies de mitigation à la réalité de chaque organisation. Les mesures doivent tenir compte de la structure du réseau, des pratiques d’authentification kerberos et de la gestion des comptes service et utilisateurs.
  • Réduire les droits des comptes service : Limiter les privilèges des comptes associés à un service kerberos. Éviter d’attribuer des droits d’administration de domaine à ces comptes, sauf nécessité absolue.
  • Utiliser des mots de passe robustes : Imposer des politiques de mots de passe complexes et uniques pour tous les comptes service et comptes utilisateurs, afin de rendre le craquage des tickets service plus difficile pour les attaquants.
  • Surveiller les demandes de tickets TGS : Mettre en place une surveillance active des requêtes de tickets tgs, en particulier celles concernant les services exposés via un spn. Une activité inhabituelle peut révéler une tentative d’attaque kerberoasting.
  • Limiter la visibilité des SPN : Restreindre l’attribution des service spn aux seuls comptes nécessaires, afin de réduire la surface d’attaque potentielle sur le protocole kerberos.
  • Segmenter le réseau : Isoler les ressources critiques et les contrôleurs de domaine pour limiter la propagation d’un attaquant ayant compromis un compte via kerberoasting.
  • Mettre à jour les outils de sécurité : S’assurer que les solutions de détection et de réponse aux incidents intègrent les dernières signatures d’attaques kerberoasting, en s’appuyant sur des référentiels comme le MITRE ATT&CK.

Bonnes pratiques pour la gestion des comptes et des tickets

La gestion rigoureuse des comptes machines, comptes utilisateurs et comptes service est un pilier de la sécurité face au kerberoasting. Voici quelques recommandations :
  • Procéder à des audits réguliers des comptes disposant d’un service spn.
  • Désactiver ou supprimer les comptes inutilisés dans le directory.
  • Mettre en œuvre une rotation fréquente des mots de passe des comptes à privilèges.
  • Limiter la durée de vie des tickets service et tgs ticket pour réduire la fenêtre d’exploitation potentielle.
En appliquant ces stratégies, l’entreprise renforce la sécurité de son protocole d’authentification kerberos et réduit l’exposition aux attaques type kerberoasting. L’adaptation continue des mesures, en fonction de l’évolution des outils et des techniques des attaquants, reste indispensable pour protéger efficacement les informations d’identification et l’ensemble du système d’information.

Rôle du CTO dans la gouvernance et la sensibilisation

Leadership technique et sensibilisation continue

Le rôle du CTO dans la lutte contre le kerberoasting est central. Il ne s’agit pas seulement de mettre en place des outils de détection ou des stratégies de mitigation, mais aussi d’assurer une gouvernance efficace autour des risques liés au protocole Kerberos et à l’authentification des utilisateurs et services.

  • Élaborer des politiques de sécurité robustes pour la gestion des comptes utilisateurs, comptes service et comptes machines, en tenant compte des spécificités du protocole d’authentification Kerberos.
  • Superviser la mise à jour régulière des mots de passe des comptes à privilèges, notamment ceux associés à un Service Principal Name (SPN), afin de limiter l’exposition aux attaques type kerberoasting.
  • Encourager la formation des équipes IT et des utilisateurs sur les risques liés aux tickets TGS et aux tickets service, ainsi que sur les méthodes d’identification des tentatives d’attaques kerberoasting.
  • Veiller à la conformité avec les référentiels de sécurité reconnus, comme le MITRE ATT&CK, pour renforcer la posture de sécurité du réseau et du domaine.

Collaboration et communication dans l’écosystème de l’entreprise

Le CTO doit favoriser une culture de la sécurité partagée. Cela passe par une communication claire sur les risques liés au service Kerberos, au centre de distribution de tickets et aux informations d’identification manipulées par les utilisateurs et les services.

  • Mettre en place des campagnes de sensibilisation régulières pour tous les utilisateurs, en expliquant les conséquences d’une compromission de ticket service ou de ticket granting.
  • Collaborer avec les responsables de la sécurité et les administrateurs du contrôleur de domaine pour surveiller les activités suspectes, notamment les requêtes anormales de tickets TGS.
  • Encourager le partage d’informations sur les nouveaux outils et techniques d’attaquants, afin d’adapter en continu les mesures de protection contre les attaques kerberoasting.

En résumé, le CTO doit incarner l’autorité technique et organisationnelle pour anticiper, détecter et répondre efficacement aux risques liés au protocole Kerberos et à l’ensemble des attaques ciblant les tickets et comptes du domaine.

Partager cette page
Publié le   •   Mis à jour le
Martin Nguyen
par Martin Nguyen
Partager cette page
Les plus lus
À lire aussi
Les articles par date
Septembre 2023
Octobre 2023
Novembre 2023
Décembre 2023
Janvier 2024
Février 2024
Mars 2024
Décembre 2024
Janvier 2025
Février 2025
Mars 2025
Avril 2025
Mai 2025
Juin 2025
Juillet 2025
Août 2025
Septembre 2025
Octobre 2025
Novembre 2025
Décembre 2025