Skip to content

Expliquez le fonctionnement de l'authentification Kerberos avec les TGT et les tickets de service.

Réponse courte

Kerberos repose sur un centre de distribution de clés (KDC) de confiance. Le client s'authentifie une fois auprès du serveur d'authentification et obtient un ticket d'octroi de tickets (TGT) chiffré avec la clé du KDC. Pour atteindre un service, il présente le TGT au service d'octroi de tickets et reçoit un ticket de service chiffré avec la clé de ce service. Le service le déchiffre et lui fait confiance. Les mots de passe ne traversent jamais le réseau, et les tickets ont une durée limitée.

Kerberos est l'épine dorsale de l'authentification Active Directory, c'est donc un incontournable pour quiconque touche aux environnements d'entreprise. Le recruteur veut le modèle à trois parties et pourquoi les mots de passe restent hors du réseau.

Les acteurs

  • Client — l'utilisateur ou la machine qui veut un accès.
  • KDC (centre de distribution de clés) — l'autorité de confiance, divisée en serveur d'authentification (AS) et service d'octroi de tickets (TGS). Il connaît la clé secrète de chaque principal.
  • Service — la ressource que le client veut (un partage de fichiers, un serveur SQL, une application web).

La danse des tickets

  1. Obtenir un TGT. Le client prouve qu'il connaît son mot de passe en chiffrant un horodatage avec une clé dérivée de ce mot de passe. L'AS le valide et renvoie un ticket d'octroi de tickets (TGT) plus une clé de session. Le TGT est chiffré avec la clé propre du KDC, donc le client ne peut ni le lire ni le forger.
  2. Demander un ticket de service. Quand le client veut un service précis, il envoie le TGT au TGS. Le TGS émet un ticket de service chiffré avec la clé secrète de ce service.
  3. Accéder au service. Le client présente le ticket de service. Le service le déchiffre avec sa propre clé, confirme le contenu et accorde l'accès — sans jamais contacter le KDC lui-même.

La propriété cruciale : le mot de passe de l'utilisateur n'est utilisé que localement pour dériver une clé ; il ne traverse jamais le réseau, et les services ne le voient jamais. Les horodatages dans les tickets, validés contre des horloges synchronisées, empêchent le rejeu — ce qui explique pourquoi Kerberos est sensible au décalage horaire (typiquement une tolérance de 5 minutes).

L'angle de l'attaquant

Comme un ticket de service est chiffré avec la clé du compte de service, un attaquant qui en demande un peut le casser hors ligne pour récupérer le mot de passe de ce compte — c'est le Kerberoasting, et les mots de passe de comptes de service faibles le rendent peu coûteux. Compromettre la clé maîtresse du KDC (le compte krbtgt) permet les golden tickets : des TGT forgés arbitraires.

Ce que recherchent les recruteurs

Les rôles KDC/AS/TGS, l'échange TGT-puis-ticket-de-service, « les mots de passe ne traversent jamais le réseau », le rôle des horodatages et de la synchronisation d'horloges, et idéalement le Kerberoasting comme attaque pratique.

Questions de suivi probables

  • Qu'est-ce que le Kerberoasting et comment abuse-t-il des tickets de service ?
  • Pourquoi Kerberos dépend-il fortement d'horloges synchronisées ?
  • Qu'est-ce qu'un golden ticket et que doit posséder un attaquant pour l'obtenir ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.