ObjectifCyber

Chapitre 2 — Authentification & AAA

L'authentification est la vérification de l'identité. Ce module couvre les facteurs d'authentification, MFA, les protocoles AAA (RADIUS, TACACS+), l'identification fédérée et les technologies biométriques.

Mémorisez ! Trois catégories de facteurs : Quelque chose que vous savez, quelque chose que vous avez, quelque chose que vous êtes. MFA = au moins 2 catégories différentes.
FacteurCatégorieExemplesRisques
Mot de passe, PIN, question secrèteConnaissance (Savoir)Password, PIN, passphrasePhishing, brute force, keylogger
Carte à puce, token OTP, téléphonePossession (Avoir)TOTP app, SMS OTP, YubiKeyVol, SIM swapping
Empreinte, visage, iris, voixInhérence (Être)Touch ID, Face ID, reconnaissance irisUsurpation biométrique, deepfake
Localisation GPS, réseauLieu (Où)Connexion depuis IP d'entrepriseVPN bypass, IP spoofing
Comportement, rythme frappeAction (Faire)Rythme de frappe, mouvements sourisDifficile à usurper

MFA vs 2FA vs SFA

Astuce Examen

MFA résiste aux attaques de phishing car l'attaquant qui vole le mot de passe n'a pas le second facteur. Mais le SMS OTP est vulnérable au SIM swapping — TOTP (Time-based OTP comme Google Authenticator) est plus sûr. Les passkeys (FIDO2) sont phishing-resistant par conception.

RADIUS vs TACACS+

CaractéristiqueRADIUSTACACS+
Port1812 (auth), 1813 (accounting)49/TCP
TransportUDPTCP (plus fiable)
ChiffrementMot de passe uniquementCorps entier du paquet
AAAAuth+Accounting combinésAuth, Authz, Accounting séparés
Usage principalWi-Fi 802.1X, VPN, accès réseauAdministration de périphériques réseau (Cisco)
OrigineIETF standardPropriétaire Cisco
Mémorisez ! RADIUS = réseau, UDP, chiffrement partiel. TACACS+ = admin réseau, TCP, chiffrement total. Quand une question mentionne "contrôler les commandes CLI exécutées sur des routeurs", c'est TACACS+.

Kerberos

Protocole d'authentification à ticket utilisé dans les environnements Active Directory Windows.

LDAP & Active Directory

LDAP (Lightweight Directory Access Protocol) : protocole d'accès aux annuaires. Port 389/TCP (non chiffré) ou 636/TCP (LDAPS, chiffré).

TermeDéfinition
FAR (False Acceptance Rate)% de fois où un imposteur est accepté. FAR élevé = système trop permissif.
FRR (False Rejection Rate)% de fois où un utilisateur légitime est rejeté. FRR élevé = système trop strict.
CER/EER (Crossover Error Rate)Point où FAR = FRR. Plus le CER est bas, plus le système est précis.

Trouver le bon équilibre : baisser le seuil → moins de FRR mais plus de FAR. Le CER est la métrique standard pour comparer des systèmes biométriques.

1. Un utilisateur se connecte avec son mot de passe puis reçoit un code SMS. Combien de facteurs utilise-t-il et quels types ?

Mot de passe = connaissance (savoir). SMS = possession (avoir le téléphone). C'est bien 2FA. Pour être MFA à 3 facteurs, il faudrait ajouter un élément biométrique (inhérence).

2. Une entreprise veut contrôler et enregistrer précisément quelles commandes CLI chaque administrateur exécute sur ses routeurs Cisco. Quel protocole AAA convient le mieux ?

TACACS+ chiffre tout le paquet et sépare les fonctions A/A/A — il peut autoriser des commandes CLI spécifiques et en garder une trace granulaire. RADIUS est plus adapté à l'accès réseau des utilisateurs (Wi-Fi, VPN).

3. Quel est l'avantage de TACACS+ sur RADIUS concernant la sécurité des communications ?

TACACS+ chiffre tout le paquet (corps complet). RADIUS ne chiffre que le mot de passe — le nom d'utilisateur et les attributs d'autorisation sont visibles en clair. TACACS+ utilise TCP (pas UDP), plus fiable mais pas plus "sûr" en lui-même.

4. Un système biométrique a un CER (Crossover Error Rate) de 2%. Qu'est-ce que cela signifie ?

Le CER (aussi appelé EER) est le point d'équilibre où FAR = FRR. Plus le CER est bas, plus le système est précis. Un CER de 2% est meilleur qu'un CER de 5%.

5. Dans Kerberos, un TGT a expiré. Que doit faire l'utilisateur ?

Le TGT a une durée de vie limitée (10h par défaut). À l'expiration, l'utilisateur doit se ré-authentifier auprès du Key Distribution Center (KDC) pour obtenir un nouveau TGT. Cela force une vérification périodique de l'identité.

6. Quel port utilise LDAP sécurisé (LDAPS) ?

LDAP standard = port 389/TCP (non chiffré). LDAPS (LDAP over TLS/SSL) = port 636/TCP. Le port 88 est pour Kerberos. Le port 443 est pour HTTPS.

7. Quel facteur d'authentification est le plus vulnérable au "SIM swapping" ?

Le SIM swapping = un attaquant convainc l'opérateur de transférer un numéro de téléphone vers sa propre SIM. Il reçoit alors tous les SMS OTP. Une application TOTP (Google Authenticator) stocke la clé sur le téléphone et n'est pas vulnérable au SIM swapping.

8. Une organisation veut que les employés en télétravail s'authentifient via le réseau d'entreprise pour accéder aux ressources internes. Quel protocole AAA est couramment utilisé pour l'authentification VPN ?

RADIUS est standard pour l'authentification d'accès réseau : VPN, Wi-Fi 802.1X, accès distant. TACACS+ convient mieux pour administrer les équipements réseau eux-mêmes (commandes CLI).

9. Lequel de ces éléments représente un facteur "inhérence" (ce que vous êtes) ?

La reconnaissance faciale utilise une caractéristique biologique (inhérence = ce que vous êtes). Carte à puce = possession. PIN = connaissance. App OTP = possession (le téléphone).

10. L'attaque "Kerberoasting" cible quel élément de l'infrastructure Kerberos ?

Kerberoasting = demander des tickets de service (TGS) pour des comptes de service, puis les cracker hors ligne avec hashcat/John. Le ticket est chiffré avec le hash du mot de passe du compte de service — si le mot de passe est faible, il peut être cracké.