🔥 Kerberos AS-REP Roasting : l’attaque Active Directory qui fait griller vos mots de passe

Les attaques Kerberos AS-REP Roasting refont parler d’elles en 2025. Une technique simple, efficace, et toujours aussi redoutable contre les comptes Active Directory mal configurés. On vous explique comment elle fonctionne, pourquoi elle revient à la mode, et surtout pourquoi vos mots de passe « complexes123 » n’y survivront pas.

🍗 AS-REP Roasting : une attaque old school qui fait toujours recette

Dans le vaste buffet des attaques Active Directory, l’AS-REP Roasting est ce petit plat bien gras qu’on pensait oublié au fond du frigo… jusqu’à ce qu’un pentester le réchauffe et vous le balance à la figure.

En 2025, la technique revient sur le devant de la scène, et c’est bien mérité : elle permet à un attaquant non authentifiédans un domaine AD de récupérer des hashs Kerberos crackables hors ligne, sans déclencher de vraie alerte. Pratique, non ?

🧠 Comment fonctionne une attaque AS-REP Roasting ?

Pour résumer sans vous assommer avec les RFC Kerberos :

• Kerberos est un protocole d’authentification utilisé massivement en environnement Windows.
• Il repose sur le principe du ticket (TGT, TGS), remis uniquement si l’utilisateur prouve son identité… sauf si on désactive la pré-authentification.
• Or, certains comptes AD ont l’option « Do not require Kerberos preauthentication » activée (intentionnellement ou pas).
• Résultat : un attaquant peut demander un ticket d’authentification (AS-REP), le recevoir chiffré avec le hash du mot de passe de la victime, et tenter de le cracker hors-ligne.

C’est du Kerberoasting sans compte, du crack offline sans bruit. Bref, le rêve du script kiddie un peu malin.

🎯 Qui est vulnérable ? Spoiler : probablement vous

La faille n’est pas « zero-day ». Elle n’est pas non plus due à Microsoft. Elle est configurationnelle — ce qui la rend d’autant plus toxique, parce qu’elle passe souvent inaperçue.

Sont vulnérables :

• Les comptes ayant l’option « pas de pré-auth » (souvent des anciens comptes de service ou des comptes créés à la va-vite).
• Les environnements AD mal audités.
• Les mots de passe faibles ou même moyens, car le hash récupéré peut être cracké avec Hashcat en quelques minutes.

Et devinez quoi ? C’est très courant. On en retrouve dans presque tous les pentests d’infrastructure Windows.

🧰 Comment vérifier et se protéger ?

✅ Étapes de mitigation à appliquer hier :

1. Auditer tous les comptes AD avec l’attribut DoNotRequirePreAuth = TRUE (ex: via PowerShell).powershellCopierModifierGet-ADUser -Filter * -Properties DoesNotRequirePreAuth | Where-Object { $_.DoesNotRequirePreAuth -eq $true }
2. Changer les mots de passe de ces comptes pour des chaînes extrêmement robustes ou passer en authentification avec certificats.
3. Réactiver la pré-authentification Kerberos sur tous les comptes (c’est activé par défaut — si c’est décoché, c’est volontaire ou négligent).
4. Mettre en place une politique de mot de passe solide avec du contrôle de complexité, d’historique, et surtout : de longueur.
5. Installer une solution de détection de comportements anormaux (EDR/NDR), car même si AS-REP est discret, les phases de reconnaissance ne le sont pas toujours.

🧨 Pourquoi cette attaque revient maintenant ?

Trois raisons :

• Les mots de passe restent la faille numéro un. Et malgré les audits, les chartes, les formations… les comptes faibles persistent.
• Les outils comme Rubeus ou Impacket ont démocratisé l’exploitation de cette faille. Trois lignes de commande et hop, un ticket tombé du ciel.
• Les attaquants aiment le silence. Et cette attaque est bruyante uniquement pour votre dictionnaire de hash, pas pour vos logs.

🧪 Extrait de labo (oui, ça va piquer)

bash
Rubeus.exe asreproast

Et vous récupérez ça :

$krb5asrep$23$user@DOMAINE:hash:encdata...

Ensuite, Hashcat, GTX 4080, rockyou.txt, et c’est dimanche cracking pour le pirate.
Temps moyen pour casser un mot de passe « P@ssw0rd1 » ? Moins que celui qu’il vous a fallu pour le taper.

🎙️ Conclusion SecuSlice : AS-REP Roasting, c’est le barbecue Windows dont personne ne parle

Pendant que les RSSI surveillent les logs, les pirates surveillent les failles humaines et les configurations douteuses.
AS-REP Roasting, c’est le combo gagnant entre paresse admin et violence offline. Pas besoin de compromission initiale, pas besoin de phishing. Juste de quoi scanner le domaine et servir le poulet rôti.

Morale :

💬 « Ce n’est pas une faille technique. C’est une faille culturelle. »

Partager cet article : Twitter LinkedIn WhatsApp

🖋️ Publié sur SecuSlice.com