Active Directory : Surface d'Attaque Invisible de Votre SI

4 April 2026

•

Mis à jour le 5 April 2026

•

1519 mots

•

10 vues

Active Directory (AD) est le système nerveux central de 95% des entreprises dans le monde. Ce service d'annuaire de Microsoft, conçu dans les années 1990 et déployé massivement depuis Windows 2000, gère l'authentification, l'autorisation et la configuration de millions de postes de travail et de serveurs. Paradoxalement, AD est aussi le maillon le plus ciblé et le plus exploité par les attaquants : une compromission d'Active Directory donne le contrôle total du système d'information. Cet article décortique les techniques offensives les plus utilisées contre AD — du Kerberoasting au Golden Ticket en passant par le DCSync et les abus d'ACL — avec pour chaque attaque le mode opératoire détaillé, les outils, les logs à surveiller et les défenses spécifiques. Nous couvrons aussi les architectures de sécurisation modernes (tiering model, PAW, ESAE) et les outils d'audit essentiels comme BloodHound, PingCastle et Purple Knight.

En bref

Active Directory est impliqué dans 80% des attaques réseau ciblées
12 techniques d'attaque détaillées avec outils, commandes et logs
Le Kerberoasting et le DCSync sont les techniques les plus utilisées par les ransomware
BloodHound visualise les chemins d'attaque vers Domain Admin
Le tiering model et les PAW sont les défenses architecturales clés

Pourquoi Active Directory est la cible prioritaire

Active Directory est le Saint Graal de tout attaquant pour une raison simple : qui contrôle AD contrôle tout. Un Domain Admin peut créer des comptes, modifier les GPO, accéder à tous les fichiers, déployer du code sur tous les postes, extraire tous les mots de passe, et créer des backdoors persistantes (Golden Ticket) valables 10 ans.

Statistiques de Microsoft DART (Detection and Response Team) : 80% des engagements IR impliquent une compromission d'AD. Le temps médian entre l'accès initial et la compromission du Domain Admin est de 48 heures dans les organisations sans tiering model.

Phase 1 : Reconnaissance AD

BloodHound : la cartographie des chemins d'attaque

BloodHound est l'outil qui a révolutionné les attaques (et la défense) AD. Il collecte les relations entre objets AD (utilisateurs, groupes, machines, GPO, ACL) et visualise les chemins d'attaque — les séquences d'étapes permettant d'atteindre Domain Admin depuis n'importe quel point d'entrée. Le collecteur SharpHound (C#) ou BloodHound.py (Python) énumère le domaine via LDAP et SMB en quelques minutes.

Requêtes BloodHound critiques :

"Find shortest path to Domain Admin" — le classique
"Find principals with DCSync rights" — qui peut répliquer l'annuaire
"Find computers where Domain Users are local admin" — quick wins
"Find Kerberoastable users with path to DA" — combinaison mortelle

Autres outils de reconnaissance

PingCastle — Audit automatisé de la sécurité AD avec scoring et rapport détaillé. Identifie les misconfigurations les plus critiques
Purple Knight — Scanner de vulnérabilités AD de Semperis, 150+ indicateurs de sécurité
ADRecon — Extraction et rapport complet de la configuration AD
PowerView (PowerSploit) — Module PowerShell d'énumération AD offensif

Phase 2 : Attaques sur les credentials

Kerberoasting (T1558.003)

Principe : Tout utilisateur authentifié du domaine peut demander un ticket de service Kerberos (TGS) pour n'importe quel service account. Le TGS est chiffré avec le hash NTLM du service account. L'attaquant demande des TGS pour tous les service accounts et les cracke offline.

Mode opératoire :

Énumération des service accounts avec SPN : Get-DomainUser -SPN (PowerView) ou setspn -T domain -Q */*
Demande de TGS : Rubeus.exe kerberoast /outfile:hashes.txt ou GetUserSPNs.py -request
Cracking offline : hashcat -m 13100 hashes.txt wordlist.txt

Détection : Event ID 4769 (Kerberos Service Ticket) avec encryption type 0x17 (RC4-HMAC) au lieu de AES (0x12). Un volume élevé de 4769 depuis un seul compte est suspect.

Défense : Mots de passe de 25+ caractères pour les service accounts, utiliser des gMSA (Group Managed Service Accounts) avec rotation automatique, activer AES uniquement (désactiver RC4).

AS-REP Roasting (T1558.004)

Cible les comptes avec l'attribut DONT_REQUIRE_PREAUTH activé. L'attaquant demande un AS-REP sans fournir de preuve d'authentification, puis cracke le hash offline. Plus rare que le Kerberoasting mais souvent fructueux.

DCSync (T1003.006)

Principe : L'attaquant simule un contrôleur de domaine et utilise le protocole MS-DRSR (Directory Replication Service) pour demander la réplication de tous les hashes de mots de passe de l'annuaire, incluant le hash du compte krbtgt.

Prérequis : Droits "Replicating Directory Changes" et "Replicating Directory Changes All" — détenus par les Domain Admins, les DC machine accounts et certains comptes de service.

Commande Mimikatz : lsadump::dcsync /domain:corp.local /user:krbtgt

Détection : Event ID 4662 avec les GUIDs de réplication DS (1131f6aa-9c07-11d1-f79f-00c04fc2dcd2). Alertez si la source n'est pas un contrôleur de domaine.

Phase 3 : Persistence dans AD

Golden Ticket (T1558.001)

Avec le hash du compte krbtgt (obtenu via DCSync), l'attaquant peut forger des TGT (Ticket Granting Tickets) Kerberos arbitraires avec n'importe quelle identité et n'importe quels privilèges. Un Golden Ticket est valide même après un changement de mot de passe de l'utilisateur cible, car il est signé par le hash krbtgt. Durée de validité par défaut : 10 ans.

Remédiation : Double reset du mot de passe krbtgt (le hash précédent reste valide). Procédure délicate à planifier car elle invalide tous les tickets Kerberos existants.

Silver Ticket (T1558.002)

Forgery d'un TGS (ticket de service) en utilisant le hash NTLM du service account cible. Moins puissant qu'un Golden Ticket (limité à un service spécifique) mais plus discret (pas de communication avec le KDC).

Skeleton Key

Injection d'un master password dans le processus LSASS du contrôleur de domaine, permettant de s'authentifier avec n'importe quel compte en utilisant un mot de passe universel. Ne survit pas à un reboot du DC.

AdminSDHolder et SDProp

Modification de l'objet AdminSDHolder pour injecter des ACL qui seront propagées automatiquement par le processus SDProp (toutes les 60 minutes) à tous les groupes protégés (Domain Admins, Enterprise Admins, etc.). Backdoor ACL persistante et discrète.

Phase 4 : Abus d'ACL et délégation

Les ACL Active Directory sont un terrain de jeu offensif souvent négligé :

Permission abusable	Exploitation	Impact
GenericAll	Contrôle total sur l'objet : reset password, modifier les groupes, ajouter des SPN	Prise de contrôle du compte/groupe
GenericWrite	Modifier les attributs : ajouter un SPN (Targeted Kerberoasting), modifier le script de logon	Credential harvesting, exécution de code
WriteDacl	Modifier les ACL de l'objet : s'accorder GenericAll	Escalade de privilèges
WriteOwner	Devenir propriétaire de l'objet puis modifier les ACL	Escalade de privilèges
ForceChangePassword	Reset du mot de passe sans connaître l'ancien	Prise de contrôle du compte
AddMember	S'ajouter à un groupe privilégié	Escalade directe

Défenses : architecture de sécurisation AD

Tiering Model (modèle en tiers)

Le tiering model de Microsoft segmente l'administration en 3 niveaux d'isolation :

Tier 0 — Contrôleurs de domaine, PKI, Azure AD Connect. Les comptes Tier 0 ne se connectent JAMAIS aux systèmes Tier 1 ou Tier 2
Tier 1 — Serveurs applicatifs, bases de données. Administration séparée
Tier 2 — Postes de travail utilisateurs. Les administrateurs Tier 2 n'ont aucun accès aux serveurs

PAW (Privileged Access Workstation)

Postes d'administration dédiés et durcis, utilisés exclusivement pour l'administration des systèmes Tier 0 et Tier 1. Pas d'accès internet, pas d'email, pas de navigation web. Protégés par Credential Guard, Device Guard et des politiques de sécurité restrictives.

LAPS (Local Administrator Password Solution)

Rotation automatique des mots de passe administrateur local de chaque poste, stockés chiffrés dans AD. Élimine le risque de Pass-the-Hash latéral via un mot de passe admin local commun.

Points clés à retenir

Active Directory est impliqué dans 80% des compromissions réseau — sa sécurisation est une priorité absolue
Le Kerberoasting et le DCSync sont les techniques les plus utilisées et les plus efficaces contre AD
BloodHound et PingCastle sont des outils essentiels pour auditer et sécuriser AD
Le tiering model et les PAW sont les défenses architecturales fondamentales
Le double reset du mot de passe krbtgt est la seule remédiation contre un Golden Ticket

FAQ

Qu'est-ce que le Kerberoasting et pourquoi est-il si dangereux ?

Le Kerberoasting exploite le fonctionnement normal de Kerberos : tout utilisateur du domaine peut demander un ticket de service chiffré avec le hash du service account. L'attaquant cracke ce ticket offline sans générer d'alerte sur le service account. Si le mot de passe est faible, il obtient les credentials en quelques minutes.

Comment détecter une attaque DCSync sur Active Directory ?

Surveillez l'Event ID 4662 avec les GUIDs de réplication Directory Services. Si la source n'est pas un contrôleur de domaine légitime, c'est une attaque DCSync. Configurez des alertes SIEM spécifiques et auditez régulièrement les comptes ayant les droits de réplication.

Combien de temps faut-il pour sécuriser Active Directory ?

Un audit initial (PingCastle + BloodHound) prend 1-2 jours. Les quick wins (LAPS, désactivation RC4, audit des ACL) peuvent être déployés en quelques semaines. Le tiering model complet et les PAW nécessitent 6-12 mois de projet dédié. La sécurisation AD est un processus continu, pas un one-shot.

Article recommandé

Pour comprendre comment les attaquants exploitent AD dans le cadre d'une attaque ransomware, consultez notre Deep Dive : Anatomie d'une Attaque Ransomware.

📚 Articles connexes

🔗 Références externes

Partager cet article

Twitter LinkedIn

Télécharger cet article en PDF

Format A4 optimisé pour l'impression et la lecture hors ligne

Télécharger le PDF

À propos de l'auteur

Ayi NEDJIMI

Disponible

Expert Cybersécurité Offensive & Intelligence Artificielle

ayi@ayinedjimi-consultants.fr

20+

ans

700+

articles

100+

missions

Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.

Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.

Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).

Pentest AD Cloud Security Forensics Rétro-ingénierie IA / LLM / RAG NIS2 / ISO 27001 OT / ICS

Profil complet

Ressources & Outils de l'auteur

GitHub

Code & projets open source

Hugging Face

Modèles IA & datasets

CertifExpress

Préparez vos certifications IT

WindowsBooster

Optimisation Windows 11

Commentaires

Aucun commentaire pour le moment. Soyez le premier à commenter !

Laisser un commentaire