Top 5 des Outils d'Audit Active Directory 2025 : Analyse Technique Approfondie
Publié le 28 septembre 2025 | Temps de lecture : 30 minutes | Par Ayi NEDJIMI Consultants
L'audit de sécurité Active Directory est une discipline technique qui nécessite une expertise pointue et des outils spécialisés. Dans cet article, nous analysons en profondeur les 5 outils d'audit AD les plus puissants utilisés par les experts en sécurité offensive : PingCastle, Purple Knight, BloodHound, Adalanche et ADRecon. Chaque outil est décortiqué avec ses fonctionnalités avancées, ses cas d'usage, ses forces et ses limites.
📑 Sommaire
- 1. PingCastle : L'Audit Automatisé de Référence
- 2. Purple Knight : L'Outil de Semperis pour l'Évaluation AD
- 3. BloodHound : Visualisation des Chemins d'Attaque
- 4. Adalanche : Graph Analysis Engine
- 5. ADRecon : Reconnaissance et Documentation Complète
- Tableau Comparatif des Outils
- Méthodologie d'Audit Active Directory
#1PingCastle : L'Audit Automatisé de Référence
PingCastle est sans conteste l'outil d'audit Active Directory le plus reconnu et utilisé par les professionnels de la sécurité. Développé par Vincent Le Toux (@mysmartlogon), cet outil open-source offre une analyse complète de la posture de sécurité AD avec un système de scoring basé sur les risques.
1. Architecture et Fonctionnement Technique
PingCastle fonctionne entièrement en lecture seule via des requêtes LDAP et des appels RPC. Il ne nécessite pas de privilèges d'administrateur de domaine pour son exécution, un compte utilisateur authentifié suffit pour la plupart des analyses.
Modes d'Exécution
- Mode Healthcheck (--healthcheck) : Analyse complète de la sécurité du domaine avec génération d'un rapport HTML détaillé
- Mode Scanner (--scanner) : Scan réseau pour identifier les contrôleurs de domaine et analyser les configurations
- Mode Export (--export) : Export des données AD dans différents formats pour analyse externe
- Mode Advanced (--advanced-live) : Collecte de données avancées en temps réel
2. Analyse du Score de Risque PingCastle
Le cœur de PingCastle est son système de scoring basé sur un modèle de maturité allant de 0 à 100+. Le score se décompose en 4 grandes catégories :
| Catégorie | Description | Poids |
|---|---|---|
| Stale Objects | Comptes inactifs, obsolètes, mots de passe jamais changés | 25% |
| Privileged Accounts | Gestion des comptes à privilèges, délégations, admin count | 30% |
| Trusts | Relations de confiance inter-domaines/forêts | 20% |
| Anomalies | Configurations dangereuses, GPOs faibles, protocoles obsolètes | 25% |
3. Détection des Vulnérabilités Critiques
1. Détection Zerologon (CVE-2020-1472)
PingCastle vérifie si les DC sont vulnérables à Zerologon en analysant les patches installés et les logs d'événements.
2. Comptes avec SPN et Mots de Passe Faibles
Identifie automatiquement les comptes de service Kerberoastables avec des attributs suspects (userAccountControl, pwdLastSet).
3. Délégations Contraintes et Non Contraintes
Liste tous les comptes avec des délégations Kerberos, un vecteur d'escalade de privilèges majeur.
4. Chemins d'ACLs Dangereux
Identifie les permissions GenericAll, WriteDACL, WriteOwner sur des objets critiques.
4. Utilisation Avancée en Pentest
PingCastle.exe --healthcheck --server dc.contoso.com --user pentester@contoso.com --password P@ssw0rd
PingCastle.exe --scanner aclcheck --server dc.contoso.com
PingCastle.exe --advanced-live --explore-trust --explore-exception --explore-delegation✅ Points Forts
- Rapidité d'exécution : Audit complet d'un domaine en 2-5 minutes
- Scoring standardisé : Facilite la communication avec le management
- Historisation : Suivi de l'évolution du score dans le temps
- Détections avancées : CVE récentes, Shadow Admins, chemins d'attaque
- Gratuit et open-source : Version community très complète
⚠️ Limites
- Ne visualise pas les chemins d'attaque graphiques comme BloodHound
- Analyse basée sur des patterns prédéfinis, peut manquer des configurations custom
- Interface en ligne de commande uniquement (pas de GUI)
- Requiert une authentification AD pour fonctionner
🔍 Audit Active Directory Professionnel
Nos experts utilisent PingCastle, BloodHound et des méthodologies propriétaires pour auditer votre AD en profondeur. Rapport détaillé avec roadmap de remédiation priorisée.
Demander un audit AD#2Purple Knight : L'Outil de Semperis pour l'Évaluation AD
Purple Knight est l'outil gratuit développé par Semperis, société spécialisée dans la protection et la récupération d'Active Directory. Lancé en 2020, Purple Knight s'est rapidement imposé comme un concurrent sérieux de PingCastle grâce à son interface moderne et ses détections avancées.
5. Architecture et Positionnement
Purple Knight se positionne comme un outil d'évaluation de la sécurité ET de la résilience Active Directory. Contrairement à PingCastle qui se concentre sur les vulnérabilités de sécurité, Purple Knight évalue aussi la capacité de récupération après un incident (ransomware, compromission DC).
6. Fonctionnalités Clés
1. Détection des Indicateurs de Compromission (IOC)
Purple Knight intègre des signatures d'IOCs basées sur les recherches de Semperis et les dernières campagnes d'attaques :
- DCShadow artifacts : Détecte les traces de DCShadow (faux DC enregistrés)
- AdminSDHolder tampering : Modifications suspectes de l'objet AdminSDHolder
- GPO malicieuses : Analyse des GPOs pour détecter des scripts ou tâches planifiées malveillantes
- Backdoors AD : SID History injection, ACLs cachées, Golden Ticket artifacts
2. Évaluation de la Résilience
Purple Knight évalue la capacité de l'organisation à récupérer après une attaque :
- Qualité des sauvegardes AD (System State backups)
- Procédures de restauration documentées
- Isolation des DC critiques
- Monitoring et détection en place
3. Indicateurs de Sécurité MITRE ATT&CK
Chaque vulnérabilité détectée est mappée aux tactiques et techniques du framework MITRE ATT&CK, facilitant la priorisation basée sur les TTP des attaquants réels.
7. Système de Scoring Purple Knight
Le score Purple Knight va de 0 à 100% et évalue 3 dimensions :
| Dimension | Poids | Focus |
|---|---|---|
| Security Posture | 50% | Vulnérabilités de configuration classiques |
| Exposure to Attack | 30% | Chemins d'attaque actifs, comptes exposés |
| Resilience | 20% | Capacité de récupération post-incident |
8. Utilisation en Environnement de Production
Purple Knight propose deux modes d'exécution :
Purple Knight en mode GUI (interface graphique)
- Lance l'application
- Sélectionne le domaine cible
- Configure les options d'analyse
- Exécute le scan
- Exporte le rapport HTML/PDF
Purple Knight en mode CLI (silencieux)
PurpleKnight.exe -Domain contoso.com -Report HTML -Output C:\Reports\🔬 Détections Avancées Uniques
- Print Spooler sur DC : Vérifie si le service Spooler est activé sur les DCs (vecteur PrintNightmare)
- SYSVOL permissions : Analyse des permissions SYSVOL pour détecter des modifications non autorisées
- KRBTGT password age : Alerte si le mot de passe KRBTGT n'a jamais été changé
- Laps deployment : Vérifie si LAPS est déployé et correctement configuré
✅ Points Forts
- Interface moderne : GUI claire et intuitive
- Focus résilience : Seul outil à évaluer la capacité de récupération
- Mapping MITRE ATT&CK : Contexte tactique pour chaque vulnérabilité
- Détections IOC : Recherche proactive de compromission
- Rapports personnalisables : Export HTML/PDF avec logo entreprise
⚠️ Limites
- Gratuit mais propriétaire : Code source fermé, dépendance à Semperis
- Pas de visualisation graphique des chemins d'attaque
- Nécessite l'installation d'un agent (contrairement à PingCastle qui est portable)
- Focus sur Windows Server 2016+ (support limité des versions anciennes)
#3BloodHound : Visualisation des Chemins d'Attaque
BloodHound est l'outil révolutionnaire développé par SpecterOps (Andy Robbins, Will Schroeder, Rohan Vazarkar) qui a transformé le pentest Active Directory. En utilisant la théorie des graphes, BloodHound révèle instantanément les chemins d'escalade de privilèges invisibles à l'œil nu.
9. Architecture Neo4j et Graph Theory
BloodHound repose sur Neo4j, une base de données orientée graphes. Les objets AD (utilisateurs, groupes, ordinateurs, GPOs) sont représentés comme des nœuds (nodes) et leurs relations (MemberOf, AdminTo, GenericAll, etc.) comme des arêtes (edges).
Collecteurs de Données (Ingestors)
BloodHound ne se connecte pas directement à AD. Il utilise des collecteurs qui énumérent les données et les exportent en JSON :
- SharpHound (C#) : Collecteur officiel, version Windows
- BloodHound.py : Collecteur Python pour Linux/macOS
- AzureHound : Collecteur pour Azure AD et Entra ID
- SharpHound (PowerShell) : Version legacy PowerShell (déconseillée)
Exemple de collecte avec SharpHound :
SharpHound.exe -c All --zipfilename output.zip
SharpHound.exe -c All,GPOLocalGroup --Domain contoso.com --LdapUsername pentester --LdapPassword P@ssw0rd
SharpHound.exe -c DCOnly --OutputDirectory C:\Temp\ --NoSaveCache10. Requêtes Cypher Avancées
La puissance de BloodHound réside dans son langage de requête Cypher (langage de Neo4j). Exemples de requêtes critiques :
1. Trouver tous les chemins vers Domain Admins
MATCH p=shortestPath((u:User)-[*1..]->(g:Group {name:"DOMAIN ADMINS@CONTOSO.COM"}))
RETURN p2. Comptes avec GenericAll sur Domain Admins
MATCH p=(u)-[:GenericAll]->(g:Group {name:"DOMAIN ADMINS@CONTOSO.COM"})
RETURN p3. Utilisateurs Kerberoastables avec chemin vers DA
MATCH (u:User {hasspn:true})
MATCH p=shortestPath((u)-[*1..]->(g:Group {name:"DOMAIN ADMINS@CONTOSO.COM"}))
WHERE u.enabled=true
RETURN p4. Ordinateurs avec Unconstrained Delegation
MATCH (c:Computer {unconstraineddelegation:true})
RETURN c.name, c.operatingsystem11. BloodHound 4.x : Nouvelles Fonctionnalités
La version 4 de BloodHound (Community Edition) introduit des améliorations majeures :
- Analyse des GPOs : Détection des GPOs qui accordent des privilèges locaux
- Azure AD Integration : Support complet d'Azure AD et des hybrides
- Container Support : Analyse des OUs et de l'héritage de permissions
- Certified Pre-Owned : Détection des vulnérabilités AD CS (intégré)
12. Analyse des ACLs Critiques
BloodHound excelle dans la détection des abus d'ACLs. Les permissions dangereuses détectées :
| Permission ACL | Impact | Exploitation |
|---|---|---|
| GenericAll | Contrôle total | Reset password, add SPN, modify ACLs |
| WriteDACL | Modifier les ACLs | S'octroyer GenericAll |
| WriteOwner | Changer le propriétaire | Devenir owner puis WriteDACL |
| ForceChangePassword | Reset le mot de passe | Réinitialiser sans connaître l'ancien |
| AddMembers | Ajouter dans un groupe | S'ajouter dans Domain Admins |
✅ Points Forts
- Visualisation graphique : Révèle des chemins invisibles autrement
- Requêtes Cypher : Flexibilité infinie pour des analyses custom
- Rapidité : Analyse d'un domaine de 50k objets en secondes
- Communauté active : Queries custom partagées, support Discord
- Intégration Azure AD : Support des environnements hybrides
⚠️ Limites
- Courbe d'apprentissage : Maîtriser Cypher nécessite du temps
- Dépendance Neo4j : Installation et configuration de Neo4j requises
- Ne détecte pas les vulnérabilités de configuration génériques (comme PingCastle)
- Focus sur les chemins d'attaque, pas sur le hardening global
💡 Besoin d'une Analyse BloodHound Experte ?
Nos consultants maîtrisent BloodHound et Cypher. Nous analysons votre AD avec des requêtes avancées pour identifier tous les chemins d'escalade, même les plus subtils. Rapport avec priorisation des remédiation critiques.
Demander une analyse BloodHound#4Adalanche : Graph Analysis Engine Nouvelle Génération
Adalanche est un outil open-source récent (2021) développé par Lars Karlslund qui se positionne comme une alternative moderne à BloodHound avec des fonctionnalités uniques.
13. Architecture et Design
Adalanche est écrit en Go et utilise une architecture différente de BloodHound :
- Analyse locale : Pas besoin de Neo4j, analyse directement les dumps LDAP
- Interface web intégrée : Serveur web Go avec visualisation interactive
- Performance : Optimisé pour les grands domaines (100k+ objets)
- Multi-domaines natif : Analyse simultanée de plusieurs domaines/forêts
14. Fonctionnalités Distinctives
1. Analyse des Relations Transitives
Adalanche calcule automatiquement les relations transitives : si Alice peut réinitialiser le mot de passe de Bob, et Bob est admin de Serveur1, alors Alice contrôle indirectement Serveur1.
2. Détection des Anomalies Statistiques
Adalanche utilise des algorithmes statistiques pour détecter les comportements anormaux :
- Utilisateurs avec un nombre anormal de permissions directes
- Objets avec des ACLs inhabituelles par rapport à leur OU
- Groupes avec une croissance suspecte de membres
3. Export et Intégration
Adalanche peut exporter ses données vers BloodHound, permettant une analyse hybride : collecte avec Adalanche, visualisation avec BloodHound.
15. Utilisation Pratique
adalanche collect --domain contoso.com --username pentester@contoso.com --password P@ssw0rd
adalanche analyze --datapath ./adalanche-output/
adalanche webservice --datapath ./adalanche-output/ --port 8080Une fois le serveur web lancé, l'interface est accessible sur http://localhost:8080.
✅ Points Forts
- Pas de dépendance Neo4j : Installation simplifiée
- Performance : Très rapide sur les grands domaines
- Analyse statistique : Détection d'anomalies avancée
- Multi-domaines natif : Idéal pour les forêts complexes
- Interface moderne : Web UI responsive
⚠️ Limites
- Outil récent : Communauté plus petite que BloodHound
- Moins de requêtes pré-construites
- Documentation encore en développement
- Pas de support Azure AD (focus on-premise)
#5ADRecon : Reconnaissance et Documentation Complète
ADRecon est un outil PowerShell développé par Prashant Mahajan qui se distingue par sa capacité à générer une documentation exhaustive de l'environnement Active Directory sous forme de rapport Excel.
16. Approche Orientée Documentation
ADRecon adopte une approche différente des autres outils : au lieu de se concentrer sur les vulnérabilités, il extrait toutes les informations AD dans un format analysable (Excel avec multiples onglets).
17. Données Collectées
ADRecon collecte plus de 50 types de données différentes :
- Utilisateurs : Tous les attributs, groupes, dernière connexion, pwdLastSet, etc.
- Groupes : Membres récursifs, groupes imbriqués, groupes à privilèges
- Ordinateurs : OS, version, dernière connexion, SPNs
- OUs : Structure, GPOs liées, délégations
- GPOs : Toutes les politiques, liens, permissions
- ACLs : Permissions sur tous les objets critiques
- Trusts : Relations de confiance, filtrage SID
- Sites et Subnets : Topologie réseau AD
- DNS Zones : Zones et enregistrements DNS intégrés AD
18. Génération de Rapports
Le rapport Excel généré contient :
- Onglet Summary : Vue d'ensemble du domaine
- Onglets par type d'objet : Utilisateurs, Groupes, Ordinateurs, GPOs, etc.
- Onglets d'analyse : Comptes inactifs, mots de passe expirés, délégations dangereuses
- Tableaux croisés dynamiques : Analyses statistiques prêtes à l'emploi
19. Utilisation
Import-Module .\ADRecon.ps1
Invoke-ADRecon
Invoke-ADRecon -DomainController dc01.contoso.com -Credential (Get-Credential)
Invoke-ADRecon -GenExcel C:\Temp\ADRecon-output\✅ Points Forts
- Documentation exhaustive : Capture complète de l'état AD
- Format Excel : Accessible aux non-techniques, facile à filtrer/analyser
- Idéal pour l'audit de conformité : Preuves documentaires
- Pas d'installation : Script PowerShell portable
- Utile pour les migrations : Documentation avant/après
⚠️ Limites
- Pas d'analyse de sécurité : C'est un outil de collecte, pas d'audit
- Génération Excel lente sur les grands domaines (30min+)
- Nécessite PowerShell et Excel pour visualiser les rapports
- Pas de visualisation graphique
Tableau Comparatif des 5 Outils
| Outil | Focus | Output | Temps Exec | Cas d'Usage |
|---|---|---|---|---|
| PingCastle | Vulnérabilités config | HTML + Score | 2-5 min | Audit rapide, suivi dans le temps |
| Purple Knight | Sécurité + Résilience | HTML/PDF + GUI | 5-10 min | Évaluation globale, IOC hunting |
| BloodHound | Chemins d'attaque ACL | Graph Neo4j | 5-15 min | Pentest, recherche d'escalade |
| Adalanche | Graph + Anomalies | Web UI + Export | 3-8 min | Alternative BloodHound, multi-domaines |
| ADRecon | Documentation complète | Excel multi-onglets | 10-30 min | Audit conformité, migrations |
Méthodologie d'Audit Active Directory avec ces Outils
Dans nos missions d'audit, nous combinons ces 5 outils selon une méthodologie éprouvée :
20. Phase 1 : Évaluation Rapide (Jour 1)
- PingCastle Healthcheck : Score global et identification des quick wins
- Purple Knight Scan : Détection d'IOCs et vérification résilience
- Restitution flash : Points critiques identifiés en 24h
21. Phase 2 : Analyse Approfondie (Jours 2-3)
- BloodHound Collection : SharpHound avec toutes les options
- Analyse Cypher : Requêtes custom pour identifier tous les chemins d'escalade
- Adalanche : Analyse complémentaire des anomalies statistiques
- ADRecon : Documentation exhaustive pour l'annexe du rapport
22. Phase 3 : Exploitation et Validation (Jours 4-5)
- Tests d'exploitation : Validation manuelle des chemins identifiés
- Priorisation : Classification CVSS des vulnérabilités
- Roadmap de remédiation : Plan d'action priorisé
🎯 Audit Active Directory Complet
Ne vous contentez pas d'un seul outil. Nos experts combinent PingCastle, Purple Knight, BloodHound, Adalanche et ADRecon pour une analyse exhaustive de votre Active Directory. Vous recevez un rapport de 100+ pages avec roadmap de sécurisation sur 12 mois.
📊 Livrable : Rapport d'audit complet + Fichiers BloodHound + Rapport PingCastle + Session de restitution de 4h
Demander un devis d'audit ADConclusion : Choisir le Bon Outil pour le Bon Besoin
Il n'existe pas d'outil parfait qui fait tout. Chaque outil a ses forces :
- ✅ PingCastle : Votre outil de monitoring continu (mensuel)
- ✅ Purple Knight : Pour l'évaluation de résilience et la recherche d'IOCs
- ✅ BloodHound : Indispensable pour le pentest et la recherche d'escalade
- ✅ Adalanche : Alternative moderne pour les environnements complexes
- ✅ ADRecon : Pour la documentation et les audits de conformité
L'approche recommandée : combinez au minimum PingCastle + BloodHound pour couvrir à la fois les vulnérabilités de configuration et les chemins d'attaque ACL.
📚 Ressources Complémentaires
- Top 10 des Attaques Active Directory 2025
- Livre Blanc : Sécuriser Active Directory
- Nos services d'audit Active Directory
- Formations Pentest et Audit Active Directory
Cet article vous a été utile ? Partagez-le avec vos équipes sécurité.
© 2025 Ayi NEDJIMI Consultants - Tous droits réservés