Pentest Active Directory : méthodologie et principales attaques
Active Directory (AD) est le cœur du système d'information de 95 % des entreprises françaises utilisant Windows. C'est aussi la cible privilégiée des groupes ransomware : compromettre l'AD signifie contrôler l'ensemble du SI. Un audit de sécurité Active Directory est donc une priorité absolue — voici la méthodologie et les principales techniques utilisées par nos experts.
Pourquoi l'Active Directory est-il si ciblé ?
Active Directory centralise l'authentification et les autorisations de toute l'infrastructure Windows. Un attaquant qui compromet un Contrôleur de Domaine (DC) obtient un accès illimité à l'ensemble des ressources du SI : serveurs, bases de données, partages réseau, applications métier. Les groupes ransomware comme LockBit, BlackCat ou Clop savent que la compromission de l'AD est la clé pour maximiser l'impact de leur attaque en chiffrant simultanément tous les systèmes.
Les vulnérabilités AD sont souvent liées à des configurations héritées, à un manque de gouvernance des droits, à des comptes de service trop privilégiés et à l'absence de surveillance des événements d'authentification. Selon nos audits, 87 % des AD audités présentent des chemins d'attaque permettant d'atteindre les droits Domain Admin en moins de 24 heures.
Les principales techniques d'attaque Active Directory
Kerberoasting : Technique ciblant les comptes de service avec SPN (Service Principal Name). L'attaquant demande des tickets Kerberos chiffrés avec le mot de passe du compte de service, puis les craque hors ligne. Les comptes de service avec des mots de passe faibles ou anciens sont particulièrement vulnérables. Solution : mots de passe complexes (plus de 25 caractères) pour les comptes de service, utilisation des Managed Service Accounts (MSA/gMSA).
Pass-the-Hash (PtH) : Récupération des hashes NTLM en mémoire (via Mimikatz) pour s'authentifier sans connaître le mot de passe en clair. Particulièrement efficace lorsque des administrateurs utilisent le même compte local sur plusieurs machines. Solution : désactiver NTLM v1, activer Credential Guard, appliquer LAPS pour les mots de passe administrateurs locaux.
DCSync : Simulation du processus de réplication des Contrôleurs de Domaine pour extraire les hashes de tous les comptes AD, y compris krbtgt. Nécessite des droits de réplication (DS-Replication-Get-Changes). Un compte compromis avec ces droits permet d'extraire l'intégralité de la base AD. Solution : audit régulier des comptes avec droits de réplication, surveillance des logs d'événement 4662.
Golden Ticket : Création de tickets Kerberos forgés à partir du hash du compte krbtgt, permettant d'usurper l'identité de n'importe quel utilisateur pour une durée pouvant aller jusqu'à 10 ans. C'est la persistance ultime après compromission d'un DC. Solution : réinitialiser le mot de passe krbtgt deux fois consécutives après une compromission détectée.
AS-REP Roasting : Cible les comptes dont la pré-authentification Kerberos est désactivée. L'attaquant peut demander un ticket AS-REP sans s'authentifier et le craquer hors ligne. Solution : vérifier qu'aucun compte n'a "Do not require Kerberos preauthentication" activé.
BloodHound : cartographier les chemins d'attaque
BloodHound est l'outil de référence pour cartographier les relations et les chemins d'escalade de privilèges dans Active Directory. Il collecte les données AD via SharpHound et les visualise sous forme de graphe, révélant des chemins d'attaque non évidents : comment un utilisateur standard peut-il obtenir les droits Domain Admin en exploitant des relations de groupes, des ACL permissives et des délégations Kerberos non contrôlées ?
L'analyse BloodHound est systématiquement réalisée lors de nos audits AD. Elle révèle invariablement des chemins d'attaque insoupçonnés : comptes avec GenericAll sur des OUs critiques, délégations Kerberos non contraintes sur des serveurs sensibles, membership dans des groupes à hauts privilèges accordés "temporairement" il y a des années.
Mesures de durcissement Active Directory
Tiering model : Segmenter l'AD en 3 niveaux (Tier 0 : DC et systèmes critiques, Tier 1 : serveurs applicatifs, Tier 2 : postes de travail) et s'assurer qu'aucun compte Tier 0 ne peut se connecter à des systèmes Tier 1 ou 2, limitant la propagation en cas de compromission.
LAPS (Local Administrator Password Solution) : Générer automatiquement des mots de passe aléatoires et uniques pour les comptes administrateurs locaux de chaque machine, éliminant le risque de Pass-the-Hash latéral.
Credential Guard : Fonctionnalité Windows Server 2016+ qui protège les credentials en mémoire (LSASS) via la virtualisation, empêchant l'extraction par Mimikatz.
Surveillance des événements critiques : Activer l'audit avancé et surveiller les événements 4625 (échec d'authentification), 4672 (privilèges spéciaux assignés), 4719 (changement de politique d'audit), 4662 (accès aux objets AD) et 4776 (authentification NTLM).
Un audit Active Directory complet prend 5 à 10 jours et couvre la revue de configuration, l'analyse BloodHound, les tests des principales techniques d'attaque et un plan de remédiation priorisé. C'est l'un des audits les plus rentables pour une PME : les failles AD sont systématiques et leur correction est souvent peu coûteuse.