Active Directory

Active Directory — Les attaques les plus courantes en 2026

Équipe LabsCyber · Avril 2026 · 8 min

'''markdown

Active Directory — Les attaques les plus courantes en 2026

Les attaques contre Active Directory (AD) évoluent constamment, exploitant des failles techniques et des configurations mal sécurisées. En 2026, certaines méthodes comme le Kerberoasting, le Pass-the-Hash (PtH) ou le DCSync restent parmi les plus redoutables pour les cybercriminels. Voici une analyse détaillée de ces attaques, leurs mécanismes, et des pistes pour les détecter et s’en prémunir.

1. Kerberoasting : Exploiter les tickets Kerberos

Principe

Le Kerberoasting cible les comptes de service AD qui ont des Service Principal Names (SPN) configurés. Ces comptes génèrent des tickets Kerberos (TGS) chiffrés avec le mot de passe du compte. Un attaquant peut :

  1. Lister les comptes avec SPN ('Get-ADUser -Filter {ServicePrincipalName -ne "$null"}').
  2. Demander un TGS pour chaque compte ('Request-SPNTicket' en PowerShell).
  3. Casser le hash du ticket hors ligne avec des outils comme Hashcat ou John the Ripper.

Exemple d'attaque

'''powershell

Lister les comptes avec SPN

Get-ADUser -Filter {ServicePrincipalName -ne "$null"} -Properties ServicePrincipalName | Select-Object Name,ServicePrincipalName

Demander un TGS (via Mimikatz ou Rubeus)

Rubeus.exe kerberoast /outfile:hashes.txt '''

Détection et mitigation

  • Détection :
    • Surveiller les requêtes de tickets Kerberos anormales ('Event ID 4769' dans les logs Windows).
    • Limiter les droits des comptes de service (principe du moindre privilège).
  • Mitigation :
    • Utiliser des mots de passe complexes et longs pour les comptes de service.
    • Activer le Kerberos Armoring (protection contre les attaques par force brute).

2. Pass-the-Hash (PtH) : Réutiliser des hashes NTLM

Principe

Le Pass-the-Hash exploite la faiblesse du protocole NTLM, qui stocke les mots de passe sous forme de hashes (LM ou NTLM). Un attaquant ayant volé un hash (via Mimikatz, Responder, ou un dump LSASS) peut :

  1. Récupérer le hash ('sekurlsa::logonpasswords' dans Mimikatz).
  2. L’utiliser pour s’authentifier sans connaître le mot de passe.

Exemple d'attaque

'''bash

Récupérer les hashes (via Mimikatz)

mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords"

Utiliser le hash pour se connecter (via PsExec)

psexec.exe -accepteula \cible -u DOMAINE\admin -p [hash_ntlm] '''

Détection et mitigation

  • Détection :
    • Surveiller les Event ID 4624 (connexions réussies) avec des comptes admin.
    • Bloquer les connexions NTLM via GPO ('Network security: Restrict NTLM').
  • Mitigation :
    • Désactiver LM/NTLM au profit de Kerberos.
    • Appliquer le Credential Guard (Windows 10/11) pour isoler les credentials.

3. DCSync : Vol de secrets AD via Mimikatz

Principe

Le DCSync permet à un attaquant de simuler un contrôleur de domaine pour exfiltrer les hashes de tous les comptes AD. Cette attaque repose sur :

  1. L’obtention de droits administratifs (Domain Admin, Enterprise Admin).
  2. L’utilisation de Mimikatz ou DSInternals pour extraire les secrets.

Exemple d'attaque

'''powershell

Exécuter DCSync (nécessite des droits élevés)

mimikatz.exe "lsadump::dcsync /domain:DOMAINE /user:Administrateur" '''

Détection et mitigation

  • Détection :
    • Surveiller les Event ID 4662 (accès aux objets AD) et 4624 (connexions suspectes).
    • Limiter les droits des comptes administratifs (principe de tiering).
  • Mitigation :
    • Restreindre l’accès aux contrôleurs de domaine.
    • Activer le Protected Users Group pour les comptes sensibles.

4. Autres attaques émergentes en 2026

Golden Ticket & Silver Ticket

  • Golden Ticket : Un ticket Kerberos falsifié pour obtenir un accès permanent.
  • Silver Ticket : Un ticket de service falsifié pour accéder à des ressources spécifiques.
  • Exemple : '''powershell mimikatz.exe "kerberos::golden /domain:DOMAINE /sid:S-1-5-21-... /rc4:[hash_krbtgt] /user:Admin /id:500" '''

Skeleton Key Attack

  • Principe : Injecter un mot de passe universel dans AD pour contourner l’authentification.
  • Mitigation : Appliquer des patches Microsoft et surveiller les Event ID 4673 (changements de mots de passe).

BloodHound & SharpHound

  • Principe : Cartographier les relations de confiance AD pour identifier les chemins d’attaque.
  • Détection : Bloquer les outils comme BloodHound via des EDR (Endpoint Detection and Response).

5. Bonnes pratiques pour sécuriser Active Directory

Configuration de base

  • Désactiver LM/NTLM et forcer Kerberos.
  • Appliquer le principe du moindre privilège (limiter les droits admin).
  • Segmenter le réseau (micro-segmentation, VLANs).

Surveillance et réponse

  • Centraliser les logs (SIEM comme Splunk, ELK).
  • Détecter les anomalies (outils comme Microsoft Defender for Identity).
  • Former les équipes aux techniques d’attaques AD.

Outils de pentest AD

  • BloodHound : Cartographie des chemins d’attaque.
  • Mimikatz : Extraction de credentials (à utiliser en lab uniquement).
  • Responder : Attaques par relai NTLM.
  • CrackMapExec : Exploitation automatisée des failles AD.

Conclusion : Agir avant qu’il ne soit trop tard

Les attaques contre Active Directory en 2026 ciblent principalement les hashes, les tickets Kerberos et les comptes administratifs. Pour s’en protéger : ✅ Auditez régulièrement votre AD avec des outils comme BloodHound. ✅ Limitez les droits des comptes et désactivez les protocoles obsolètes (NTLM, LM). ✅ Surveillez les logs pour détecter les comportements anormaux.

🚀 Prêt à tester vos défenses ? Découvrez des labs pratiques et des scénarios d’attaques AD sur LabsCyber.fr pour renforcer vos compétences en cybersécurité.

"Un Active Directory mal sécurisé est une porte ouverte aux cybercriminels. Protégez-le avant qu’ils ne le fassent." '''

Pratiquer sur un vrai terminal Kali Linux

9 labs gratuits · Sans carte bancaire · 100% en français

Commencer gratuitement →