Securite Active Directory

Active Directory, c'est un peu le coeur de la plupart des entreprises qui tournent sous Windows. C'est lui qui gere les utilisateurs, les droits d'acces, les politiques de securite... Bref, si un attaquant arrive a compromettre l'AD, c'est game over : il peut potentiellement acceder a tout le SI.

Et le probleme, c'est que les attaques sur AD sont de plus en plus frequentes. On a vu ces dernieres annees des ransomwares comme LockBit ou BlackCat qui ciblent specifiquement les controleurs de domaine pour chiffrer tout le reseau d'un coup. Des techniques comme Kerberoasting, Pass-the-Hash ou DCSync sont devenues monnaie courante chez les attaquants.

D'apres l'ANSSI, plus de 80% des attaques par ransomware en France en 2023-2024 ont implique une compromission d'Active Directory. Ca montre bien que securiser son AD, c'est plus une option aujourd'hui, c'est une necessite absolue.

Problematique : Comment securiser concretement un environnement Active Directory face aux menaces actuelles, tout en gardant une infrastructure fonctionnelle pour les utilisateurs ?

Avant de parler des solutions, faut comprendre contre quoi on se bat. Voici les attaques les plus courantes sur Active Directory :

Kerberoasting

Le principe est simple : un attaquant qui a un compte utilisateur basique peut demander des tickets Kerberos pour les comptes de service. Ces tickets sont chiffres avec le hash du mot de passe du compte de service. Du coup, l'attaquant peut les recuperer et tenter de les casser en offline avec des outils comme Hashcat. Si le mot de passe du compte de service est faible, c'est cuit en quelques minutes.

Pass-the-Hash (PtH)

Sous Windows, quand on se connecte, le hash NTLM de notre mot de passe reste en memoire (dans le processus LSASS). Un attaquant avec des droits admin local peut dumper ces hash avec des outils comme Mimikatz. Ensuite, il peut les reutiliser directement pour s'authentifier sur d'autres machines, sans meme connaitre le mot de passe en clair. C'est comme ca que les attaquants font du mouvement lateral dans le reseau.

DCSync

C'est une des attaques les plus devastatrices. Si un attaquant arrive a avoir les droits de replication (souvent en compromettant un compte Domain Admin), il peut simuler un controleur de domaine et demander la replication de tous les hash de mots de passe, y compris celui du compte krbtgt. Avec ca, il peut creer des Golden Tickets et avoir un acces permanent au domaine.

LLMNR/NBT-NS Poisoning

LLMNR et NetBIOS sont des protocoles de resolution de noms qui datent d'une autre epoque. Quand un poste ne trouve pas une machine via DNS, il broadcast sur le reseau avec ces protocoles. Un attaquant peut repondre a ces requetes et intercepter les hash NTLMv2 des utilisateurs. C'est souvent le premier point d'entree dans un reseau.

Maintenant qu'on connait les menaces, voici les mesures concretes a mettre en place :

1. Politique de mots de passe robuste

Via les GPO (Group Policy Objects), on peut forcer des regles strictes : minimum 12 caracteres, complexite obligatoire, historique des mots de passe pour eviter la reutilisation. Pour les comptes de service vulnerables au Kerberoasting, on met des mots de passe de 25+ caracteres generes aleatoirement, ou mieux, on utilise les gMSA (Group Managed Service Accounts) qui gerent automatiquement la rotation des mots de passe.

2. Le modele de Tiering

C'est un concept recommande par Microsoft pour limiter les mouvements lateraux. L'idee c'est de separer l'infra en 3 niveaux :

• Tier 0 : Les controleurs de domaine et comptes Domain Admins. Acces ultra-restreint.
• Tier 1 : Les serveurs membres (serveurs de fichiers, applications, etc.)
• Tier 2 : Les postes utilisateurs

La regle d'or : un admin Tier 0 ne doit JAMAIS se connecter sur un poste Tier 2. Sinon, si ce poste est compromis, l'attaquant recupere les credentials admin du domaine direct.

3. LAPS (Local Administrator Password Solution)

Gros probleme classique : le meme mot de passe admin local sur tous les postes. Si un attaquant le recupere sur une machine, il peut l'utiliser partout (Pass-the-Hash). LAPS resout ca en generant un mot de passe unique pour chaque poste, stocke de maniere securisee dans l'AD. C'est gratuit, fourni par Microsoft, et ca se deploie facilement via GPO.

4. Desactiver les protocoles obsoletes

LLMNR, NetBIOS over TCP/IP, SMBv1... tous ces vieux protocoles sont des vecteurs d'attaque. On les desactive via GPO. Pour LLMNR : Computer Configuration > Administrative Templates > Network > DNS Client > Turn off multicast name resolution. Pour SMBv1, une simple commande PowerShell suffit : Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol

5. Audit et surveillance

Activer les logs de securite, c'est bien. Mais faut savoir quoi surveiller. Les evenements critiques a monitorer :

• 4624/4625 : Connexions reussies/echouees
• 4672 : Attribution de privileges speciaux (admin)
• 4768/4769 : Demandes de tickets Kerberos (pour detecter le Kerberoasting)
• 4776 : Validation de credentials (NTLM)
• 4732/4733 : Ajout/suppression de membres dans les groupes sensibles

Idealement, on centralise tout ca dans un SIEM pour pouvoir faire des alertes automatiques.

Securiser un AD en production, c'est pas juste appliquer des GPO et basta. Y'a plein de pieges et de compromis a faire. Voici ce que j'ai appris :

Le probleme des applications legacy

Beaucoup d'applis metier anciennes ne supportent pas les politiques de mots de passe modernes ou ont besoin de protocoles obsoletes pour fonctionner. Par exemple, certaines applis tournent encore avec NTLMv1 ou ont des comptes de service avec des mots de passe codes en dur. La solution c'est souvent de creer des Fine-Grained Password Policies pour ces comptes specifiques, tout en documentant le risque residuel.

La resistance au changement

Forcer des mots de passe de 12 caracteres avec complexite, ca fait raler. Les utilisateurs vont contourner en mettant "Entreprise2024!" et changer juste le chiffre a chaque renouvellement. La vraie solution c'est de passer aux passphrases (plus longues mais plus faciles a retenir) ou de deployer du MFA pour reduire la dependance aux mots de passe.

Le tiering en pratique

Le modele de tiering c'est genial sur le papier, mais en vrai c'est complique a mettre en place. Ca demande de revoir toute l'organisation des comptes, de former les admins, de mettre en place des PAW (Privileged Access Workstations)... Dans une petite structure avec un seul admin sys qui fait tout, c'est quasi impossible a appliquer strictement. Faut adapter le modele a la realite de l'entreprise.

Ce que j'en retiens

La securite AD c'est un equilibre constant entre le niveau de protection et l'utilisabilite. Faut prioriser les mesures qui ont le plus d'impact : LAPS et la desactivation de LLMNR/NBT-NS, ca se deploie facilement et ca bloque enormement d'attaques. Le tiering complet, ca peut venir apres, progressivement.

La securite AD, c'est un domaine qui bouge beaucoup. Voici les tendances actuelles a surveiller :

Azure AD et l'hybride

De plus en plus d'entreprises passent en mode hybride avec Azure AD (maintenant "Microsoft Entra ID"). Ca ajoute de nouvelles surfaces d'attaque : synchronisation des hash vers le cloud, token d'acces OAuth, etc. Les attaquants s'adaptent avec des techniques comme le Golden SAML ou l'exploitation des mauvaises configs d'Azure AD Connect.

Outils de detection automatises

Cote defense, on voit apparaitre des outils comme Microsoft Defender for Identity (anciennement Azure ATP) qui detectent automatiquement les comportements suspects : tentatives de Kerberoasting, replication DCSync anormale, reconnaissance LDAP... C'est plus accessible que de monitorer les logs a la main.

Vers le Zero Trust

Le modele Zero Trust remet en question l'approche traditionnelle ou on fait confiance a tout ce qui est "dans le reseau". L'idee c'est de verifier systematiquement chaque acces, meme en interne. Microsoft pousse fort la-dessus avec des solutions comme Conditional Access dans Entra ID. A terme, ca pourrait reduire la dependance a l'AD on-premise.

Actualites recentes

En 2024, plusieurs CVE critiques ont touche AD : vulnerabilites dans Kerberos, dans le service Netlogon (ZeroLogon en 2020 c'etait deja ca)... Ca montre l'importance de maintenir ses DC a jour et d'avoir un processus de patching rigoureux, meme si c'est contraignant sur des controleurs de domaine en production.

La securite Active Directory, c'est un sujet que j'ai trouve vraiment interessant a approfondir. C'est concret, ca touche directement a ce qu'on fait en entreprise, et ca permet de comprendre comment les attaquants raisonnent pour mieux se defendre.

Ce que j'en retiens, c'est que la securite c'est jamais fini. Y'a pas de solution miracle qui securise tout d'un coup. C'est un ensemble de mesures a empiler, a maintenir, a adapter. Et surtout, faut garder en tete que l'objectif c'est pas d'etre inviolable (ca existe pas), mais de rendre la vie suffisamment difficile aux attaquants pour qu'ils passent leur chemin ou se fassent detecter.

Pour un admin sys debutant, je conseillerais de commencer par les quick wins : LAPS, desactiver LLMNR/NBT-NS, politique de mots de passe correcte. Ca prend pas des semaines a deployer et ca bloque deja pas mal de techniques d'attaque courantes.

Voici les principales sources que j'ai utilisees pour cette veille :

• ANSSI - "Recommandations de securite relatives a Active Directory" (2023)
• Microsoft Learn - Documentation officielle sur la securisation AD et Entra ID
• MITRE ATT&CK - Matrice des techniques d'attaque sur AD
• SpecterOps - Blog technique sur les attaques AD (BloodHound, etc.)
• HackTricks - Documentation sur les techniques de pentest AD
• CERT-FR - Alertes de securite et CVE recentes