Aller au contenu principal
Cybersécurité9 min de lecture

Les 10 attaques les plus communes de l'Active Directory : Comment s'en protéger

Kerberoasting, Pass-the-Hash, Password Spraying... Découvrez les 10 attaques Active Directory les plus courantes en 2026, comment les détecter et comment protéger votre infrastructure.

Sécurité Active Directory

Sommaire

Les 10 attaques les plus courantes contre l'Active Directory

L'Active Directory (AD) est le coeur de l'infrastructure informatique de la plupart des entreprises : authentification, droits d'accès, politiques de groupe, DNS interne... Compromettre l'AD, c'est prendre le contrôle total du réseau. En 2025, 90% des attaques par ransomware ont impliqué une compromission de l'Active Directory à un moment ou un autre de la chaîne d'attaque (source : ANSSI).

Voici les 10 techniques d'attaque les plus utilisées contre l'AD, avec pour chacune les moyens de détection et de protection.

1. Kerberoasting

Le Kerberoasting cible les comptes de service qui possèdent un Service Principal Name (SPN). L'attaquant demande un ticket Kerberos (TGS) pour ce service, puis tente de casser le hachage du mot de passe hors ligne. Aucune alerte n'est déclenchée côté serveur puisque la demande de ticket est légitime.

Comment s'en protéger : utilisez des mots de passe de 25+ caractères pour les comptes de service, activez les Group Managed Service Accounts (gMSA) et surveillez les requêtes TGS anormales via un SOC managé.

2. Password Spraying

L'attaquant teste un même mot de passe courant (ex : "Entreprise2026!") sur des centaines de comptes. Cette approche contourne les verrouillages de compte car chaque compte ne subit qu'une seule tentative.

Comment s'en protéger : imposez le MFA sur tous les comptes, déployez des politiques de mots de passe bannissant les patterns courants et surveillez les échecs d'authentification distribués.

3. Empoisonnement LLMNR/NBT-NS

LLMNR (Link-Local Multicast Name Resolution) et NBT-NS sont des protocoles de résolution de noms utilisés quand le DNS échoue. Un attaquant sur le réseau local peut répondre à ces requêtes pour intercepter les identifiants (attaque man-in-the-middle via des outils comme Responder).

Comment s'en protéger : désactivez LLMNR et NBT-NS via GPO, segmentez votre réseau et déployez une protection DNS pour détecter les résolutions anormales.

4. Pass-the-Hash (Mimikatz)

Avec Mimikatz, l'attaquant extrait les hachages NTLM stockés en mémoire et les utilise pour s'authentifier sur d'autres machines sans connaître le mot de passe en clair. Cette technique permet un mouvement latéral rapide dans le réseau.

Comment s'en protéger : activez Credential Guard sur Windows 10/11, limitez les comptes admin locaux partagés (LAPS), et déployez un EDR capable de détecter l'injection de hachages.

5. Default Credentials (identifiants par défaut)

De nombreux équipements réseau, applications et comptes de service conservent leurs identifiants d'usine (admin/admin, sa/password...). Les attaquants scannent systématiquement ces cibles faciles.

Comment s'en protéger : auditez régulièrement les identifiants par défaut, utilisez un gestionnaire de mots de passe professionnel et incluez cette vérification dans vos audits de sécurité.

Votre Active Directory est-il exposé ?

Notre audit gratuit analyse la configuration de votre AD : comptes à privilèges, politiques de mots de passe, GPO, protocoles legacy et chemins d'attaque. Vous repartez avec un plan d'action concret.

Demander un audit de sécurité Active Directory

6. Hard-coded Credentials (secrets dans le code)

Des mots de passe, clés API ou chaînes de connexion stockés en clair dans des scripts, GPO preferences (cpassword), fichiers de configuration ou code source. Les attaquants les trouvent facilement avec des outils de scan automatisés.

Comment s'en protéger : scannez régulièrement vos partages réseau et scripts à la recherche de secrets exposés, supprimez les GPP passwords (ms-ds-group-managed-sa), et centralisez les secrets dans un coffre-fort (Azure Key Vault, etc.).

7. Privilege Escalation (élévation de privilèges)

L'attaquant exploite une mauvaise configuration (ACL permissives, délégation non contrainte, membership de groupes à privilèges) pour obtenir des droits administrateur de domaine à partir d'un compte standard.

Comment s'en protéger : appliquez le principe du moindre privilège, auditez les ACL de l'AD avec BloodHound (en défensif), et implémentez Privileged Access Management (PAM) via la gestion des identités et des accès.

8. Reconnaissance LDAP

L'attaquant interroge l'annuaire LDAP pour cartographier l'ensemble des utilisateurs, groupes, GPO, partages et ordinateurs de votre domaine. Ces informations servent de base à toutes les attaques suivantes.

Comment s'en protéger : restreignez les requêtes LDAP anonymes, activez l'audit des accès LDAP et surveillez les requêtes inhabituelles (volumes anormaux, requêtes depuis des comptes non admin).

9. Cartographie BloodHound

BloodHound utilise la théorie des graphes pour identifier automatiquement les chemins d'attaque vers les comptes administrateurs de domaine. Un attaquant avec un simple compte utilisateur peut découvrir en quelques minutes comment devenir Domain Admin.

Comment s'en protéger : utilisez BloodHound vous-même en mode défensif pour identifier et corriger les chemins d'attaque avant que les attaquants ne les exploitent. Un SOC managé effectue ces analyses régulièrement.

10. Extraction du fichier NTDS.dit

Le fichier NTDS.dit contient l'intégralité de la base de données Active Directory : tous les hachages de mots de passe, toutes les informations d'objets. Son extraction (via DCSync, Shadow Copy ou accès physique au contrôleur de domaine) donne à l'attaquant les clés de tout le royaume.

Comment s'en protéger : protégez l'accès physique et réseau aux contrôleurs de domaine, surveillez les réplications DCSync suspectes et maintenez une sauvegarde sécurisée de votre AD pour pouvoir reconstruire en cas de compromission.

Comment se protéger : les 6 piliers de la sécurité AD

La meilleure défense contre ces attaques repose sur une stratégie de sécurité proactive. Voici les 6 piliers essentiels :

1. Surveillance 24/7 avec un SOC

La mise en place d'un SOC managé permet de détecter en temps réel les activités suspectes sur votre AD : tentatives de Kerberoasting, mouvements latéraux, requêtes LDAP anormales, réplications DCSync... Un SIEM centralise et corrèle les journaux d'événements pour identifier les attaques complexes avant qu'elles ne causent des dommages.

2. Audits de sécurité réguliers

Les audits de sécurité permettent d'identifier les vulnérabilités avant les attaquants : comptes à privilèges excessifs, GPO mal configurées, protocoles legacy actifs, chemins d'attaque BloodHound. Découvrez notre approche dans notre article : Pourquoi et comment réaliser un audit de cybersécurité ?

3. Formation et sensibilisation des utilisateurs

Le Password Spraying et le phishing ciblent les utilisateurs. Des campagnes de sensibilisation régulières et des simulations de phishing réduisent significativement le risque de compromission initiale.

4. Contrôles de sécurité robustes

  • MFA obligatoire sur tous les comptes, y compris les comptes de service
  • Tiering model : séparer les comptes admin Tier 0 (AD), Tier 1 (serveurs) et Tier 2 (postes de travail)
  • LAPS : mots de passe admin locaux uniques et rotatifs
  • Credential Guard : protection des hachages en mémoire

Ces contrôles s'inscrivent dans une gestion des identités et des accès (IAM) structurée.

5. Scan de vulnérabilités et pentest

Les tests de vulnérabilités vous permettent de découvrir les faiblesses de votre environnement AD avant les attaquants. Un pentest Active Directory simule les techniques décrites dans cet article pour valider l'efficacité de vos défenses.

6. Patch management continu

Maintenez tous vos contrôleurs de domaine et serveurs à jour. Les attaquants exploitent les vulnérabilités connues (PrintNightmare, ZeroLogon, PetitPotam) pour compromettre l'AD. Découvrez l'importance du patching dans notre article dédié : Pourquoi le patch management est essentiel pour votre cybersécurité.

Pour une approche globale de la cybersécurité, consultez aussi notre guide : Cybersécurité pour les PME : Comment se protéger efficacement ?

Chez Dhala Cyberdéfense, nous auditons, sécurisons et surveillons 24/7 vos identités grâce à notre service de gestion des identités et des accès (IAM). Nous mettons en place les protections nécessaires — du durcissement AD à la supervision EDR/XDR — pour défendre votre infrastructure contre ces attaques. Contactez-nous pour un audit gratuit.

Protégez votre Active Directory maintenant
FAQ

Qu’est-ce que l’Active Directory ?

L'Active Directory (AD) est un service de Microsoft qui gère les identités et les relations entre les ressources informatiques dans un réseau. Il est souvent utilisé pour centraliser les informations d'authentification et d'autorisation.

Qu’est-ce qu’une attaque pass-the-hash ?

Une attaque pass-the-hash est une technique d’attaque qui permet à un attaquant de se connecter à un compte utilisateur sans avoir besoin de connaître le mot de passe en clair de l’utilisateur. L’attaquant n’a besoin que du hachage du mot de passe, qu’il peut obtenir par diverses méthodes.

Qu’est-ce que Mimikatz ?

Mimikatz est un outil de sécurité gratuit qui peut être utilisé pour tester la sécurité de votre environnement informatique. Il est souvent utilisé par les attaquants pour extraire des hachages de mots de passe, des tickets Kerberos ou des PINs.

Qu’est-ce que le Privilege Escalation ?

Le Privilege Escalation est une technique d’attaque où un attaquant obtient des droits supérieurs à ceux qu’il a initialement. Cela peut se faire soit en exploitant une vulnérabilité dans le système, soit en utilisant des informations d’identification volées.
Protégez votre Active Directory maintenant

Sources :

Valentin Bourgeois, fondateur Dhala Cyberdéfense

Valentin Bourgeois

Fondateur — Dhala Cyberdéfense · Meilleur Espoir MSP 2025 (BeMSP)

Expert en cybersécurité et infogérance pour PME. J'accompagne les dirigeants dans la protection de leur système d'information — de l'audit initial au SOC 24/7.

Demander un audit Sans engagement — résultats sous 48h
5.0 — 40 avis
+50 PME protégées
SOC 24/7
3 mois sans engagement

Articles similaires

Patch Tuesday Microsoft mars 2026 — correctifs de sécurité pour PME
Cybersécurité11 mars 2026

Patch Tuesday Mars 2026 : 83 failles corrigées, 2 zero-days — ce que votre PME doit faire

Patch Tuesday mars 2026 : Microsoft corrige 83 vulnérabilités dont 2 zero-days divulguées publiquement. Analyse d'impact pour les PME et actions à mener immédiatement.

Patch Tuesday Microsoft février 2026 — correctifs de sécurité pour PME
Cybersécurité10 févr. 2026

Patch Tuesday Février 2026 : 67 failles corrigées, 3 zero-days — ce que votre PME doit faire

Patch Tuesday février 2026 : Microsoft corrige 67 vulnérabilités dont 3 zero-days activement exploitées. Analyse d'impact pour les PME et actions à mener immédiatement.

Patch Tuesday Microsoft janvier 2026 — correctifs de sécurité pour PME
Cybersécurité13 janv. 2026

Patch Tuesday Janvier 2026 : 135 failles corrigées, 5 zero-days — ce que votre PME doit faire

Patch Tuesday janvier 2026 : Microsoft corrige 135 vulnérabilités dont 5 zero-days activement exploitées. Analyse d'impact pour les PME et actions à mener immédiatement.

Audit de sécurité

Testez votre posture cyber en 2 min. Sans engagement.

Lancer l'audit

Votre PME est-elle vraiment protégée ?

Audit de votre posture de sécurité. Résultats sous 48h, sans engagement. Voir nos offres.
Tester ma sécurité
Photo Valentin
ParisLyonBordeauxNancyCannesAngletMegèveReimsRouenMadridMilanMunichLondresBruxellesMontréalNew YorkSan FranciscoLas VegasDenverBrasovParisLyonBordeauxNancyCannesAngletMegèveReimsRouenMadridMilanMunichLondresBruxellesMontréalNew YorkSan FranciscoLas VegasDenverBrasovParisLyonBordeauxNancyCannesAngletMegèveReimsRouenMadridMilanMunichLondresBruxellesMontréalNew YorkSan FranciscoLas VegasDenverBrasov