Logo ORSYS le mag 2025

Le média de la formation et des compétences

Accueil > Technologies numériques > Cybersécurité > Pourquoi Active Directory reste la cible n°1 des cyberattaques

Pourquoi Active Directory reste la cible n°1 des cyberattaques

Publié le 5 janvier 2026
Partagez cette page :

Plus de 9 attaques sur 10 ciblent Active Directory (AD). Véritable système nerveux du système d’information de l’entreprise, il centralise la gestion des identités et des accès. Mais cette concentration de pouvoir en fait aussi le « Graal » pour les cybercriminels. Découvrez les vulnérabilités les plus fréquentes et comment éviter qu’un AD mal sécurisé ne compromette tout votre SI.

Image Article Cybersécurité Active Directory

Chaque année confirme la même tendance : lorsqu’une cyberattaque réussit, Active Directory finit presque toujours par apparaître dans la chaîne de compromission. Peu importe le point d’entrée initial, l’objectif reste le même : prendre le contrôle de l’identité, c’est prendre le contrôle du système d’information.

Le rôle central d’Active Directory

D’abord, il faut bien comprendre ce qu’est Active Directory (AD) : c’est le service d’annuaire qui centralise la gestion des identités et des accès dans les environnements Windows.

AD ne sert pas uniquement à créer des comptes utilisateurs. Il définit qui peut se connecter, à quoi, avec quels droits et dans quelles conditions. Il orchestre l’authentification, la délégation des privilèges, l’accès aux applications et la confiance entre machines.

Autrement dit, AD représente le socle de confiance du SI. Dès qu’un attaquant en abuse, il ne contourne plus les contrôles de sécurité : il agit comme un acteur légitime.

Pourquoi AD est devenu la cible préférée des pirates

Avant tout, l’architecture même d’AD en fait une cible stratégique. Les identités ne constituent plus un simple élément du SI : elles définissent qui peut faire quoi, sur quelles ressources et à quel moment. Au lieu d’attaquer des services isolés, un attaquant vise aujourd’hui l’identité pour obtenir un pivot, un point d’appui pour se déplacer dans le SI.

Ensuite, la complexité historique d’AD pose problème. La plupart des forêts AD (ensemble logique regroupant un ou plusieurs domaines) ont plus de dix ans d’héritage. Au fil du temps, les équipes ont ajouté des comptes de service, empilé des GPO (Group Policy Objects : règles déployées sur postes/serveurs), accordé des droits « temporaires » jamais retirés.

Contrairement à une application moderne qui peut être réécrite, AD vit avec son passé. Ce cumul permet à l’attaquant de trouver facilement des groupes sur-privilégiés, des droits excessifs ou des comptes oubliés. Autant de leviers d’escalade de privilèges.

Par ailleurs, bien que Microsoft propose désormais des mécanismes de protection avancés, peu d’organisations les activent ou les configurent correctement.

Dans les faits, beaucoup d’organisations hésitent à toucher à AD. Elles craignent les impacts en production. Cette prudence compréhensible laisse pourtant s’installer une dette technique identitaire, que les attaquants exploitent avec méthode.

Par exemple, le groupe « Utilisateurs protégés » introduit dans Windows Server limite fortement l’usage d’identifiants volés. Il empêche le recours à NTLM (ancien protocole d’authentification Windows), impose des comportements plus stricts autour de Kerberos (authentification moderne par tickets) et désactive certaines délégations risquées pour les comptes sensibles.

Cependant, cette fonctionnalité exige des versions récentes côté contrôleurs de domaine et postes, ainsi qu’un renouvellement récent des mots de passe.

Comment les attaques exploitent AD

Sur le terrain, l’attaquant ne casse généralement pas AD comme une barrière. Il exploite ses mécanismes légitimes à son profit. Un scénario fréquent débute par un phishing ciblé ou la compromission d’un poste utilisateur.

À partir de là, l’attaquant énumère l’annuaire (collecte d’informations : comptes, groupes, machines). Il liste les groupes, identifie les comptes à privilèges et repère les comptes de service. Cette phase reste discrète et passe souvent inaperçue sans supervision dédiée.

Puis, il enchaîne avec des techniques bien connues :

  • Kerberoasting : il demande des tickets Kerberos pour des comptes de service et casse les hashes hors ligne.
  • Pass-the-Hash (PtH) : il réutilise un hash NTLM récupéré pour s’authentifier sur d’autres ressources sans connaître le mot de passe.
  • Abus de délégations ou de GPO : il escalade les privilèges via des droits mal maîtrisés.
  • DCSync : il simule un contrôleur de domaine pour synchroniser les secrets de l’annuaire comme un DC légitime. À ce stade, le domaine tombe.

Chacune de ces étapes repose sur les protocoles standards d’AD, mais permet à l’attaquant de progresser sans déclencher d’alarme si la supervision manque.

Pourtant, les vulnérabilités restent souvent élémentaires

Contrairement aux idées reçues, les attaques AD ne reposent pas sur des failles sophistiquées ou des 0-day, mais sur de mauvaises pratiques persistantes. Parmi les risques les plus fréquents figurent :

  • Des groupes à privilèges trop larges (Domain Admins, Enterprise Admins).
  • Des comptes de service non segmentés et aux mots de passe statiques.
  • Des mots de passe jamais renouvelés, ce qui facilite l’exploitation lors d’un Kerberoasting.
  • L’absence de MFA sur les comptes sensibles, ce qui est pourtant recommandé par NIS 2 et les bonnes pratiques modernes.
  • Une visibilité réduite sur les comportements d’authentification, rendant difficile l’identification des actions anormales.

En pratique, des droits hérités, des comptes dormants et des configurations approximatives suffisent à accélérer une escalade.

Alors, comment durcir réellement Active Directory ?

Quelles sont les mesures concrètes pour réduire cette surface d’attaque ?

D’abord, reprendre le contrôle des privilèges

Commencez par appliquer le principe du moindre privilège (donner seulement les droits nécessaires). Segmentez les droits en créant des rôles spécifiques et en évitant d’utiliser des groupes très privilégiés pour l’administration quotidienne. Cela limite l’impact des comptes compromis.

Pour rappel, AD contient des groupes intégrés critiques comme Administrateurs de domaine, Entreprise et Schéma, dont la compromission permet de contrôler toute la forêt.

Ensuite, activer les comptes protégés

Microsoft fournit un mécanisme natif souvent sous-utilisé : le groupe Protected Users (Utilisateurs protégés) pour les comptes d’administration. Cette approche empêche certaines formes de vol d’identifiants et force l’authentification Kerberos avec chiffrement moderne, réduisant le risque de réutilisation de tickets ou de caches NTLM.

Implémenter des politiques d’authentification et des silos.

Cela permet de restreindre encore davantage les conditions dans lesquelles certains comptes peuvent s’authentifier ou obtenir des tickets.

Ces politiques, combinées à des audits réguliers de membres de groupes sensibles, fournissent une meilleure posture défensive.

Renforcer l’accès par MFA

Cela devrait être un réflexe : appliquez le MFA non seulement pour les accès externes, mais aussi pour les comptes à haute valeur, conformément aux recommandations de NIS 2. L’authentification multifacteur réduit ainsi drastiquement la probabilité de compromission, même en cas de fuite de mot de passe.

Enfin, surveiller et corriger

Même avec des contrôles techniques solides, il faut surveiller activement les comportements identitaires. Cela inclut l’analyse des demandes Kerberos invalides, des changements de groupes sensibles et des authentifications inhabituelles.

De nombreux outils modernes d’IA appliquée à la sécurité (Microsoft Defender for Identity, CrowdStrike Identity Protection, Exabeam ou Securonix) permettent d’identifier des signaux faibles indicateurs d’attaque, pics de tickets, séquences d’accès incohérentes, mouvements latéraux atypiques. Aujourd’hui, l’IA en cybersécurité repose surtout sur l’UEBA : l’analyse des comportements.

En complément, intégrer AD avec des solutions de sécurité réseau comme des firewalls qui utilisent directement les objets et groupes AD dans leurs politiques permet de réduire encore les vecteurs d’accès non autorisés et d’avoir une politique d’accès plus fine.

Active Directory ne pose pas problème parce qu’il serait obsolète. Il pose problème parce qu’il reste trop puissant et trop peu surveillé. En plaçant l’identité au cœur de la stratégie de cybersécurité, en durcissant les réglages essentiels et en exploitant les capacités modernes de détection, les organisations réduisent drastiquement leur exposition.

Finalement, sécuriser AD ne signifie pas tout reconstruire. Cela signifie comprendre, simplifier et reprendre le contrôle.

Ces articles pourraient aussi vous intéresser :

Illustration article Top certifications CybersécuritéLe top des certifications en cybersécurité que tout expert doit connaître  Image illustration article Sécuriser les APIComment sécuriser les API : les bonnes pratiques Illustration article Sécuriser identité et accèsSécuriser les identités et les accès : les secrets d’un IAM moderne

ARTICLE PRÉCÉDENT

Projet informatique : comment rédiger un bon cahier des charges

ARTICLE SUIVANT

Réseaux sociaux 2026 : les bonnes pratiques à privilégier pour les entreprises

Notre expert

La rédaction d'ORSYS

Composée de journalistes spécialisés en IT, management et développement personnel, la rédaction d’ORSYS Le mag […]

domaine de formation

Cybersécurité

formations associées

Compromission et sécurisation de l'Active Directory

Sécurité offensive de l'Active Directory, niveau 1

Sécurité offensive de l'Active Directory, niveau 2