Sécurité des Identités : Fondations et Surface d'Attaque de l'Active Directory

Note

Résumé exécutif : l’Active Directory (AD) de Microsoft est le système central de gestion des identités et des accès pour la grande majorité des entreprises mondiales. Parce qu’il dicte les autorisations et les authentifications sur l’ensemble du réseau, il constitue la cible ultime des menaces persistantes avancées (APT) et des opérateurs de ransomwares. Pour défendre efficacement un environnement ou investiguer une intrusion, les analystes DFIR doivent posséder une compréhension profonde des briques logiques et physiques de l’AD, car ces structures définissent les véritables frontières de sécurité et le “rayon d’explosion” (blast radius) de l’attaquant.

1. La structure logique : organiser le royaume

L’architecture logique de l’AD est une structure hiérarchique d’objets. Les acteurs de la menace naviguent dans cette hiérarchie pour élever leurs privilèges et établir leur persistance.

A. L’objet (l’unité de base)

Tout au sein de l’AD est un objet — une entrée dans l’annuaire contenant un ensemble spécifique d’attributs.

• Utilisateur (User) : représente une identité humaine ou un compte de service. Souvent ciblé par lesattaques sur les identifiants.
• Groupe (Group) : un conteneur pour d’autres objets, simplifiant l’attribution des permissions.
• Ordinateur (Computer) : représente un poste de travail ou un serveur joint au domaine.

B. Le domaine

Un domaine est un regroupement logique d’objets partageant la même base de données d’annuaire et les mêmes politiques de sécurité. Il est identifié par un nom DNS (ex: entreprise.local). Bien qu’il soit souvent considéré comme une frontière de sécurité, un domaine n’est qu’une limite administrative au sein d’un contexte plus large. Si un attaquant compromet un compte Administrateur du domaine (Domain Admin), il contrôle tous les objets de ce domaine spécifique, mais sa portée peut s’étendre plus loin selon les relations d’approbation (trusts).

C. La forêt (la véritable frontière de sécurité)

Une forêt est le conteneur de plus haut niveau dans Active Directory. Il s’agit d’un ensemble d’un ou plusieurs domaines partageant une relation d’approbation automatique et transitive, un schéma commun et un catalogue global.

Danger

Paradigme DFIR : c’est la forêt, et non le domaine, qui constitue la véritable frontière de sécurité. La compromission d’un compte disposant de privilèges au niveau de la forêt (comme un membre du groupe Administrateurs de l'entreprise / Enterprise Admins situé dans le domaine racine) accorde à l’attaquant un contrôle absolu sur absolument tous les domaines de la forêt.

D. L’unité d’organisation (OU)

Une OU est un sous-conteneur au sein d’un domaine utilisé pour organiser les objets hiérarchiquement. Ses principaux objectifs de sécurité sont la délégation d’administration (ex: autoriser l’informatique locale à réinitialiser les mots de passe uniquement pour l’OU “Ventes”) et l’application ciblée des stratégies de groupe (GPO). Les attaquants recherchent souvent des OU mal configurées sur lesquelles ils possèdent des privilèges d’écriture inattendus.

2. La structure physique : faire fonctionner le royaume

La structure physique dicte la manière dont les données de l’AD sont hébergées et répliquées sur le réseau.

Le Contrôleur de Domaine (DC)

le cerveau du domaine. Un DC est un serveur Windows hébergeant une copie complète en lecture/écriture de la base de données d’annuaire (ntds.dit). Il authentifie les utilisateurs via Kerberos ou NTLM, applique les GPO, et réplique constamment les données avec les autres DC. Compromettre un DC est l’objectif ultime de toute intrusion.

Le Catalogue Global (GC)

un index partiel en lecture seule de tous les objets de tous les domaines de la forêt. Il permet aux utilisateurs et aux applications de rechercher rapidement des objets à l’échelle de la forêt sans avoir à interroger chaque domaine individuellement. Il est massivement utilisé lors du processus de connexion.

3. Sécurité Tier 0 et points de vigilance

La sécurité d’Active Directory repose sur le concept de hiérarchisation (Tiering), dont les contrôleurs de domaine représentent le sommet : le Tier 0.

Le principe du rôle unique (Single Role Principle)

Un contrôleur de domaine doit être traité comme un sanctuaire hautement classifié. Afin de minimiser sa surface d’attaque, un DC ne devrait avoir AUCUN autre rôle installé en dehors des services d’annuaire (AD DS) et du DNS. Chaque logiciel ou service supplémentaire installé sur un DC introduit des vulnérabilités potentielles qui pourraient compromettre la racine de confiance de l’ensemble du réseau.

La vulnérabilité DC-DHCP (une erreur de configuration classique)

• La faille : installer le rôle de serveur DHCP (qui distribue les adresses IP) directement sur un contrôleur de domaine est une mauvaise pratique courante, historiquement désastreuse.
• Le risque : le service DHCP s’exécute avec des privilèges élevés. Par le passé, de graves vulnérabilités ont permis à des attaquants distants d’exploiter le service DHCP pour exécuter du code arbitraire. Si ce service tourne sur un DC, l’attaquant contourne entièrement la phase de mouvement latéral et obtient une domination immédiate du domaine. De plus, des configurations DHCP malveillantes peuvent être abusées pour empoisonner dynamiquement les enregistrements DNS.
• La règle : un DC est un service d’annuaire. Rien d’autre. Pas de DHCP, pas de spouleur d’impression, pas de partage de fichiers, pas de serveurs web.

4. Perspective DFIR : comprendre le chemin d’attaque

La maîtrise de ces briques fondamentales est obligatoire pour contextualiser une cyberattaque.

1. Identifier les joyaux de la couronne : les contrôleurs de domaine sont les actifs critiques. Toute activité suspecte provenant de ou ciblant un DC (comme des processus Événement 4688 inattendus ou un accès aux objets non autorisé) constitue une alerte de priorité maximale.
2. Calculer le rayon d’explosion (Blast Radius) :
   • Si un Administrateur du domaine standard est compromis, le domaine spécifique est perdu.
   • Si un Administrateur de l’entreprise (ou le compte krbtgt du domaine racine) est compromis, la forêt entière est perdue, permettant aux attaquants de forger des Golden Tickets inter-domaines.
3. Tracer la Kill Chain : les attaquants atterrissent rarement directement sur un DC. Ils suivent un cheminement structuré :
   • Accès initial via un utilisateur standard.
   • Mouvement latéral pour compromettre un administrateur de poste de travail.
   • Élévation de privilèges pour compromettre un serveur hébergeant des sessions sensibles.
   • Exécution finale de techniques de persistance et de domination (comme DCSync) directement contre le contrôleur de domaine.

---

Références et lectures complémentaires

• Microsoft Learn : Vue d’ensemble des services de domaine Active Directory
• Playbook lié : Attaques sur les identifiants et mots de passe AD
• Playbook lié : Techniques de mouvement latéral AD
• Playbook lié : Persistance et domination AD (DCSync, Golden Ticket)