Pentest Active Directory — Groupe multi-agences

Groupe multi-agences
6 jours
Active Directory
Pentest Active Directory

Contexte de la mission

Le défi

Contexte

L'organisation suspectait des faiblesses dans son infrastructure Active Directory suite à un incident de phishing réussi.

L'objectif : simuler une menace interne à partir d'un poste de travail standard compromis pour évaluer jusqu'où un attaquant pourrait aller.

Objectifs

  • Évaluer la résistance de l'Active Directory face à une menace interne
  • Identifier les chemins d'attaque vers les comptes à privilèges
  • Proposer un plan de remédiation adapté à un environnement multi-agences

Déroulement

Découvertes clés

Périmètre testé

  • Serveurs de fichiers
  • Contrôleurs de domaine
  • Stratégies de groupe (GPO)
  • Accès inter-agences

Méthodologie

Approche « assumed breach » utilisant les techniques MITRE ATT&CK pour l'énumération, le mouvement latéral et l'escalade de privilèges.

Critique

Comptes de service avec des mots de passe faibles, crackables en quelques minutes

Critique

Mots de passe en clair dans les scripts de configuration du réseau

Élevé

Comptes administrateurs utilisés sur des postes utilisateurs ordinaires

Résultats

Livrables et recommandations

Livrables

  • 9 vulnérabilités : 2 critiques, 4 élevées, 3 moyennes
  • Rapport technique avec preuves d'exploitation
  • Feuille de route de remédiation priorisée
  • Présentation et restitution orale

Recommandations

  • Séparer les comptes administrateurs des postes utilisateurs (tiering)
  • Changer et renforcer les mots de passe des comptes de service
  • Supprimer les mots de passe stockés dans les scripts réseau
  • Mettre en place un outil de gestion des mots de passe locaux (LAPS)
  • Surveiller les événements de sécurité Active Directory

Enseignements

Leçons apprises

  • Les comptes de service avec des SPN sont une cible privilégiée pour le Kerberoasting
  • Les scripts de déploiement GPO contiennent souvent des identifiants oubliés
  • Le tiering administratif est la première mesure à implémenter pour limiter le mouvement latéral

Issue

Ce qui a changé

Plan de remédiation en 3 phases : urgences 48h, court terme 1 mois, moyen terme 3 mois. Re-test à 3 mois confirmant la neutralisation du chemin d'attaque principal.

Prochaines étapes

  • Re-test annuel de l'infrastructure Active Directory
  • Déploiement d'un SIEM pour la détection des comportements suspects
  • Audit de conformité des GPO et des comptes de service

Autres études de cas

Découvrez nos autres interventions en cybersécurité.

Un projet similaire ?

Contactez-nous pour un premier échange gratuit et un devis adapté à vos besoins.

Demander un devis Voir les services