Active Directory reste l’un des piliers les plus anciens du système d’information moderne, mais également l’un des plus exposés. Depuis plus de vingt ans, il structure presque tous les environnements d’entreprise, orchestre les identités, régule les permissions et détermine qui peut accéder à quoi. Et malgré l’arrivée des services cloud, des architectures distribuées et de la gestion d’identités moderne, AD demeure le socle incontournable sur lequel reposent encore la majorité des organisations. Ce rôle fondateur, combiné à une dette technique accumulée, en fait aujourd’hui l’un des terrains d’attaque les plus ciblés du paysage cyber.
« Compromettre Active Directory, c’est s’emparer de l’entreprise entière. »
Les attaquants l’ont parfaitement compris. Du moment qu’ils parviennent à obtenir un accès privilégié, toute la mécanique interne du système d’information bascule en leur faveur. AD n’est pas seulement un simple service d’annuaire : il est le chef d’orchestre de l’authentification, le dispensateur d’autorisations et la mémoire des privilèges. Chaque compte, chaque application, chaque service y trouve sa source de vérité. Pour un adversaire, pénétrer Active Directory revient à détenir les clés d’un immeuble entier : créer de nouveaux comptes, modifier les permissions, désactiver des sécurités, pivoter latéralement, effacer ses traces… autant d’actions qui ressemblent à s’y méprendre à des opérations légitimes et passent donc souvent sous le radar.
Les conséquences d’une compromission Active Directory sont d’ailleurs parfaitement connues des équipes de réponse à incident. Dans de nombreux cas récents, l’attaque débute par un accès apparemment anodin — un compte utilisateur affaibli, une configuration oubliée, une machine exposée sans protection forte — avant de servir de tremplin vers l’annuaire. Une fois la première barrière franchie, les assaillants parviennent à escalader leurs privilèges, créer ou modifier des comptes de service, altérer des règles d’accès et installer des mécanismes de persistance qui leur permettent de rester invisibles pendant des semaines. Plusieurs organisations ont dû isoler des composants de leur infrastructure, suspendre des services internes ou reconstruire une partie de leur domaine pour regagner le contrôle. Ce scénario, bien que classique, illustre une réalité : lorsqu’Active Directory est touché, l’impact dépasse largement la compromission initiale. La moindre faille peut devenir une prise de contrôle profonde et silencieuse, transformant une intrusion isolée en crise structurelle.
À mesure que les entreprises adoptent des environnements hybrides, reliant leurs contrôleurs de domaine historiques à des services cloud, la surface d’exposition d’AD se transforme. Ce n’est plus seulement un annuaire interne ; c’est une infrastructure d’identité distribuée, avec des synchronisations, des jetons OAuth, des protocoles hérités et des interfaces multiples. Les menaces ne viennent plus uniquement de l’intérieur des réseaux, mais des applications cloud, des configurations mal sécurisées et des liens entre environnements qui n’existaient pas il y a seulement quelques années. Chaque synchronisation, chaque réplication, chaque connecteur devient une opportunité supplémentaire d’exploitation.
« L’attaque ne vise plus vos serveurs : elle vise vos identités. »
Les techniques d’attaque sur Active Directory ont évolué avec une redoutable précision. Les Golden Ticket permettent de générer des tickets Kerberos valides donnant un accès total au domaine pendant des mois, sans que personne ne s’en rende compte. Les attaques DCSync exploitent les autorisations de réplication pour extraire les hachages de mots de passe directement depuis les contrôleurs de domaine, comme si l’attaquant était lui-même un contrôleur légitime. Kerberoasting, quant à lui, cible les comptes de service avec des mots de passe faibles pour obtenir une élévation de privilèges rapide. Ces techniques ne relèvent pas de la science-fiction : elles constituent aujourd’hui le quotidien des équipes de réponse à incident dans de nombreux secteurs.
Et lorsqu’on observe les vulnérabilités exploitées, le constat est souvent le même. Des mots de passe trop simples, parfois réutilisés sur des comptes personnels. Des comptes de service aux permissions excessives, dont les mots de passe n’expirent jamais. Des identifiants administratifs mis en cache en clair dans la mémoire de machines compromises. Des comptes orphelins laissés actifs pendant des années après le départ de leurs propriétaires. Une visibilité partielle, fragmentée entre équipes on-premise et cloud, incapable de reconstituer une vision cohérente de l’usage réel des privilèges. Les attaquants n’ont pas besoin d’inventer de nouvelles techniques : ils exploitent patiemment les failles que les organisations tolèrent depuis trop longtemps.
Azure AD — devenu Microsoft Entra ID — ajoute une autre couche de complexité. Les jetons OAuth compromis dans le cloud peuvent offrir des accès persistants, invisibles pour les outils traditionnels de surveillance AD. Les flux de réplication entre Azure AD Connect et les contrôleurs de domaine locaux constituent une passerelle supplémentaire, que des groupes d’attaque n’hésitent pas à exploiter pour pivoter d’un environnement à l’autre. Cette hybridation crée des angles morts, dans lesquels les acteurs malveillants opèrent en toute discrétion.
« L’identité n’est plus un périmètre : c’est un terrain mouvant. »
Les organisations continuent de s’appuyer sur Active Directory comme si son fonctionnement n’avait pas changé depuis 2005. Pourtant, les menaces ont explosé, les infrastructures ont évolué, et les comportements utilisateurs se sont transformés. L’ancien paradigme — un périmètre réseau, des comptes stables, un service d’annuaire interne — ne correspond plus à la réalité opérationnelle. Aujourd’hui, AD interagit avec des postes de travail mobiles, des environnements SaaS, des API, des services cloud et des contrôles d’accès conditionnels qui n’existaient pas lors de sa conception. Le fossé entre les usages modernes et la structure héritée d’AD est devenu un espace d’exploitation idéal pour les attaquants.
La solution n’est pas de remplacer Active Directory — ce serait illusoire. Elle réside dans une sécurité en couches, capable de traiter les risques à la source : piratage des identifiants, élévation de privilèges, absence de visibilité. Tout commence par des politiques de mot de passe réellement robustes : rejet des mots de passe présents dans les bases de violation, analyse continue de la compromission d’identifiants, feedback dynamique lors de la saisie, afin d’éviter les combinaisons faibles ou réutilisées. Une règle de complexité à huit caractères n’est plus une protection : c’est un héritage dangereux.
La gestion des accès privilégiés constitue le deuxième pilier. Trop d’administrateurs utilisent encore leur compte personnel pour effectuer des opérations sensibles. Séparer les comptes, appliquer l’accès juste-à-temps, restreindre l’usage des droits élevés à des postes de travail dédiés, éviter les interventions sur des machines ordinaires : ce sont des pratiques éprouvées qui empêchent de nombreuses élévations de privilèges. Les attaquants ne peuvent pas voler des identifiants administratifs qui ne sont jamais stockés sur leurs machines cibles.
Le modèle Zero Trust, souvent perçu comme un discours marketing, trouve ici son application la plus concrète. Ne jamais présumer qu’un utilisateur interne est légitime. Vérifier le contexte, l’emplacement, la santé du poste, les habitudes comportementales. Exiger systématiquement une authentification multifactorielle pour les comptes sensibles, non pas comme une option mais comme une ligne de base. C’est précisément dans les organisations où l’on considère que « ce n’est pas nécessaire en interne » que les attaques réussissent le plus facilement.
« Protéger AD, c’est accepter que rien n’est jamais acquis. »
La surveillance continue joue un rôle déterminant. Observer chaque changement d’appartenance à un groupe, chaque autorisation modifiée, chaque anomalie de réplication, chaque activité administrative inhabituelle. Détecter un DCSync ou un Golden Ticket avant qu’il ne soit trop tard exige une visibilité constante et corrélée entre les environnements cloud et on-premise. Les logs isolés ne suffisent pas ; seule une vision unifiée permet d’identifier la cohérence ou l’incohérence comportementale.
La dernière ligne de défense reste le patch management. Une vulnérabilité critique sur un contrôleur de domaine doit être traitée en quelques jours, pas en quelques semaines. Les attaquants savent que les organisations ont du mal à tester et déployer des correctifs dans des environnements AD sensibles. Ils savent également que les infrastructures vieillissantes, rarement redondées, poussent les entreprises à retarder les mises à jour. Ils n’attendent pas.
Active Directory n’est pas en fin de vie. Il est en mutation permanente, pris entre son rôle historique et les exigences contemporaines d’un système d’identité globalisé. Mais sa sécurité dépend moins de la technologie que de la discipline opérationnelle appliquée autour de lui. La plupart des compromissions AD ne surviennent pas à cause d’un exploit révolutionnaire, mais parce que des comptes oubliés sont restés actifs, des mots de passe n’ont pas été renouvelés, des synchronisations ont été laissées sans surveillance ou des patchs n’ont pas été appliqués à temps.
Dans ce contexte, sécuriser Active Directory n’est ni un projet ponctuel, ni une simple mise à jour de bonnes pratiques. C’est un effort continu, une vigilance de tous les instants, une capacité à remettre en question ce que l’on croit maîtriser. Les infrastructures hybrides continueront de se complexifier, les outils modernes continueront d’ajouter de nouvelles couches, et les attaquants continueront de chercher les interstices entre chaque composant. Préserver l’intégrité d’Active Directory, c’est accepter cette dynamique permanente et adapter en conséquence ses méthodes, ses outils et ses réflexes.
Le véritable enjeu n’est plus de savoir si AD est vulnérable, mais de savoir si les organisations sont prêtes à en assurer la protection dans un monde où les identités sont devenues la nouvelle frontière de la cybersécurité.
