Active Directory, ce brave dinosaure des infrastructures IT. Solide, omniprésent, adoré des administrateurs pour sa centralisation des identités… et adoré des attaquants pour exactement les mêmes raisons. Car en 2025, devine quoi ? Les flux AD restent aussi mal gérés qu’un budget de snacks dans une startup.
Bienvenue dans l’univers feutré mais poreux du trafic AD, là où tout passe, tout transite… et où personne ne regarde vraiment.
Petit rappel : qu’est-ce qui transite dans un flux AD ?
- Des tickets Kerberos (parfois volés, souvent sniffables)
- Des requêtes LDAP (parfois chiffrées… ou pas)
- Des résolutions DNS internes ultra bavardes
- Des connexions SMB aux GPO en mode grand partage de secrets
- Et parfois, des scripts logon dignes de 1998 qui font des
net useen clair
C’est littéralement la carte au trésor des attaquants. Et ce qui est magique ? Personne ne la surveille sérieusement.
voir notre article sur les flux AD.
Les signes qu’un attaquant joue dans vos flux… sans que vous ne le voyiez
- Des pics d’authentification sur des comptes de service à 3h17 du matin : sûrement Jean-Paul du support qui fait des heures sup… ou pas.
- Des erreurs Kerberos 4771 en cascade : probablement une brute force déguisée, mais tout le monde regarde ailleurs parce que « ça ne plante rien ».
- Des résolutions DNS internes en rafale vers des noms suspicieux (ex:
dc01.local.domviaevilvpn.net) - Un afflux de requêtes LDAP anonymes depuis une IP inconnue… hébergée chez OVH.
Et le plus beau dans tout ça ? Tous ces signes sont visibles. Mais il faut les chercher.
Les outils pour ne plus (trop) passer pour un aveugle dans un tunnel
1. Sysmon + GPO bien configurée
Le combo qui permet d’avoir un œil sur les évènements de sécurité avancée. À condition, évidemment, de ne pas utiliser la conf de base copiée depuis Stack Overflow.
2. Zabbix (oui, même pour AD)
Il suffit de 3 templates bien sentis pour détecter :
- des volumes anormaux de tickets Kerberos
- des erreurs d’authentification répétées
- des latences DNS qui hurlent « je suis un tunnel DNS déguisé ! »
Voir notre article sur ZABBIX
3. PowerShell & Event Viewer
L’outil des puristes. Exemple de script maison :
Get-WinEvent -LogName Security |
Where-Object { $_.Id -eq 4769 -and $_.Message -match "krbtgt" } |
Select-Object TimeCreated, MessageTraduction : “Quelqu’un tente de jouer avec votre TGT. Frappez vite, frappez fort.”
Les excuses les plus entendues (et les plus dangereuses)
- “C’est normal, on a des scripts qui font ça.”
– Oui, mais ton script est accessible en lecture dans\\SYSVOL. - “On n’a pas les ressources pour monitorer tous les flux.”
– Mais assez pour acheter CrowdStrike que personne ne consulte ? - “On fait confiance à notre pare-feu.”
– Il bloque quoi, exactement, entreAD01etSAPBO01en full LDAPv3 TCP 389 ? Spoiler : rien.
Conseils de bon sens (donc rarement appliqués)
- Segmentez les flux : AD ne doit pas pouvoir chuchoter dans toutes les oreilles du réseau.
- Chiffrez les flux LDAP & Kerberos : Parce qu’en clair, c’est une carte postale pour attaquant.
- Surveillez les comptes de service comme des comptes admin : Parce que devinez quoi ? Ils le sont.
- Collectez et centralisez les logs d’événements AD. Et non, “on a les logs sur le contrôleur” ne compte pas.
Conclusion : l’ennemi est déjà là, mais il dit « bonjour » en LDAP
En résumé, le trafic AD est le meilleur outil de reconnaissance jamais offert à un attaquant, gracieusement exposé, souvent en clair, et rarement surveillé. Une mine d’or, livrée avec une notice pour l’exploiter.
Alors si un jour, vous vous demandez comment un ransomware a pu progresser aussi vite dans votre infra… pensez à vos flux AD. Et à tous ces jolis tickets TGT que vous avez offerts comme des bonbons à Halloween.
