AD hygiène et Active Directory : deux notions que tout le monde pense maîtriser… jusqu’au jour où un audit révèle que l’annuaire de l’entreprise ressemble davantage à un musée des mauvaises pratiques qu’à un pilier de sécurité.

Car soyons honnêtes : dans la majorité des organisations, l’Active Directory est devenu au fil des années un empilement de configurations héritées, de comptes oubliés, de droits excessifs et de compromis techniques jamais nettoyés. Résultat ? Une surface d’attaque idéale pour des cybercriminels qui n’ont même plus besoin d’exploits sophistiqués pour pénétrer un système d’information.

Dans cet article, on va remettre les choses à plat — sans langue de bois.
👉 Comprendre ce qu’est réellement un Active Directory
👉 Expliquer pourquoi l’hygiène AD est un enjeu critique de cybersécurité
👉 Et surtout, voir comment identifier rapidement les faiblesses les plus courantes grâce à un outil d’audit simple, structuré et efficace

Spoiler : non, votre AD n’est probablement pas “propre”.
Mais bonne nouvelle — ça se corrige.

💥 Spoiler : votre AD n’est pas propre

On va être honnête deux minutes.

Si vous avez un Active Directory en production depuis plus de 2 ans…
👉 il est sale.

Pas un peu.
Pas “ça va encore”.
Non.

Sale.

Comptes dormants, admins fantômes, mots de passe immortels, machines Windows 7 qui traînent encore comme des reliques…
Bref, un terrain de jeu parfait pour n’importe quel attaquant un peu motivé.

C’est exactement pour ça qu’est né AD-Hygiene-Audit. J’ai développé un Outil PowerShell d’audit d’hygiène Active Directory (niveau 1 sécurité), conçu avec une architecture modulaire et extensible. Bon certes c’est pas ISARS mais si tout est bon avec mon outil, vous passez le niveau 1 pour l’ISO27001.
Attention cela reste un Projet interne / experimental. Adapter selon votre contexte entreprise.

🧩 Petit rappel : Active Directory, c’est quoi ce bazar ?

🏰 L’AD, c’est un royaume

Imagine :

🏰 Le Domaine = ton royaume principal
🌍 La Forêt = plusieurs royaumes qui cohabitent
👑 Les Domain Controllers = les rois (ou dictateurs, selon les jours)
👤 Les comptes utilisateurs = les habitants
🔑 Kerberos = le système de passeport

Et comme dans tout royaume mal gouverné…
👉 le chaos arrive vite.

🎟️ Kerberos : le videur de boîte de nuit

Kerberos, c’est censé être propre et sécurisé :

Tu t’authentifies → Ticket (TGT)
Tu demandes un service → Ticket de service (TGS)
Tu accèdes à la ressource

Sur le papier : nickel 👌

Dans la vraie vie :

Tickets trop longs 🕒
Comptes avec SPN mal gérés 🔥
Exposition aux attaques type Kerberoasting

👉 Et là, ton AD devient un buffet à volonté.

☠️ Les vrais problèmes (ceux qu’on voit TOUJOURS)

Tu veux du concret ? Voilà ce que mon outil détecte.

🧟 Comptes inactifs (AD-USR-001)

Le grand classique.

Comptes actifs
Personne ne s’est connecté depuis 6 mois
Parfois… depuis 3 ans

👉 Traduction :
“Un accès valide oublié que personne ne surveille”

🔒 Mots de passe immortels (AD-USR-002)

Le fameux :

“On va mettre PasswordNeverExpires pour éviter les tickets”

Résultat :

mot de passe vieux de 8 ans
connu de 12 personnes
jamais changé

👉 Jackpot pour un attaquant.

👑 Comptes admins (AD-USR-003 / AD-PRIV-001)

Les stars du SI :

Domain Admins
Enterprise Admins
Administrators

Le problème ?

👉 On ne sait jamais vraiment qui y est… ni pourquoi.

Anecdote réelle (oui oui 😅) :
Un stagiaire ajouté temporairement dans Domain Admins…
👉 jamais retiré…
👉 devenu RSSI ailleurs… avec toujours accès 😬

💀 Comptes privilégiés inactifs (AD-PRIV-002)

Le pire du pire :

Admin
Inactif
Toujours actif

👉 Combo gagnant pour une compromission silencieuse.

🧨 OS obsolètes (AD-COMP-002)

Windows 7.
Windows Server 2008.

Oui, ça existe encore.

👉 Et oui, c’est une catastrophe.

🔐 Politique de mot de passe foireuse (AD-DOM-001 / 002)

Checklist classique :

longueur < 12 ❌
complexité off ❌
historique ridicule ❌
durée infinie ❌

👉 Autrement dit :
“Bienvenue en 2003.”

🎯 Kerberos exposé (AD-DOM-003)

tickets trop longs
SPN sur comptes utilisateurs
surface d’attaque élargie

👉 Hello Kerberoasting 🍖

🛠️ AD-Hygiene-Audit : la réponse simple (mais efficace)

🧱 Une architecture propre (pour une fois)

Peut-être que si je mets le lien vers mon repo c’est peut-être mieux 😅. Alors le voici :
https://github.com/Bugjohn/AD-Hygiene-Audit

Mon outil repose sur un principe fondamental :

👉 séparer les responsabilités

Collectors → récupèrent les données
Checks → analysent
Core → orchestre
Reports → exporte

Et surtout :

👉 les checks ne touchent jamais directement l’AD

(oui, ça paraît évident… mais combien d’outils le respectent vraiment ? 😏)

🧪 Le mode Mock : le coup de génie

Tu peux tester tout l’outil sans AD réel :

pwsh -File ./Invoke-ADHygieneAudit.ps1 -UseMockData

👉 Parfait pour :

dev
démo
formation
onboarding

Et surtout :

👉 éviter de casser un AD en prod (on connaît tous quelqu’un 😅)

📊 Le scoring : simple, brutal, efficace

Score sur 100.

Chaque problème = pénalité.

Sévérité	Impact
Critical	💣
High	🔥
Medium	⚠️
Low	😐

👉 Résultat :
Un indicateur clair pour les DSI / RSSI.

📁 Des exports exploitables (pas du blabla)

JSON → vision globale
CSV → exploitable Excel / SIEM

👉 Pas de PDF inutile que personne ne lit.

🤔 Pourquoi cet outil est important

Parce que la réalité est simple :

👉 90% des compromissions AD exploitent de l’hygiène dégradée

Pas besoin de 0-day.

Juste :

un compte oublié
un mot de passe faible
un admin en trop

🧠 Philosophie du projet

Cet outil ne prétend pas :

remplacer un pentest
faire de la magie
sécuriser ton SI en un clic

👉 Il fait mieux :

il met en lumière les erreurs humaines.

Et spoiler :

👉 ce sont elles le vrai problème.

🚀 Et la suite ?

La roadmap est claire :

validation AD réel
checks avancés (ACL, GPO, Tiering)
export Markdown / HTML
CI/CD

👉 Bref : passer de “outil utile” à “outil indispensable”.

🧾 Conclusion (un peu piquante)

Si ton AD n’est pas audité régulièrement :

👉 il est vulnérable.

Pas “peut-être”.
Pas “on verra”.

👉 Il l’est.

Et la bonne nouvelle ?

Tu n’as pas besoin d’un projet à 200k€ pour commencer.