Zeroday Cyber Academy

Active Directory & Windows

GOAD : qu'est-ce que c'est ? Game of Active Directory expliqué

GOAD (Game of Active Directory) : lab vulnérable open-source pour apprendre attaques AD. Versions, déploiement Vagrant/Terraform, scénarios, alternatives 2025.

Naim Aouaichia
16 min de lecture
  • GOAD
  • Lab Active Directory
  • Pentest AD
  • Formation
  • Open source
  • Orange Cyberdefense

GOAD (Game of Active Directory) est un environnement de lab Active Directory volontairement vulnérable et open-source (licence GPLv3), créé en 2021 par Mayfly / M4yfly et maintenu sous l'ombrelle Orange Cyberdefense (dépôt officiel github.com/Orange-Cyberdefense/GOAD, ~4 500 stars fin 2024). Il déploie automatiquement une forêt AD réaliste (2-3 domaines, 3-7 serveurs Windows Server 2019/2022, utilisateurs, services et ACLs configurés avec des vulnérabilités classiques) permettant de pratiquer toutes les attaques AD documentées en environnement isolé et légal : Kerberoasting, AS-REP Roasting, DCSync, Pass-the-Hash, NTLM Relay, ADCS ESC1-ESC14, Unconstrained Delegation, MSSQL links abuse, SCCM attacks, trust forestiers. C'est devenu en 2023-2025 le standard de facto pour la formation offensive AD dans les écoles cyber, les équipes red team internes, et les pentesters en autoformation. Trois variantes coexistent : GOAD complet (forêt multi-domaines sevenkingdoms.local / north.sevenkingdoms.local / essos.local, ~24 Go RAM, scénarios end-to-end 1-2 semaines de pratique), GOAD-Light (single-domain, 8 Go RAM, workshops 1-3 jours), GOADv2 (Windows Server 2022, ADCS ESC1-ESC14 étendus, scénarios purple team avec MDI activable). Déploiement via Vagrant + Ansible pour local (VirtualBox ou VMware) ou Terraform pour cloud (Azure/AWS, ~150-300 € par déploiement test). Compatible avec la stack offensive AD 2025 complète : BloodHound CE, Impacket, Mimikatz, Rubeus, Certipy, netexec, Responder, ntlmrelayx, PowerView, ADRecon. Cet article détaille l'histoire et la genèse du projet, les 3 variantes avec leurs cas d'usage, les prérequis hardware et temps de déploiement, les scénarios d'attaque couverts avec mapping MITRE ATT&CK, la démarche d'apprentissage recommandée, la comparaison avec HackTheBox Pro Labs et autres alternatives, l'usage purple team (déploiement MDI, Sysmon, tuning détection), et le cadre légal (lab isolé, ISO Microsoft Evaluation Center légales 180j). Pour le contexte AD comme cible majeure, voir Pourquoi Active Directory est une cible majeure. Pour la méthodologie pentest interne à pratiquer sur GOAD, Qu'est-ce qu'un pentest interne.

1. Qu'est-ce que GOAD exactement

1.1 Un lab AD communautaire open-source

GOAD est le premier lab AD offensive complet open-source et automatisé à avoir gagné une large adoption. Avant lui, les pentesters qui voulaient pratiquer AD offline devaient :

  • Monter un domaine AD manuellement (installation Windows Server + promotion DC + création users + ACLs) — 2-3 jours de setup répétitif.
  • Ou payer HackTheBox Pro Labs (~500-1500 $ pour 1 mois).
  • Ou trouver un client volontaire pour un mandat pentest d'entraînement.

GOAD automatise complètement la création d'un environnement réaliste avec des vulnérabilités intentionnellement configurées, reproductible en quelques heures, destructible et re-déployable à volonté.

1.2 Positionnement dans l'écosystème AD training

OutilLicenceCoûtContrôleCourbe apprentissage installation
GOADGPLv30 €Total (self-hosted)Moyenne (Vagrant/Ansible)
HackTheBox Pro Labs (Dante, RastaLabs)Commercial500-1500 $/labAucun (managed)Faible
Altered Security CRTP/CRTE LabsCommercial100-300 $/moisAucun (managed)Faible
OffSec OSCP / OSEP labsCommercialInclus coursAucunFaible
Microsoft Eval Center + manual buildMicrosoft0 € (eval 180j)TotalÉlevée (tout à faire)
TryHackMe AD moduleCommercial15 €/moisMinimalTrès faible
Detection Lab (Chris Long)Apache 2.00 €TotalMoyenne

GOAD se distingue par sa combinaison unique : gratuit + contrôle total + scénarios complets curated + reproductible.

1.3 Histoire et maintainers

  • 2021 : création initiale par Mayfly (pseudo communautaire), publication GitHub avec l'objectif de démocratiser l'apprentissage AD offensive.
  • 2022 : adoption par Orange Cyberdefense, maintenance active, publication au Hack.lu, Pass the SALT.
  • 2023 : ajout GOAD-Light pour workshops courts.
  • 2024 : travaux GOADv2 avec Windows Server 2022 et scénarios ADCS ESC étendus.
  • 2025 : standard de facto dans les formations bootcamp cyber françaises, utilisé dans certaines écoles (HETIC, SUPINFO, Epitech cursus cyber).

Maintainers principaux publics en 2024-2025 : Mayfly, M4ndrake, contributeurs Orange Cyberdefense, communauté active via Discord et GitHub issues.

2. Les 3 variantes du projet

2.1 GOAD complet (original)

Architecture forêt :

Architecture GOAD complet — forêt multi-domaines
─────────────────────────────────────────────────
 
sevenkingdoms.local (forêt root)
  ├─ DC : kingslanding (10.10.10.10)
  └─ serveurs + users
 
  │ trust parent-child

north.sevenkingdoms.local (sub-domain)
  ├─ DC : winterfell (10.10.10.11)
  ├─ serveurs : castelblack, stormsend
  └─ users : daenerys, jon.snow, arya.stark, etc.
 
  │ trust forest-to-forest

essos.local (forêt externe)
  └─ DC : meereen (10.10.10.20)
      └─ serveurs + users (khal.drogo, etc.)

Les noms inspirés de Game of Thrones (d'où le jeu de mot "Game of AD") rendent le lab mémorable. Configuration typique :

  • 5-7 VMs Windows Server 2019.
  • ~50-100 utilisateurs avec profils variés (admins, service accounts, users standards).
  • Trusts parent-child intra-forêt + trust forest-to-forest vers essos.
  • Vulnérabilités mix : Kerberoasting, AS-REP Roasting, ACL abuse, ADCS misconfig, Unconstrained/Constrained Delegation, MSSQL links, SCCM, file shares avec credentials.

2.2 GOAD-Light (variante légère)

Version single-domain pour démarrages rapides :

  • 1 domaine (north.sevenkingdoms.local).
  • 3 machines (1 DC + 2 serveurs / workstations).
  • 8-12 Go RAM requise.
  • Déploiement 30 min - 1 h.
  • Scénarios focus : Kerberoasting, AS-REP, DCSync basique, Pass-the-Hash, NTLM Relay.

Idéal pour :

  • Ateliers workshops 1-3 jours.
  • Formations école/bootcamp avec laptops limités.
  • Premier contact AD offensive avant d'escalader sur GOAD complet.
  • Demo live en conférence ou training interne.

2.3 GOADv2 (travaux 2023-2024)

Évolutions principales par rapport au GOAD original :

  • Windows Server 2022 au lieu de 2019.
  • ADCS scenarios étendus : ESC1-ESC14 couverts (publications SpecterOps 2022-2024).
  • SCCM (Microsoft Endpoint Configuration Manager) attacks.
  • Intune / Azure AD Connect simulé pour scenarios hybrid.
  • Microsoft Defender for Identity installable via pattern purple team.
  • Scénarios moderne : Shadow Credentials, msDS-KeyCredentialLink abuses.

En 2025, GOADv2 reste en évolution active — consulter le README GitHub pour l'état d'avancement.

3. Prérequis hardware et déploiement

3.1 Requirements par variante

VarianteCPURAM minimumRAM recommandéeDisqueDurée déploiement
GOAD-Light4 cores8 Go12 Go40 Go1-2 h
GOAD complet6+ cores24 Go32-64 Go120-200 Go3-6 h
GOADv26+ cores32 Go64 Go200-300 Go4-8 h

3.2 Stack de déploiement

Deux patterns principaux :

Option 1 — Local avec Vagrant + VirtualBox / VMware
────────────────────────────────────────────────────
Host machine (laptop / desktop puissant)
  └─ VirtualBox ou VMware Workstation
      └─ Vagrant orchestration
          └─ Ansible provisioning
              └─ VMs Windows Server
 
Avantages : gratuit, offline, contrôle total.
Limites : ressources host, temps de déploiement initial.
 
 
Option 2 — Cloud avec Terraform (Azure ou AWS)
───────────────────────────────────────────────
IaC Terraform
  └─ VPC / VNet isolé
      └─ VMs Windows Server (D-series Azure, m5 AWS)
          └─ Ansible via remote exec
 
Avantages : pas de hardware local requis, scaling facile.
Coût : 150-300 € par déploiement test de quelques jours.
Précautions : sécuriser l'accès (VPN, Tailscale, Cloudflare Tunnel).

3.3 Installation rapide GOAD-Light

# Prérequis (Ubuntu/Debian hôte)
sudo apt update
sudo apt install -y virtualbox vagrant ansible python3-pip
 
# Clone du repo
git clone https://github.com/Orange-Cyberdefense/GOAD.git
cd GOAD
 
# Installation dependencies Ansible
pip3 install -r requirements.txt
 
# Déploiement GOAD-Light
./goad.sh -p VirtualBox -l GOAD-Light
 
# L'installation automatique :
# 1. Télécharge ISOs Windows Server (via Microsoft Eval Center)
# 2. Crée VMs, configure réseau
# 3. Installe Windows + promote DC
# 4. Crée users, services, ACLs vulnérables
# 5. Configure scénarios
 
# Après ~1h : lab accessible via IPs 192.168.56.10-12 par défaut

3.4 Exposition sécurisée du lab

Si plusieurs apprenants doivent accéder au même lab (formation), ne jamais exposer directement sur Internet. Patterns sécurisés :

  • Tailscale mesh VPN avec ACL par apprenant.
  • Cloudflare Tunnel + Access pour zero-trust avec SSO.
  • WireGuard hub self-hosted avec peer-by-peer config.

Détails dans VPN et exposition d'environnements de lab.

4. Scénarios d'attaque couverts

4.1 Chaîne typique GOAD end-to-end

Chaîne de compromission GOAD — exemple typique
───────────────────────────────────────────────
 
Point de départ : user standard daenerys avec password faible

  │ Kerberoasting (T1558.003) : demande TGS pour comptes SPN
  │ Crack offline hashcat mode 13100
  │ → obtient password de svc_mssql

Accès svc_mssql (local admin sur sql01.north)

  │ Dump LSASS via Mimikatz
  │ → obtient NT hash de l'admin local mstark

Pass-the-Hash vers winterfell (DC)

  │ Impacket secretsdump via mstark hash
  │ → obtient NT hash de krbtgt, de tous les users, Ntds.dit

Golden Ticket forging via Mimikatz

  │ Ticket Kerberos avec SID admin, valide 10 ans

Pivot inter-forêt via trust essos.local

  │ Abuse SID history + trust ticket

Compromission essos.local → compromission forêt complète

4.2 Mapping MITRE ATT&CK couvert

GOAD permet de pratiquer les TTPs suivantes :

TactiqueTechniques MITRE incluses
TA0001 Initial AccessT1078 Valid Accounts (creds fournies)
TA0002 ExecutionT1059 PowerShell, T1059.003 Windows Command Shell
TA0003 PersistenceT1136 Create Account, T1098 Account Manipulation
TA0004 Privilege EscalationT1068, T1078.002, T1484 Domain Policy Modification
TA0005 Defense EvasionT1550 Use Alt Auth Material (ticket reuse)
TA0006 Credential AccessT1558.001-006 Kerberos attacks, T1003 Credential Dumping, T1552 Unsecured Credentials
TA0007 DiscoveryT1087 Account Discovery, T1482 Domain Trust Discovery, T1087.002
TA0008 Lateral MovementT1550.002 Pass-the-Hash, T1021.002 SMB, T1550.003 Pass-the-Ticket
TA0009 CollectionT1560, T1039 Data from Network Shared Drive
TA0040 ImpactT1485 Data Destruction (pour scenarios ransomware simulés)

4.3 Scénarios ADCS — valeur majeure 2023+

Depuis SpecterOps Certified Pre-Owned (juillet 2021), l'ADCS est devenu un vecteur central. GOAD couvre :

Scénarios ADCS dans GOAD v1 + v2
─────────────────────────────────
 
ESC1  Template avec SAN attacker-controlled + Client Auth
      → Certipy req avec -upn administrator
      → authentification PKINIT comme admin
 
ESC2  Sub-CA template tous EKU autorisés
      → Certipy req + usage admin
 
ESC3  Enrollment Agent template
      → Certipy req on behalf of admin
 
ESC4  Template ACL vulnérable (Write permissions)
      → Certipy update → modifier template → ESC1
 
ESC5  Permissions CA elle-même vulnérables
      → DCSync sur CA private key
 
ESC6  Flag EDITF_ATTRIBUTESUBJECTALTNAME2 activé
      → Certipy avec SAN custom
 
ESC7  ACL sur ADCS Managed CA
      → Self-grant Manage CA + issue cert
 
ESC8  NTLM Relay to ADCS HTTP enrollment
      → PetitPotam + ntlmrelayx + Certipy
 
ESC9-ESC14  Variantes émergentes 2022-2024
            (couverture progressive dans GOADv2)

Pour le détail des attaques ADCS en contexte réel, voir Pourquoi Active Directory est une cible majeure.

5. Démarche d'apprentissage recommandée

5.1 Parcours type 2-3 mois

Pour un profil pentester junior avec socle Kerberos + NTLM solide, démarrage sur GOAD :

Parcours apprentissage GOAD — 2-3 mois progression
───────────────────────────────────────────────────
 
Semaines 1-2 — Setup et premier contact
  ├─ Lecture docs GOAD README + blog Orange Cyberdefense
  ├─ Déploiement GOAD-Light
  ├─ Énumération LDAP basique (ldapsearch, netexec)
  ├─ Premier Kerberoasting réussi
  └─ BloodHound collection + première requête Cypher
 
Semaines 3-4 — Attaques fondamentales
  ├─ AS-REP Roasting
  ├─ Pass-the-Hash, Pass-the-Ticket
  ├─ NTLM Relay avec Responder + ntlmrelayx
  ├─ DCSync sur compte privilégié
  └─ Golden Ticket forge + usage
 
Semaines 5-8 — Escalades complexes
  ├─ Migration GOAD-Light → GOAD complet
  ├─ ACL abuse chains (WriteOwner, WriteDACL, GenericAll)
  ├─ Unconstrained / Constrained / RBCD delegation
  ├─ ADCS ESC1-ESC8
  └─ Exploitation trust inter-domaines
 
Semaines 9-12 — Avancé et automation
  ├─ SCCM attacks (si GOADv2)
  ├─ Shadow Credentials (Whisker)
  ├─ Scripting automation Python custom
  ├─ Installation MDI + Sysmon → purple team
  └─ Préparation OSCP / OSEP / CRTP examen

5.2 Ressources d'accompagnement

  • Write-ups GOAD : hackndo.com, the-hacker-recipes.com, exploit.co (communauté FR).
  • Vidéos YouTube : Conda, Thmxnaxn, LaBaleineCyber sur chaîne française.
  • Discord communautaires : Orange Cyberdefense, Hackndo, 0xsp.
  • Livres référence : Active Directory Security de Sean Metcalf (ADSecurity.org blog), SpecterOps publications.
  • Papers techniques : Certified Pre-Owned (SpecterOps 2021), The Art of Relaying NTLM Auth (Synacktiv 2022), Abusing Azure AD Connect (Dirkjan Mollema 2022).

5.3 Certifications alignées GOAD

GOAD est un excellent terrain de préparation pour :

CertificationNiveauAlignement GOAD
CRTP (Certified Red Team Professional)Débutant-confirméFort (AD offensive basics)
CRTE (Certified Red Team Expert)Confirmé-seniorTrès fort (forêt, delegation)
CRTO (Certified Red Team Operator)ConfirméFort (lateral + red team ops)
OSCP (OffSec Certified Professional)Débutant-confirméMoyen (AD partie OSCP 2023+)
OSEP (OffSec Experienced Pentester)ConfirméFort (AD + evasion + pivot)
SANS SEC565 Red Team OpsSeniorTrès fort

Pour la progression complète pentester voir Roadmap pentest.

6. GOAD pour purple team

6.1 Pattern purple team

GOAD n'est pas seulement un lab offensif — il peut accueillir des outils défensifs pour pratiquer l'approche purple team (red attaque, blue détecte, en collaboration) :

Setup purple team sur GOAD
─────────────────────────────
 
1. Déployer GOAD standard
2. Installer sur les VMs Windows :
   ├─ Sysmon v15+ avec config SwiftOnSecurity ou Olaf Hartong
   ├─ Windows Advanced Audit Policy (audit PolicyManager)
   ├─ Microsoft Defender for Endpoint (eval 90 j)
   └─ Microsoft Defender for Identity (portal.atp.azure.com)
3. Collecter logs vers :
   ├─ Splunk Universal Forwarder → Splunk instance test
   ├─ OU Wazuh agent → Wazuh manager
   ├─ OU Elastic Agent → Elastic Stack
4. Exécuter attaques offensives
5. Observer :
   ├─ Alertes MDE / MDI qui se déclenchent
   ├─ Events Sysmon qui correspondent aux TTPs
   ├─ Règles SIEM qui matchent
   └─ Gaps de détection identifiés
6. Tuning règles défensives itératif
7. Re-test attaque → détection améliorée

6.2 Règles Sigma à valider

Pour la chasse défensive, plusieurs règles Sigma essentielles à tester sur GOAD :

  • Kerberoasting : multiple TGS-REQ Event 4769 avec encryption RC4 depuis un user.
  • DCSync : Event 4662 avec mask pour DS-Replication-Get-Changes.
  • Pass-the-Hash : logon type 3 avec NTLM depuis un host inattendu.
  • Golden Ticket : TGT avec TimeStamp trop lointain ou décalage PAC.
  • NTLM Relay : multiple auth NTLM d'un même user depuis IPs différentes.
  • Shadow Credentials : modification msDS-KeyCredentialLink (Event 5136).

Pour le framework détection complet voir Détection d'intrusion : les bases.

7. Cadre légal et éthique

7.1 Ce qui est légal

  • Télécharger ISOs Windows Server via Microsoft Evaluation Center : 180 jours d'usage gratuit pour évaluation. Usage lab entre dans ce cadre.
  • Exécuter outils offensifs (Mimikatz, BloodHound, Rubeus, Certipy) contre ton propre lab GOAD : totalement légal en France et la majorité des juridictions.
  • Partager write-ups publics de tes apprentissages : légal, contributions bienvenues communauté.

7.2 Ce qui est illégal

  • Exécuter ces outils contre des systèmes non-autorisés : Code pénal art 323-1 (FR), 2 à 5 ans de prison + 30-150 k€ amende selon gravité.
  • Exposer GOAD sur Internet public : tu deviens une surface d'attaque pour des tiers, ta responsabilité peut être engagée si compromis et utilisé comme pivot.
  • Utiliser credentials GOAD sur des comptes réels : évident mais à rappeler.

7.3 Ressources pour cadre légal

Voir Apprendre le pentest légalement pour le panorama complet des questions de légalité (ANSSI, CNIL, Code pénal art 323-1 et suivants, décisions Cass. crim récentes).

8. Alternatives et compléments à GOAD

8.1 Labs open-source similaires

  • Detection Lab (Chris Long, GitHub 4k+ stars) : plus orienté défense, Splunk/Zeek inclus par défaut.
  • BadBlood (Secframe) : ne déploie pas l'AD mais la populate avec des milliers d'users/ACLs random — complément utile.
  • PurpleLab (Krakenn) : lab purple team avec TheHive + Elastic.
  • VulnLab AD series : plus récent, Docker-based pour déploiements rapides.
  • Microsoft AttackIQ / Atomic Red Team : suite de tests atomiques pour validation détection (plus tests unitaires que lab complet).

8.2 Plateformes commerciales

  • HackTheBox Pro Labs : Dante, Offshore, RastaLabs, Cybernetics, APTLabs (~500-1500 $).
  • Altered Security : trainings CRTP/CRTE/CRTM avec labs managed (100-300 $/mois).
  • OffSec OSCP / OSEP / OSED : labs inclus dans le cursus certification.
  • SANS NetWars / Cyber Defense : lab annuel compétitif.
  • TryHackMe Red Teaming Path : modular, accessible débutant.

8.3 Matrice décisionnelle GOAD vs autres

BesoinRecommandation
Apprendre AD offensive depuis zéroGOAD-Light puis GOAD complet
Préparer OSCP / OSEPGOAD + HackTheBox rétrospectives retirés
Préparer CRTP / CRTEGOAD + Altered Security labs officiels
Training équipe red team interneGOAD complet auto-hébergé
Démo lors conférence / meetupGOAD-Light (léger et rapide)
Purple team avec SIEM tuningGOAD + Detection Lab / PurpleLab
Population AD réaliste volumineuseGOAD + BadBlood
CTFs AD publicsHackTheBox, TryHackMe, VulnLab

9. Points clés à retenir

  • GOAD = Game of Active Directory, lab AD volontairement vulnérable open-source GPLv3 par Mayfly / Orange Cyberdefense (github.com/Orange-Cyberdefense/GOAD, ~4 500 stars).
  • 3 variantes : GOAD complet (forêt multi-domaines, 24 Go RAM, 3-6h déploiement), GOAD-Light (single-domain, 8 Go RAM, 1h), GOADv2 (Windows Server 2022 + ADCS étendus + purple team).
  • Déploiement : Vagrant + Ansible pour local (VirtualBox/VMware) ou Terraform pour cloud (Azure/AWS, ~150-300 €/déploiement test).
  • Scénarios couverts : Kerberoasting, AS-REP, DCSync, Pass-the-Hash, NTLM Relay, ADCS ESC1-ESC14, Unconstrained/Constrained/RBCD Delegation, MSSQL links, SCCM, trust forestiers, Shadow Credentials.
  • Parcours apprentissage : 2-3 mois pour pentester junior avec socle Kerberos/NTLM, progression GOAD-Light → GOAD complet → GOADv2 purple team.
  • Alignement certifications : CRTP, CRTE, CRTO, OSEP, SANS SEC565 (très fort), OSCP (moyen).
  • Purple team : déployer Sysmon + MDI + MDE + SIEM sur GOAD → exécuter attaques → tuning règles Sigma itératif.
  • Cadre légal : légal en isolation stricte (VirtualBox host-only, VLAN dédié). ISOs Microsoft Eval Center 180 jours gratuites. Ne jamais exposer sur Internet public.
  • Alternatives : Detection Lab (défensif), BadBlood (population), HackTheBox Pro Labs (commercial managed), Altered Security (training certifié).
  • Maintainers : Mayfly, M4ndrake, communauté Orange Cyberdefense. Veille via GitHub Releases + Discord communautaire.

Pour le contexte AD comme cible, voir Pourquoi Active Directory est une cible majeure. Pour les protocoles sous-jacents, Kerberos expliqué et NTLM expliqué. Pour les risques comptes de service exploités dans GOAD, Comptes de service : risques. Pour la méthodologie pentest interne correspondante, Qu'est-ce qu'un pentest interne. Pour la progression pentester, Roadmap pentest. Pour la sécurisation de l'exposition du lab en formation, VPN et exposition d'environnements de lab. Pour le cadre légal, Apprendre le pentest légalement.

Questions fréquentes

  • Qu'est-ce que GOAD exactement ?
    GOAD (Game of Active Directory) est un environnement de lab Active Directory volontairement vulnérable et open-source, créé en 2021 par Mayfly et l'équipe M4yfly / Orange Cyberdefense (rebranded à l'écosystème communautaire sous licence GPL). Il déploie automatiquement un environnement AD réaliste (2-3 domaines dans une forêt, 3-7 serveurs Windows, des utilisateurs, services et ACLs configurés avec des vulnérabilités classiques) permettant de pratiquer les attaques AD end-to-end : Kerberoasting, AS-REP Roasting, DCSync, Pass-the-Hash, NTLM Relay, ADCS ESC1-ESC8, Unconstrained Delegation, trust abuses forestiers. Cible : pentesters juniors et confirmés, étudiants cybersec, teams red team qui veulent un environnement reproductible pour trainings internes. Déploiement via Vagrant + Ansible en quelques heures sur une machine 32-64 Go RAM ou via Terraform sur cloud. Le dépôt officiel github.com/Orange-Cyberdefense/GOAD accumule ~4 500 stars fin 2024.
  • Quelle différence entre GOAD, GOAD-Light et GOADv2 ?
    Trois variantes du projet. GOAD (version originale, 2021+) : forêt AD multi-domaines (sevenkingdoms.local + north.sevenkingdoms.local + essos.local), 5-7 machines Windows Server 2019, ~80 Go disque, 24 Go RAM recommandé, scénarios pentest complet end-to-end (compromission forêt). GOAD-Light (2022+) : version allégée single-domain (north.sevenkingdoms.local), 3 machines, 8 Go RAM, déploiement 30 min-1h, idéal pour trainings courts et workshops. GOADv2 (travaux 2023-2024) : refonte avec Windows Server 2022, Microsoft Defender for Identity activable, scénarios ADCS étendus ESC1-ESC14, trust relations plus riches. Chaque variante cible un usage distinct : Light pour découverte (1-3 jours), original pour formation complète (1-2 semaines), v2 pour avancé + détection défensive. Compatible avec BloodHound, Impacket, Mimikatz, Rubeus, Certipy, netexec — toute la stack offensive AD 2025.
  • Combien de RAM et de temps de déploiement pour installer GOAD ?
    Requirements hardware dépendent de la variante. GOAD-Light : 8-12 Go RAM, 40 Go disque, 1-2 heures déploiement sur un laptop moderne. GOAD complet : 24 Go RAM minimum (32-64 Go recommandé), 120-200 Go disque, 3-6 heures déploiement complet (download ISOs Windows Server + provisioning Ansible + configuration AD + scénarios). Variante cloud : GOAD sur Azure via Terraform consomme ~150-300 € pour un déploiement test ponctuel de quelques jours (instances D-series + snapshots). Le provisioning est automatisé via Vagrant + VirtualBox ou VMware Workstation pour local, Terraform + Azure/AWS pour cloud. Troubleshooting principal : timeouts Ansible sur machines lentes, download ISO Microsoft Evaluation Center parfois capricieux. Prévoir un laptop dédié ou un serveur dédié — pas une workstation production.
  • GOAD est-il légal à utiliser pour se former ?
    Oui, absolument, tant qu'il reste dans un environnement isolé que tu contrôles. GOAD est open-source (GPLv3), les ISOs Windows Server téléchargées via Microsoft Evaluation Center (180 jours d'évaluation gratuite) sont légales pour usage test. Le lab doit tourner isolé du réseau production (VirtualBox host-only network, cloud VPC dédié). L'utilisation des outils offensifs (Impacket, Mimikatz, BloodHound, Rubeus) est légale contre ton propre lab — le cadre légal problématique (Code pénal art 323-1 FR, CFAA US) concerne uniquement les systèmes non-autorisés. Pour contexte complet sur la légalité du pentest et labs, voir Apprendre le pentest légalement. Précaution : ne jamais exposer GOAD sur Internet sans protection — cf VPN et exposition d'environnements de lab pour les patterns sécurisés.
  • GOAD vs HackTheBox Active Directory labs : lequel choisir ?
    Deux approches complémentaires, pas exclusives. GOAD : gratuit, self-hosted, scénarios complets reproductibles, ownership total de l'environnement (peux modifier, instrumenter, ajouter des configs custom), courbe d'apprentissage installation. HackTheBox Pro Labs (Dante, Offshore, RastaLabs, Cybernetics, APTLabs) : payant (~500-1500 $ pour 1 mois selon lab), infrastructure managée, scénarios curated par des professionnels avec objectifs clairs, meilleur pour certification OSCP/OSEP preparation. Pattern optimal 2025 : GOAD pour apprendre les fondamentaux AD offensive en autonomie (2-3 mois), puis HackTheBox Pro Labs pour validation scénarios complexes + préparation examens. Alternatives : Offensive Security Proving Grounds, Altered Security Labs CRTP/CRTE (abonnement mensuel ~100-200 $), TryHackMe Active Directory module (plus pédagogique).
  • Peut-on utiliser GOAD pour tester des outils de détection (blue team) ?
    Oui, c'est même un cas d'usage recommandé. GOAD est techniquement un environnement AD complet avec DCs, serveurs, workstations simulées — on peut y déployer Microsoft Defender for Identity (MDI), Splunk Universal Forwarder, Wazuh agent, Elastic Agent, Sysmon, pour collecter télémétrie puis exécuter des attaques et observer ce qui est détecté (ou pas). C'est le pattern Purple Team : offensif en live, défensif qui tune ses règles en parallèle. Outils recommandés à installer sur les VMs GOAD pour un setup purple team : Sysmon v15+ avec config SwiftOnSecurity ou Olaf Hartong, Windows Advanced Audit Policy complète, Microsoft Defender for Endpoint (gratuit pour évaluation 90 jours), Zeek sur le host pour capture réseau. Pour la démarche purple team complète, voir Qu'est-ce qu'une purple team. GOADv2 inclut désormais des scénarios détection-orientés par défaut.
Découvrir le bootcamp DevSecOps

Écrit par

Naim Aouaichia

Expert cybersécurité et fondateur de Zeroday Cyber Academy

Expert cybersécurité avec un master spécialisé et un parcours hybride : développement, DevOps, DevSecOps, SOC, GRC. Fondateur de Hash24Security et Zeroday Cyber Academy. Formateur et créateur de contenu technique sur la cybersécurité appliquée, la sécurité des LLM et le DevSecOps.

À lire également