Zeroday Cyber Academy

Reconversion cybersécurité

Roadmap Active Directory security : 12 mois red et blue team

Roadmap 12 mois pour maîtriser la sécurité Active Directory : attaques Kerberos, hardening, tiering, détection SOC et certifications CRTP, CRTE, OSCP.

Naim Aouaichia
14 min de lecture
  • Roadmap
  • Parcours apprentissage
  • Active Directory
  • AD Security
  • Kerberos
  • Red Team
  • Pentest AD
  • Blue Team
  • Hardening
  • Tiering
  • BloodHound
  • Impacket
  • Certifications
  • CRTP
  • DFIR

La sécurité Active Directory reste en 2026 la compétence cyber la plus transverse et la plus recherchée en France. Active Directory équipe plus de 90 % des entreprises de plus de 500 salariés (Microsoft 2024) et reste le pivot d'authentification de la majorité des systèmes d'information, désormais en configuration hybride avec Entra ID. C'est aussi la cible n°1 des ransomwares et opérations APT — 80 % des compromissions documentées en 2023-2024 par Microsoft Defender Incident Response, Mandiant M-Trends et ANSSI transitent par une escalade de privilèges AD. Cette roadmap structure 12 mois d'apprentissage couvrant les fondamentaux AD, les 8 familles d'attaques critiques, la défense (LAPS, tiering, hardening, détection) et les certifications de référence CRTP, CRTE, OSEP.

Pourquoi l'AD reste le graal attaquant et défenseur en 2026

L'Active Directory est un système d'annuaire et d'authentification déployé par Microsoft depuis Windows 2000 Server. Il centralise comptes utilisateurs, comptes machines, groupes, GPO (group policy objects) et relations de confiance inter-domaines. Sa richesse fonctionnelle en fait aussi une surface d'attaque massive : plus de 30 ans de rétrocompatibilité, des protocoles historiques exposés (NTLM, SMBv1 dans certains legacy), des ACL complexes souvent mal maîtrisées, des paramètres par défaut permissifs.

Trois constats structurants pour 2026 :

  1. La majorité des ransomwares passent par l'AD. Les groupes LockBit, BlackCat/ALPHV, Clop, Play, 8Base et Akira exploitent systématiquement l'AD pour propager leur chiffrement sur l'ensemble du parc. Compromettre un compte privilégié et extraire krbtgt reste le scénario dominant.
  2. L'hybridation AD on-prem / Entra ID élargit la surface. Depuis l'adoption massive de Microsoft 365, les scénarios d'attaque cross-cloud (Seamless SSO, PRT abuse, Entra Connect compromise) deviennent la nouvelle frontière. Un profil AD-only perd en pertinence.
  3. La demande défensive explose. Les directives NIS 2 (applicable France depuis fin 2024), DORA (secteur financier, janvier 2025) et les exigences d'assurance cyber forcent la mise en tiering, le déploiement de LAPS et l'audit régulier (PingCastle, Purple Knight). Les profils capables d'auditer et de durcir un AD sont en pénurie structurelle.

Prérequis avant de se lancer

Une roadmap AD security efficace suppose un socle Windows / réseau / scripting déjà stabilisé. Sans ce socle, la phase 1 s'étire mécaniquement.

  • Windows administration : création de comptes, gestion des partages, GPO basiques, services Windows, PowerShell 5 minimum.
  • Réseau : TCP/IP, DNS, ports AD (88, 135, 389, 445, 464, 636, 3268), routage, pare-feu Windows.
  • Linux : bash, navigation système, pip et venv Python, utilisation de Kali Linux.
  • Bases cryptographie : différence hash / chiffrement, NTLM vs Kerberos, notion de sel et rainbow tables.
  • Scripting : Python intermédiaire (parsing, requêtes HTTP, arguments CLI), PowerShell opérationnel.

Un admin système Windows avec 2-3 ans d'expérience part avec 60-70 % du socle acquis. Un profil cybersécurité généraliste (sorti SOC L1 par exemple) doit compter 4-6 semaines de consolidation Windows avant d'attaquer la phase 1.

Phase 1 — Mois 1 à 3 : fondamentaux AD administratifs

Objectif : comprendre intimement comment fonctionne un AD avant de savoir l'attaquer.

Concepts structurants à maîtriser

  • Forêts, domaines, relations de confiance (trusts) : transitive, non-transitive, one-way, two-way.
  • Organizational Units (OU), sites et services.
  • Groupes : security vs distribution, global vs universal vs domain local (règle AGDLP).
  • Comptes : user, computer, service, gMSA (group managed service accounts).
  • Rôles FSMO : PDC Emulator, RID Master, Infrastructure Master, Schema Master, Domain Naming Master.
  • Schéma AD et extensibilité.

Kerberos en profondeur (critique pour la suite)

  • Flux complet : KRB_AS_REQ / KRB_AS_REP / KRB_TGS_REQ / KRB_TGS_REP / AP_REQ / AP_REP.
  • Rôle du KDC et de la clé krbtgt.
  • Chiffrement : RC4, AES-128, AES-256.
  • SPN (Service Principal Names) et leur importance.
  • PAC (Privilege Attribute Certificate) et flag PAC validation.

GPO (Group Policy Objects)

  • Héritage, blocage, forcé, lien GPO.
  • Computer Configuration vs User Configuration.
  • Scripts de démarrage, préférences GPO (GPP).
  • Audit des GPO via Get-GPOReport.

Home lab de phase 1

  • 1 contrôleur de domaine Windows Server 2022.
  • 1 deuxième DC pour la réplication.
  • 2-3 postes Windows 10/11 joints au domaine.
  • Création de 20 comptes utilisateurs simulés, groupes, GPO de démonstration.

Passage obligé : lire et annoter le livre Active Directory Cookbook de Laura Hunter (O'Reilly) ou la documentation Microsoft Learn sur AD DS. Lire [MS-ADTS] au moins en survol pour comprendre la structure de l'annuaire.

Phase 2 — Mois 4 à 6 : offensive AD, reconnaissance et premières attaques

Objectif : savoir énumérer un AD comme un attaquant, et exécuter les 4 attaques de base en autonomie.

Énumération

  • PowerView : Get-NetUser, Get-NetComputer, Get-NetGroup, Get-NetGPO.
  • adPEAS, ADRecon pour un scan global.
  • BloodHound / SharpHound pour la cartographie des chemins d'attaque.
  • LDAP direct via ldapsearch / windapsearch.
  • Énumération SMB via enum4linux-ng, crackmapexec (devenu NetExec / nxc).

Attaques de base à maîtriser

  1. Password spraying : tester 1-2 mots de passe sur tous les comptes, rester sous le seuil de verrouillage. Outils : kerbrute, nxc smb --users users.txt --passwd password.
  2. AS-REP Roasting : extraire les TGT des comptes avec DONT_REQ_PREAUTH, casser offline. Outil : impacket-GetNPUsers.
  3. Kerberoasting : extraire les TGS chiffrés avec les hash NTLM des comptes service (SPN), casser offline. Outil : impacket-GetUserSPNs.
  4. NTLM Relay basique : intercepter via Responder et relayer avec impacket-ntlmrelayx vers SMB (si SMB Signing désactivé) ou LDAP.

Exemple pratique Kerberoasting (commande typique en phase 2) :

# Énumération des SPN et extraction des TGS kerberoastables
impacket-GetUserSPNs lab.local/jdoe:'Password1!' \
    -dc-ip 10.10.10.10 \
    -request \
    -outputfile kerberoast.hashes
 
# Casse offline avec hashcat (mode 13100 = Kerberos 5 TGS-REP etype 23 RC4)
hashcat -m 13100 kerberoast.hashes /usr/share/wordlists/rockyou.txt \
    --rules-file /usr/share/hashcat/rules/best64.rule
 
# Variante : targeted kerberoasting via modification SPN
# Requiert GenericWrite ou GenericAll sur un compte utilisateur cible
impacket-targetedKerberoast -v -d lab.local -u jdoe -p 'Password1!'

Outils à installer et utiliser en autonomie en fin de phase 2

CatégorieOutils de référence
Énumération ADPowerView, BloodHound/SharpHound, ADRecon, adPEAS, PingCastle
Kerberos exploitationImpacket (GetUserSPNs, GetNPUsers, getTGT, getST), Rubeus
NTLM RelayResponder, Impacket ntlmrelayx, Coercer, PetitPotam, DfsCoerce
Password sprayingkerbrute, NetExec, DomainPasswordSpray
Credential dumpingMimikatz, pypykatz, Impacket secretsdump
Post-exploitationPowerSploit, PowerShell Empire, Covenant, Sliver

Phase 3 — Mois 7 à 9 : escalade, persistance et mouvement latéral avancé

Objectif : maîtriser les attaques avancées conduisant à la compromission complète d'un domaine puis d'une forêt.

ACL abuse

  • Droits critiques à identifier dans BloodHound : GenericAll, GenericWrite, WriteOwner, WriteDACL, ForceChangePassword, AddMember, AllExtendedRights.
  • Chemins classiques : user → GenericWrite → computer → RBCD → Domain Admin.
  • Outils : PowerView, Impacket dacledit, Impacket addcomputer, bloodyAD.

Délégations Kerberos

  • Unconstrained delegation : exploitation via Printer Bug, coercion + captures de TGT.
  • Constrained delegation (S4U2Self + S4U2Proxy) : abuse via impacket-getST.
  • Resource-Based Constrained Delegation (RBCD) : ajout d'un compte contrôlé dans msDS-AllowedToActOnBehalfOfOtherIdentity.

Active Directory Certificate Services (ADCS)

  • Référentiel Certipy ESC1 à ESC13. Les plus courantes en entreprise :
    • ESC1 : template vulnérable avec ENROLLEE_SUPPLIES_SUBJECT et EKU Client Authentication.
    • ESC4 : permissions faibles sur un template.
    • ESC6 : flag EDITF_ATTRIBUTESUBJECTALTNAME2 sur la CA.
    • ESC8 : NTLM Relay vers AD CS Web Enrollment (attaque PetitPotam + ntlmrelayx + Certipy).
  • Outils : Certipy, Certify, ForgeCert.

Persistance post-compromission

  • DCSync via impacket-secretsdump -just-dc-user krbtgt.
  • Golden Ticket (forge TGT avec clé krbtgt) via Rubeus ou Mimikatz.
  • Silver Ticket (forge TGS d'un service cible).
  • Skeleton Key (patch en mémoire du LSASS).
  • AdminSDHolder abuse (modification du template, propagation 60 min).
  • Shadow Credentials via msDS-KeyCredentialLink (Whisker, Certipy shadow-credentials).

Forêts et trusts

  • SID History abuse.
  • Cross-forest Kerberoasting.
  • Inter-realm TGT (référentiel de harmj0y et dirkjanm).

Phase 4 — Mois 10 à 12 : défensive AD, hardening, tiering, détection

Objectif : savoir durcir, segmenter et détecter — compétence indispensable même pour un profil offensif (toute équipe red mature sait monter la détection de ses propres TTP).

Tiering model (Microsoft Secured Privileged Access)

TierPérimètreExemples
Tier 0Assets contrôlant l'identitéContrôleurs de domaine, AD CS, AD FS, Entra Connect, PAM, HSM
Tier 1Serveurs et applications métierServeurs d'applications, bases de données, hyperviseurs, SCCM
Tier 2Postes de travail utilisateursEndpoints, postes admin non privilégiés
PAWPostes d'administration dédiésPrivileged Access Workstation (hardened, offline browsing disabled)

Les règles de tiering interdisent qu'un compte d'un tier supérieur s'authentifie sur un asset d'un tier inférieur. Concrètement, un Domain Admin ne doit jamais ouvrir de session sur un poste Tier 2. L'implémentation repose sur Authentication Silos, Authentication Policies, groupe Protected Users, restrictions GPO.

Hardening de référence

  • LAPS (Windows LAPS depuis avril 2023) : rotation automatique des mots de passe admin locaux, remplace l'ancien LAPS MSI.
  • Credential Guard et Remote Credential Guard pour protéger LSASS via VBS.
  • LSASS en Protected Process Light (PPL) via RunAsPPL.
  • SMB Signing obligatoire sur DC et idéalement partout.
  • LDAP Channel Binding + Signing obligatoires sur DC (correctifs 2020).
  • Désactiver NTLMv1 et LM hash via GPO.
  • Désactiver Print Spooler sur les DC (Printer Bug prevention).
  • Nettoyer krbtgt : rotation double tous les 6-12 mois via script Microsoft officiel.
  • AppLocker ou WDAC sur endpoints privilégiés.
  • Attack Surface Reduction (ASR) rules pour Microsoft Defender.

Détection : Event IDs critiques Windows

Event IDSignificationContexte détection
4624Logon réussiType 3 (network), type 10 (RDP), identifier comptes privilégiés hors périmètre
4625Logon échouéPassword spraying, brute force (volume anormal)
4672Privilèges spéciaux assignésConnexion avec droits élevés
4688Création de processusSysmon 1 équivalent, détection LOLBAS, PowerShell -enc
4768TGT demandéAS-REP Roasting = étype 23 (RC4) ou compte DONT_REQ_PREAUTH
4769TGS demandéKerberoasting = étype 23 RC4 pour SPN, multiples SPN en séquence
4771Pre-authentication échouéeBrute force Kerberos, AS-REP énumération
4698Tâche planifiée crééePersistence
4720 / 4728 / 4732 / 4756Création compte / ajout groupeCréation backdoor account, escalade via group add
5136Object modifié (DSA)ACL abuse, msDS-KeyCredentialLink modification
4662Accès objet ADDCSync détectable via GUID 1131f6aa-9c07-11d1-f79f-00c04fc2dcd2 (DS-Replication-Get-Changes)

Outils défensifs à connaître

  • Microsoft Defender for Identity (ex ATA) : détection comportementale native AD, intégré M365 Defender.
  • PingCastle : audit gratuit de l'état de sécurité AD (score 0-100, rapport HTML détaillé).
  • Purple Knight (Semperis) : audit gratuit complémentaire orienté exposition AD.
  • BloodHound défensif : même outil offensive, utilisé pour identifier les chemins d'escalade à casser.
  • Microsoft Security Compliance Toolkit : baselines de GPO hardening officielles.
  • ADSecurity.org (Sean Metcalf) : la référence communautaire.

Certifications par palier

PalierCertifications ciblesCoût indicatifRemarques
Débutant offensiveTryHackMe AD path, HTB Academy AD module15 €/moisConsolidation phase 1-2
Intermédiaire offensiveCRTP (Altered Security)249 $24h examen, rapport écrit, best ROI 2026
Intermédiaire+ offensiveCRTE (Altered Security)349 $Multi-forêts, delegations, ADCS
Avancée offensiveOSEP (Offensive Security PEN-300)~2 000 $Scope plus large que AD pur mais AD central
Maîtrise offensiveCRTM, PACES, OSWE400-2000 $Spécialisations profondes
DéfensiveSANS SEC505 / GDAT~8 000 $Idéalement financé employeur
Blue + RedSANS SEC565~8 000 $Red team operations, vue complète

Home lab AD recommandé

GOAD (Game of Active Directory) est le standard 2026 pour s'entraîner. Projet open-source de mayfly277 (Orange Cyberdefense), il déploie automatiquement via Vagrant + Ansible un environnement multi-domaines vulnérable par design.

Contenu typique GOAD Light / GOAD Full :

  • 2 domaines : sevenkingdoms.local et north.sevenkingdoms.local avec trust.
  • 1 forêt séparée : essos.local.
  • 6 à 10 VM Windows (DC, serveurs membres, postes).
  • Vulnérabilités pré-configurées couvrant Kerberoasting, AS-REP Roasting, unconstrained delegation, RBCD, ADCS ESC1-ESC8, NTLM Relay, ACL abuse.

Alternatives

  • HackTheBox Pro Labs : Offshore, RastaLabs, Cybernetics (~20 €/mois).
  • VulnLab : chains dédiées AD.
  • Altered Security labs (inclus avec CRTP, CRTE).
  • Xintra Labs (nouveau venu, excellent feedback 2025).

Configuration matérielle

  • Mini-PC ou station 32 Go RAM suffisant pour GOAD Light.
  • Proxmox recommandé pour gestion multi-VM.
  • Disque NVMe de 500 Go minimum.
  • Budget total : 600-900 € pour une machine dédiée, ou location horaire sur AWS/Azure EC2 (plus cher sur la durée).

Pièges courants

Sauter les fondamentaux administratifs. Tenter le Kerberoasting avant d'avoir compris le flux Kerberos conduit à exécuter des recettes sans comprendre. Un recruteur détecte l'absence de compréhension en 3 questions.

Tout faire en Python sans lire le protocole. Impacket encapsule beaucoup. Lire au moins une fois en entier [MS-KILE] (Kerberos extensions) et [MS-NRPC] (Netlogon) donne un avantage durable sur 90 % des candidats AD security.

Négliger Entra ID. En 2026, AD on-prem pur sans connaissance Entra ID (ex Azure AD) limite fortement les opportunités. Allouer au minimum 2-3 semaines en fin de roadmap pour couvrir PRT abuse, Seamless SSO, Entra Connect security, Conditional Access.

Ignorer le reporting. Les recruteurs demandent de lire un rapport d'audit. Publier sur un blog ou GitHub 3-5 write-ups d'attaques GOAD ou HTB pro labs différencie fortement à l'embauche.

Chercher la complexité avant la solidité. Maîtriser les 8 attaques critiques à 100 % vaut mieux que connaître 30 techniques exotiques à 40 %. Les 8 fondamentales couvrent l'immense majorité des cas terrain.

Points clés à retenir

  • Durée type : 12-18 mois à 6-10h/semaine pour un profil admin sys, 18-24 mois en reconversion totale.
  • 4 phases : fondamentaux administratifs (3 mois), offensive de base (3 mois), offensive avancée (3 mois), défensive et détection (3 mois).
  • 8 attaques critiques à maîtriser : Kerberoasting, AS-REP Roasting, NTLM Relay, ACL abuse, delegations (constrained/unconstrained/RBCD), DCSync, Golden Ticket, ADCS ESC1-ESC8.
  • Outils offensifs de référence : BloodHound, Impacket, NetExec, Rubeus, Mimikatz, Certipy, Responder.
  • Outils défensifs de référence : LAPS, PingCastle, Purple Knight, Microsoft Defender for Identity, BloodHound défensif.
  • Certifications offensive best ROI 2026 : CRTP (249 $) puis CRTE (349 $), puis OSEP pour prise de hauteur.
  • Home lab incontournable : GOAD par mayfly277 / Orange Cyberdefense, complet et gratuit.
  • Extension Entra ID obligatoire en 2026 pour rester pertinent à l'embauche.

Pour aller plus loin

Questions fréquentes

  • Combien de temps pour maîtriser la sécurité Active Directory ?
    Compter 12 à 18 mois à raison de 6-10 heures par semaine pour atteindre un niveau confirmé capable de conduire un audit AD en autonomie, côté offensif comme défensif. La première phase (mois 1-3) pose les fondamentaux administratifs AD indispensables : forêt, domaine, OU, GPO, FSMO, Kerberos. Les phases 2 et 3 (mois 4-9) couvrent l'offensive : enumeration, Kerberoasting, AS-REP Roasting, NTLM Relay, attaques ACL, Pass-the-Hash, DCSync, Golden Ticket, abus ADCS. La phase 4 (mois 10-12) couvre la défense : LAPS, tiering, hardening GPO, détection via Event IDs Windows et Microsoft Defender for Identity. Un profil admin système expérimenté compresse à 8-10 mois. Un profil reconversion totale étire à 18-24 mois. Le facteur limitant est la régularité du home lab, pas le volume de cours suivis.
  • Faut-il être pentester pour apprendre la sécurité Active Directory ?
    Non, la moitié des métiers AD security sont défensifs : SOC analyst spécialisé Identity, detection engineer focus AD, consultant hardening (PingCastle, BloodHound défensif), architecte Tiering, RSSI adjoint identité. La compétence est particulièrement demandée en 2026 avec les directives NIS 2, DORA et l'intégration Entra ID / Active Directory hybride. Les profils offensive-only (pentest, red team) représentent environ 30 % des postes AD security. Les 70 % restants sont en audit, hardening, détection, ingénieurie de défense. Connaître les attaques reste indispensable même pour un poste purement défensif : on ne défend pas ce qu'on ne sait pas attaquer.
  • Quelle certification Active Directory choisir en 2026 ?
    Trois tiers de certifications pour l'AD offensive en 2026. Tier beginner : CRTP (Certified Red Team Professional) d'Altered Security, 249 $, le meilleur rapport qualité-prix AD en 2026, 24 h d'examen pratique. Tier intermédiaire : CRTE (Certified Red Team Expert) d'Altered Security, 349 $, environnements multi-forêts et delegations avancées. Tier avancé : OSEP (Offensive Security Experienced Pentester) d'Offensive Security, ~2 000 $ avec formation PEN-300, couverture plus large que l'AD pur mais référence reconnue en red team. CRTM (Certified Red Team Master) et PACES (Pentester Academy) complètent pour des profils très spécialisés. Côté défensif, SANS SEC505 (Securing Windows and PowerShell Automation) avec GDAT ou SANS SEC565 (Red Team Operations) sont les plus solides.
  • Quel home lab pour s'entraîner à l'Active Directory security ?
    GOAD (Game of Active Directory) par Orange Cyberdefense / mayfly277 est le standard open-source gratuit en 2026. Il déploie en automatique (Vagrant + Ansible) un environnement multi-domaines vulnérable par design couvrant Kerberoasting, AS-REP Roasting, NTLM Relay, ACL abuse, unconstrained delegation, RBCD, ADCS ESC1-ESC8. Alternatives payantes : HackTheBox Pro Labs Offshore, RastaLabs et Cybernetics (~20 €/mois), VulnLab AD chains, Altered Security labs inclus avec CRTP/CRTE. Pour les tests défensifs : même GOAD avec ajout de Sysmon + Winlogbeat + Elastic Security pour observer les détections. Un lab Proxmox 32 Go RAM accueille confortablement GOAD complet (6-8 VM) + stack de détection.
  • Quelles sont les attaques AD les plus critiques à maîtriser ?
    Huit attaques constituent le cœur du référentiel 2026. 1) Kerberoasting : extraction de hash TGS de comptes de service via SPN, cassable offline. 2) AS-REP Roasting : extraction TGT pour comptes avec DONT_REQ_PREAUTH. 3) NTLM Relay : détournement d'authentification NTLM vers LDAP, SMB ou ADCS, outil de référence Impacket ntlmrelayx. 4) DCSync : abus de permission DS-Replication-Get-Changes pour extraire tous les hash via krbtgt. 5) Golden Ticket : forge de TGT via clé krbtgt compromise. 6) ACL abuse : GenericWrite, WriteOwner, WriteDACL, GenericAll, ForceChangePassword sur comptes privilégiés. 7) Unconstrained et Resource-Based Constrained Delegation. 8) ADCS abuse : ESC1 à ESC13 (Certipy), dont ESC8 (NTLM Relay vers AD CS Web Enrollment). Maîtriser ces 8 couvre 90 % des compromissions AD observées sur le terrain en 2024-2025.
  • Quels métiers ouvre la spécialisation Active Directory security ?
    Six familles de postes absorbent les profils AD security en 2026. 1) Pentester AD / red team interne dans les banques, ministères, éditeurs sécurité (Synacktiv, Quarkslab, Ambionics, LEXFO) : salaire 55-95 k€ confirmé. 2) Consultant hardening / auditeur AD (Wavestone, Advens, Almond, Orange Cyberdefense) : 55-85 k€. 3) Detection engineer spécialisé Identity : 65-95 k€. 4) Architecte Tiering / ESAE : 85-130 k€. 5) DFIR spécialisé AD : 65-110 k€, très demandé post-compromission ransomware. 6) Blue team / SOC L3 Identity : 65-95 k€. Les profils qui combinent maîtrise AD on-premise et Entra ID (ex Azure AD) sont les plus rares et les mieux payés, avec une prime de 10-15 % vs AD-only.
Découvrir l'accompagnement cyber 6 mois

Écrit par

Naim Aouaichia

Expert cybersécurité et fondateur de Zeroday Cyber Academy

Expert cybersécurité avec un master spécialisé et un parcours hybride : développement, DevOps, DevSecOps, SOC, GRC. Fondateur de Hash24Security et Zeroday Cyber Academy. Formateur et créateur de contenu technique sur la cybersécurité appliquée, la sécurité des LLM et le DevSecOps.

À lire également