{"id":629,"date":"2025-02-28T11:27:19","date_gmt":"2025-02-28T10:27:19","guid":{"rendered":"https:\/\/porfolio.jrey.eu\/?page_id=629"},"modified":"2025-03-10T14:13:54","modified_gmt":"2025-03-10T13:13:54","slug":"audite-de-securite-ad","status":"publish","type":"page","link":"https:\/\/porfolio.jrey.eu\/index.php\/audite-de-securite-ad\/","title":{"rendered":"Audite de s\u00e9curit\u00e9 – AD"},"content":{"rendered":"\n

PingCastle<\/strong> est un outil de s\u00e9curit\u00e9 informatique qui permet de v\u00e9rifier l\u2019\u00e9tat de s\u00e9curit\u00e9 d\u2019un Active Directory (AD). L\u2019Active Directory est un syst\u00e8me qu\u2019on utilise dans les entreprises pour g\u00e9rer les acc\u00e8s et les droits des utilisateurs sur le r\u00e9seau. PingCastle scanne l\u2019AD pour rep\u00e9rer les failles de s\u00e9curit\u00e9 et donner des conseils pour les corriger.<\/p>\n\n\n\n

L\u2019outil g\u00e9n\u00e8re un rapport avec des notes et des recommandations. Gr\u00e2ce \u00e0 \u00e7a, on peut voir facilement les points faibles de la s\u00e9curit\u00e9, comme les mots de passe trop faibles ou les acc\u00e8s trop larges, et prendre des mesures pour prot\u00e9ger le r\u00e9seau.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Dans PingCastle, il y a quatre indicateurs principaux qui permettent d\u2019\u00e9valuer la s\u00e9curit\u00e9 de l\u2019Active Directory. Ces indicateurs donnent une vision claire des risques et des faiblesses de s\u00e9curit\u00e9. Voici ce qu\u2019ils signifient :<\/p>\n\n\n\n

1. Legacy<\/strong> (H\u00e9ritage)<\/h3>\n\n\n\n

Cet indicateur mesure le niveau de technologies anciennes ou obsol\u00e8tes utilis\u00e9es dans l\u2019Active Directory. Les syst\u00e8mes et protocoles plus anciens sont souvent moins s\u00e9curis\u00e9s et plus vuln\u00e9rables aux attaques, car ils ne respectent pas toujours les derni\u00e8res normes de s\u00e9curit\u00e9. Si cet indicateur est \u00e9lev\u00e9, cela signifie qu\u2019il y a des \u00e9l\u00e9ments d\u00e9pass\u00e9s qui devraient \u00eatre mis \u00e0 jour ou supprim\u00e9s.<\/p>\n\n\n\n

2. Privilege<\/strong> (Privil\u00e8ge)<\/h3>\n\n\n\n

L\u2019indicateur de privil\u00e8ge \u00e9value les permissions et les droits accord\u00e9s aux utilisateurs et aux groupes. Il v\u00e9rifie si certains comptes ont des droits trop \u00e9lev\u00e9s qui pourraient poser un risque en cas de compromission. Par exemple, si des utilisateurs non-administrateurs ont des permissions d\u2019administrateur, cela augmente le risque de s\u00e9curit\u00e9. Un score \u00e9lev\u00e9 dans cet indicateur signifie qu\u2019il y a un exc\u00e8s de privil\u00e8ges \u00e0 revoir.<\/p>\n\n\n\n

3. Trusts<\/strong> (Confiance)<\/h3>\n\n\n\n

Cet indicateur \u00e9value les relations de confiance entre diff\u00e9rents domaines de l\u2019Active Directory. Quand il y a plusieurs domaines, ils peuvent \u00e9tablir des \u00ab relations de confiance \u00bb pour permettre l\u2019acc\u00e8s mutuel aux ressources. Cependant, une mauvaise gestion de ces relations peut ouvrir des failles de s\u00e9curit\u00e9. Un score \u00e9lev\u00e9 ici peut indiquer des relations de confiance non s\u00e9curis\u00e9es ou mal configur\u00e9es.<\/p>\n\n\n\n

4. Anomalies<\/strong><\/h3>\n\n\n\n

L\u2019indicateur des anomalies d\u00e9tecte des comportements inhabituels ou suspects dans l\u2019Active Directory, comme des comptes d\u2019utilisateurs qui n\u2019ont pas \u00e9t\u00e9 utilis\u00e9s depuis longtemps ou des configurations qui ne respectent pas les bonnes pratiques. Cet indicateur est important car il permet de rep\u00e9rer des signes d\u2019activit\u00e9s potentiellement malveillantes ou des erreurs de configuration. Un score \u00e9lev\u00e9 signale qu\u2019il y a des choses \u00e0 corriger pour am\u00e9liorer la s\u00e9curit\u00e9.<\/p>\n\n\n\n

\n\n\n\n

PingCastle utilise un syst\u00e8me de points pour \u00e9valuer le niveau de s\u00e9curit\u00e9 de l\u2019Active Directory, sous forme de score de risque global. Ce score aide \u00e0 comprendre rapidement si le niveau de s\u00e9curit\u00e9 est bon ou s\u2019il n\u00e9cessite des am\u00e9liorations. Voici comment cela fonctionne :<\/p>\n\n\n\n

Le Score Global<\/strong><\/h3>\n\n\n\n

Le score global de PingCastle est donn\u00e9 sur une \u00e9chelle de 0 \u00e0 100<\/strong> points :<\/p>\n\n\n\n

    \n
  • 0 \u00e0 20 points<\/strong> : Le niveau de s\u00e9curit\u00e9 est consid\u00e9r\u00e9 comme bon. L\u2019Active Directory est correctement prot\u00e9g\u00e9, avec peu de risques.<\/li>\n\n\n\n
  • 20 \u00e0 40 points<\/strong> : Le niveau de s\u00e9curit\u00e9 est acceptable, mais il existe encore quelques risques. Quelques am\u00e9liorations sont recommand\u00e9es.<\/li>\n\n\n\n
  • 40 \u00e0 60 points<\/strong> : Le niveau de s\u00e9curit\u00e9 est moyen. Cela signifie que plusieurs failles ou mauvaises configurations sont pr\u00e9sentes, n\u00e9cessitant des corrections.<\/li>\n\n\n\n
  • 60 \u00e0 80 points<\/strong> : Le niveau de s\u00e9curit\u00e9 est faible. Il y a des failles s\u00e9rieuses \u00e0 corriger pour \u00e9viter les risques d\u2019attaque.<\/li>\n\n\n\n
  • 80 \u00e0 100 points<\/strong> : Le niveau de s\u00e9curit\u00e9 est critique. L\u2019Active Directory pr\u00e9sente des vuln\u00e9rabilit\u00e9s importantes qui n\u00e9cessitent des actions urgentes.<\/li>\n<\/ul>\n\n\n\n

    Pour r\u00e9duire le nombre de points, PingCastle nous guide dans les \u00e9tapes \u00e0 suivre. Voici quelques exemples :<\/p>\n\n\n\n

    1: Privileged Accounts<\/h4>\n\n\n\n
    \"\"<\/figure>\n\n\n\n

    Dans la cat\u00e9gorie Privileged Accounts<\/strong>, qui est actuellement \u00e0 85 points, nous constatons que nous pourrions r\u00e9duire ce score de 20 points en corrigeant l\u2019alerte \u00ab the native administrator account has been used recently \u00bb.<\/p>\n\n\n\n

    En s\u00e9lectionnant cette alerte, PingCastle nous explique la nature de la faille.De plus, l\u2019outil fournit des instructions d\u00e9taill\u00e9es pour corriger ce probl\u00e8me<\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n
    \"\"<\/figure>\n\n\n\n

    Cocher la case \u00ab le compte est sensible et ne peut pas \u00eatre d\u00e9l\u00e9gu\u00e9 \u00bb<\/strong> est important, surtout en ce qui concerne l\u2019alerte \u00ab the native administrator account has been used recently. \u00bb<\/strong> Cela signifie que si ce compte est utilis\u00e9 fr\u00e9quemment, il est plus vuln\u00e9rable aux attaques. En emp\u00eachant sa d\u00e9l\u00e9gation, on limite les risques d\u2019acc\u00e8s non autoris\u00e9 et on prot\u00e8ge mieux le compte. Cela aide \u00e0 s\u2019assurer que le compte administrateur reste s\u00e9curis\u00e9 et ne peut pas \u00eatre utilis\u00e9 par d\u2019autres personnes de mani\u00e8re inappropri\u00e9e.<\/p>\n\n\n\n

    Comme j\u2019\u00e9tais un peu curieux, j\u2019ai cherch\u00e9 \u00e0 comprendre comment cette faille fonctionnait, en m\u2019int\u00e9ressant notamment aux techniques d\u2019attaque comme Pass-the-Hash<\/strong> et Pass-the-Ticket<\/strong>. Ces m\u00e9thodes permettent \u00e0 un attaquant d\u2019acc\u00e9der \u00e0 des comptes sans avoir besoin du mot de passe en utilisant des hashes de mot de passe ou des tickets d\u2019authentification Kerberos.<\/p>\n\n\n\n

    Pour explorer cette vuln\u00e9rabilit\u00e9, j\u2019ai utilis\u00e9 Mimikatz<\/strong>, un outil populaire pour tester la s\u00e9curit\u00e9 des syst\u00e8mes Windows. Cependant, lorsque j\u2019ai lanc\u00e9 Mimikatz, j\u2019ai rencontr\u00e9 une erreur. Apr\u00e8s quelques recherches, j\u2019ai d\u00e9couvert que c\u2019\u00e9tait d\u00fb \u00e0 Sophos, qui bloquait le fichier .exe en le supprimant apr\u00e8s chaque compilation.<\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n

    Bien que je n\u2019aie pas coch\u00e9 la case pour emp\u00eacher la d\u00e9l\u00e9gation du compte administrateur natif, la pr\u00e9sence de Sophos a en r\u00e9alit\u00e9 contribu\u00e9 \u00e0 r\u00e9duire les risques. En bloquant Mimikatz, il a emp\u00each\u00e9 une potentielle exploitation de la faille, montrant ainsi l\u2019importance d\u2019une bonne solution antivirus pour prot\u00e9ger l\u2019environnement, m\u00eame si certaines mesures de s\u00e9curit\u00e9 n\u2019ont pas \u00e9t\u00e9 mises en place.<\/p>\n\n\n\n

    \n\n\n\n

    2: Anomalies analysis<\/h4>\n\n\n\n
    \"\"<\/figure>\n\n\n\n

    Dans la cat\u00e9gorie Anomalies Analysis<\/strong>, nous constatons que nous pouvons gagner jusqu\u2019\u00e0 50 points en changeant le mot de passe Kerberos. Cela signifie qu\u2019en effectuant ce simple changement, nous pourrions r\u00e9duire de moiti\u00e9 le score de risque. Cette action est cruciale car un mot de passe Kerberos fort et r\u00e9guli\u00e8rement mis \u00e0 jour contribue \u00e0 renforcer la s\u00e9curit\u00e9 globale de l\u2019Active Directory, en rendant plus difficile l\u2019acc\u00e8s non autoris\u00e9 aux ressources et en prot\u00e9geant mieux les informations sensibles.<\/p>\n\n\n\n

    Kerberos<\/strong> est un protocole de s\u00e9curit\u00e9 utilis\u00e9 pour authentifier les utilisateurs et les services dans un r\u00e9seau informatique. Il fonctionne en d\u00e9livrant des tickets qui permettent aux utilisateurs de prouver leur identit\u00e9 sans avoir \u00e0 envoyer leur mot de passe \u00e0 chaque fois qu\u2019ils acc\u00e8dent \u00e0 un service. Cela aide \u00e0 s\u00e9curiser les \u00e9changes de donn\u00e9es et \u00e0 prot\u00e9ger les informations sensibles dans un environnement r\u00e9seau.<\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n

    Changer le mot de passe d\u2019un utilisateur dans Active Directory met \u00e9galement \u00e0 jour le mot de passe Kerberos associ\u00e9 \u00e0 ce compte. Cela contribue \u00e0 renforcer la s\u00e9curit\u00e9 du syst\u00e8me en limitant l\u2019acc\u00e8s non autoris\u00e9 et en r\u00e9duisant les risques d\u2019attaques.<\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n
    \n\n\n\n

    Conclusion du projet Ping Castle<\/strong><\/p>\n\n\n\n


    Gr\u00e2ce \u00e0 l’utilisation de Ping Castle<\/strong>, j’ai pu d\u00e9couvrir des protocoles et des pratiques de s\u00e9curit\u00e9 que je ne connaissais pas auparavant. Ce projet m’a permis d’approfondir mes connaissances en mati\u00e8re de s\u00e9curit\u00e9 des infrastructures, notamment avec des actions concr\u00e8tes comme le blocage du SMB1 sur les serveurs<\/strong> pour limiter les vuln\u00e9rabilit\u00e9s.<\/p>\n\n\n\n

    J’ai eu l’opportunit\u00e9 de renforcer la s\u00e9curit\u00e9 de l’infrastructure tout en apprenant beaucoup sur les diff\u00e9rentes menaces et les bonnes pratiques pour y faire face. Ce projet a \u00e9t\u00e9 \u00e0 la fois un challenge technique et une exp\u00e9rience enrichissante, et je suis satisfait des r\u00e9sultats obtenus.<\/p>\n\n\n\n

    <\/p>\n","protected":false},"excerpt":{"rendered":"

    PingCastle est un outil de s\u00e9curit\u00e9 informatique qui permet de v\u00e9rifier l\u2019\u00e9tat de s\u00e9curit\u00e9 d\u2019un Active Directory (AD). L\u2019Active Directory est […]<\/p>\n","protected":false},"author":1,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-gradient":""}},"footnotes":""},"class_list":["post-629","page","type-page","status-publish","hentry"],"_links":{"self":[{"href":"https:\/\/porfolio.jrey.eu\/index.php\/wp-json\/wp\/v2\/pages\/629","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/porfolio.jrey.eu\/index.php\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/porfolio.jrey.eu\/index.php\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/porfolio.jrey.eu\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/porfolio.jrey.eu\/index.php\/wp-json\/wp\/v2\/comments?post=629"}],"version-history":[{"count":5,"href":"https:\/\/porfolio.jrey.eu\/index.php\/wp-json\/wp\/v2\/pages\/629\/revisions"}],"predecessor-version":[{"id":671,"href":"https:\/\/porfolio.jrey.eu\/index.php\/wp-json\/wp\/v2\/pages\/629\/revisions\/671"}],"wp:attachment":[{"href":"https:\/\/porfolio.jrey.eu\/index.php\/wp-json\/wp\/v2\/media?parent=629"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}