Que sont les Comptes Obsolètes et Sur-Privilégiés ?
Les environnements Active Directory accumulent des comptes au fil du temps. Les employés partent, les prestataires terminent leurs missions, des comptes de service sont créés pour des projets qui se terminent — et les comptes restent. Ces comptes obsolètes sont oubliés par l'IT mais entièrement fonctionnels : credentials valides, appartenances aux groupes valides, accès aux ressources valide.
Les comptes obsolètes et sur-privilégiés sont parmi les vecteurs d'accès initial et de mouvement latéral les plus fiables dans les intrusions réelles. Ils sont silencieux, persistent pendant des années, et ne nécessitent aucune exploitation — juste une énumération et un credential.
Comment ca Fonctionne
Les comptes AD restent actifs jusqu'à ce qu'ils soient explicitement désactivés ou supprimés. Quand un employé part, l'IT doit manuellement désactiver son compte, supprimer ses appartenances aux groupes et finalement supprimer l'objet. Quand ce processus est ignoré, le résultat est un environnement AD rempli de comptes qui :
- Ne se sont pas authentifiés depuis des mois ou des années
- Appartiennent encore à des groupes privilégiés
- Ont des mots de passe définis il y a des années et jamais changés
- Ne sont soumis à aucune politique de mots de passe
Du point de vue d'un attaquant, un compte Domain Admin obsolète d'un ancien employé IT est la cible idéale : privilèges élevés, surveillance faible, mot de passe inchangé depuis des années.
La Chaine d'Attaque
Etape 1 - Enumérer les Comptes Obsolètes et de Haute Valeur
# Trouver les comptes actifs sans connexion depuis 90+ jours
$cutoff = (Get-Date).AddDays(-90)
Get-ADUser -Filter {Enabled -eq $true -and LastLogonDate -lt $cutoff} `
-Properties LastLogonDate, PasswordLastSet, MemberOf |
Select-Object SamAccountName, LastLogonDate, PasswordLastSet |
Sort-Object LastLogonDate
# Trouver tous les membres des groupes privilégiés
$groupes = @("Domain Admins","Enterprise Admins","Schema Admins","Backup Operators")
foreach ($groupe in $groupes) {
Get-ADGroupMember -Identity $groupe -Recursive |
Get-ADUser -Properties LastLogonDate, PasswordLastSet |
Select-Object @{N="Groupe";E={$groupe}}, SamAccountName, LastLogonDate, PasswordLastSet
}
Etape 2 - Cibler les Comptes avec des Mots de Passe Anciens
Les comptes avec des mots de passe définis il y a des années sont des cibles prioritaires pour le spray et la force brute :
kerbrute passwordspray --dc 10.10.0.1 --domain corp.local comptes_obsoletes.txt "Hiver2020!"
Etape 3 - Exploiter les Privilèges Excessifs
Un compte obsolète compromis qui est encore membre de Domain Admins fournit un accès immédiat et total au domaine.
Détection
Event IDs Windows
| Event ID | Source | Ce qu'il faut surveiller |
|---|---|---|
| 4624 | DC/Poste | Connexion réussie depuis un compte sans activité récente |
| 4768 | DC - Security | TGT demandé pour un compte inactif depuis 90+ jours |
| 4728/4732 | DC - Security | Membre ajouté à un groupe privilégié — ajouts inattendus |
Requete SIEM (Elastic KQL)
event.code: "4624" AND
winlog.event_data.LogonType: "3" AND
winlog.event_data.TargetUserName: (* AND NOT "*$")
Remédiation
💡 Action Rapide : Extrayez la liste de tous les comptes actifs avec
LastLogonDatede plus de 90 jours et désactivez-les immédiatement. Action sans risque — les comptes désactivés peuvent être réactivés en quelques secondes si nécessaire.
1. Désactiver les Comptes Obsolètes
$cutoff = (Get-Date).AddDays(-90)
Get-ADUser -Filter {Enabled -eq $true -and LastLogonDate -lt $cutoff} `
-SearchBase "OU=Utilisateurs,DC=corp,DC=local" `
-Properties LastLogonDate | ForEach-Object {
Disable-ADAccount -Identity $_
Write-Host "Désactivé : $($_.SamAccountName) — Dernière connexion : $($_.LastLogonDate)"
}
2. Auditer et Réduire les Appartenances aux Groupes Privilégiés
$groupes = @("Domain Admins","Enterprise Admins","Schema Admins")
$groupes | ForEach-Object {
Get-ADGroupMember -Identity $_ -Recursive |
Select-Object @{N="Groupe";E={$_}}, SamAccountName, distinguishedName
} | Export-Csv membres_privilegies.csv -NoTypeInformation
3. Configurer des Politiques de Mots de Passe Affinées
New-ADFineGrainedPasswordPolicy -Name "PSOComptesPrivilegiés" `
-Precedence 10 `
-MinPasswordLength 20 `
-ComplexityEnabled $true `
-MaxPasswordAge (New-TimeSpan -Days 60)
Add-ADFineGrainedPasswordPolicySubject -Identity "PSOComptesPrivilegiés" `
-Subjects "Domain Admins"
Comment EtcSec Détecte Cela
EXCESSIVE_PRIVILEGED_ACCOUNTS signale les environnements avec plus de comptes privilégiés que la normale pour la taille de l'organisation.
PASSWORD_VERY_OLD identifie les comptes dont le mot de passe n'a pas été changé depuis plus d'un an, priorisés par niveau de privilège.
FGPP_NOT_CONFIGURED détecte les environnements sans Politiques de Mots de Passe Affinées, signifiant que les comptes privilégiés sont soumis à la même politique (souvent faible) que les utilisateurs ordinaires.
ℹ️ Note : EtcSec audite le cycle de vie des comptes et la posture de privilèges automatiquement lors de chaque scan. Lancez un audit gratuit pour découvrir les comptes obsolètes et sur-privilégiés.
Articles connexes : Sécurité des Mots de Passe AD | Abus ACL et DCSync
Priorites de Revue
Comptes Obsolètes et Sur-Privilégiés dans AD doit etre traite comme une exposition reelle dans votre environnement Active Directory, pas comme un simple parametre isole. La premiere etape consiste a definir le vrai perimetre de revue : quels groupes privilegies, comptes de service, ACL, liens GPO, trusts, delegations, templates de certificats et postes d'administration sont concernes, quelles dependances metier existent, quels privileges sont exposes et quelles exceptions d'urgence ont ete ajoutees avec le temps. Ce cadrage evite une remediation superficielle, car le symptome technique est souvent plus petit que le rayon d'impact operationnel. En documentant le chemin complet entre configuration, privilege et usage reel, l'equipe peut prioriser des changements qui reduisent le risque sans bloquer l'activite.
Controles Adjacents a Revoir
Quand un attaquant arrive dans votre environnement Active Directory, il ne s'arrete presque jamais au premier point faible. Autour de Comptes Obsolètes et Sur-Privilégiés dans AD, il cherche en general a enchainer avec comptes privilegies obsoletes, imbrication dangereuse de groupes, delegations excessives, politiques de mot de passe faibles et abus d'ACL heritees. Cela signifie que la defense doit revoir non seulement la faiblesse principale, mais aussi toutes les dependances qui transforment un acces initial en persistance ou en escalation. Verifiez quelles identites, quels roles, quelles permissions et quelles hypotheses de confiance peuvent etre reutilises. Si le correctif ferme un seul objet mais laisse intactes les voies adjacentes, le risque reel change peu. Une revue des chaines d'abus est donc indispensable pour obtenir un resultat durable.
Preuves et telemetry a collecter
Une bonne reponse a Comptes Obsolètes et Sur-Privilégiés dans AD repose sur des preuves que l'ingenierie et la detection peuvent relire ensemble. Collectez Event IDs 4624, 4662, 4670, 4688, 4728, 4732, 4768, 4769, 5136, changements SYSVOL et activite des certificats, comparez les changements recents avec les fenetres de maintenance attendues et isolez les comptes ou objets qui ont change de comportement sans justification claire. Ces elements doivent permettre de repondre a trois questions simples : quand l'exposition est apparue, qui peut encore l'utiliser, et si des variantes similaires existent ailleurs dans votre environnement Active Directory. La collecte de preuves aide aussi a distinguer une dette technique ancienne d'un usage actif. Cette distinction est essentielle pour choisir le bon niveau d'urgence et la bonne sequence de remediation.
Faiblesses voisines a revoir
Tres peu d'environnements contiennent Comptes Obsolètes et Sur-Privilégiés dans AD seul. Dans la pratique, la meme zone du tenant ou de l'annuaire contient souvent aussi comptes privilegies obsoletes, imbrication dangereuse de groupes, delegations excessives, politiques de mot de passe faibles et abus d'ACL heritees, et ce sont ces faiblesses voisines qui determinent si l'exposition reste limitee ou devient critique. Revoyez les owners communs, les permissions heritees, les exceptions dupliquees et les raccourcis administratifs qui n'ont jamais ete retires. Verifiez si la meme logique de contournement a ete approuvee a plusieurs endroits, car cela revele souvent une faille de processus plus qu'un bug unique. Cette revue elargie donne une meilleure chance d'eliminer le chemin d'attaque complet.
Ordre de remediation recommande
Pour Comptes Obsolètes et Sur-Privilégiés dans AD, l'ordre de remediation doit privilegier la reduction de risque avant la perfection. Commencez par fermer les chemins qui augmentent le plus vite le privilege, puis verrouillez les objets ou identites a plus forte valeur, et ensuite seulement traitez les ecarts de hygiene secondaires. Utilisez tiering, nettoyage des delegations, revue ACL, hygiene des comptes de service, revue des permissions GPO et durcissement ADCS comme ensemble de controles cible. Chaque changement doit avoir un owner, une note de rollback et une etape de validation. Cette discipline evite que les programmes de correction s'arretent apres le premier gain technique. Si une refonte complete n'est pas possible tout de suite, formalisez des controles intermediaires et planifiez le travail structurel dans le prochain revue hebdomadaire des privileges et validation mensuelle des controles.
Validation apres chaque changement
Apres toute modification liee a Comptes Obsolètes et Sur-Privilégiés dans AD, validez le resultat sous deux angles : administration legitime et chemin d'attaque. Confirmez que les utilisateurs et systemes attendus continuent de fonctionner, puis prouvez que la voie dangereuse ne donne plus le meme levier. Rejouez la collecte sur Event IDs 4624, 4662, 4670, 4688, 4728, 4732, 4768, 4769, 5136, changements SYSVOL et activite des certificats, relisez les approbations et verifiez qu'aucun objet voisin ne conserve une voie de contournement. La validation doit aussi inclure une definition ecrite du succes, afin que tout le monde sache ce qui constitue une fermeture acceptable. Dans les equipes matures, un correctif n'est accepte que lorsque le chemin risque est ferme et que l'etat final correspond vraiment a l'objectif de durcissement.
Ownership, escalade et gouvernance
Les sujets comme Comptes Obsolètes et Sur-Privilégiés dans AD echouent quand le symptome technique est corrige mais que personne n'assume le controle long terme. Assignez des responsabilites claires entre ingenierie annuaire, analystes SOC, administrateurs identite et equipes serveurs, definissez qui approuve les exceptions et decidez quelle equipe doit signer avant qu'un objet risqué soit reintroduit. Cette gouvernance n'est pas de la bureaucratie inutile : elle sert a empecher qu'une urgence, une migration ou une integration tierce recree la meme exposition quelques semaines plus tard. Documentez les points de decision qui ont permis la faiblesse, puis mettez a jour le processus voisin pour que la prochaine demande soit evaluee selon la nouvelle baseline.
Lectures Connexes
Pour traiter ce sujet correctement, reliez-le a Mots de Passe AD : Erreurs de Configuration Critiques, Kerberoasting : Cracker les Mots de Passe des Comptes de Service, Supervision Sécurité AD : Événements Clés, Imbrication Dangereuse de Groupes AD : Chemins vers Domain Admin et Chemins d'Attaque AD : Mauvaises Configurations en Chaîne. Cet ensemble montre comment les memes erreurs d'identite, de privileges et de configuration se combinent dans une revue reelle au lieu d'apparaitre comme des constats isoles.
- Mots de Passe AD : Erreurs de Configuration Critiques
- Kerberoasting : Cracker les Mots de Passe des Comptes de Service
- Supervision Sécurité AD : Événements Clés
- Imbrication Dangereuse de Groupes AD : Chemins vers Domain Admin
- Chemins d'Attaque AD : Mauvaises Configurations en Chaîne
Ces liens internes gardent la remediation centree sur le chemin d'attaque complet et pas seulement sur un controle pris separement.
Validation Operationnelle
Avant de clore la revue, rejouez les controles qui ont revele le risque et confirmez que le chemin d'abus n'existe plus du point de vue d'un attaquant. Verifiez les identites, privileges, exceptions, dependances et preuves de remediations en production plutot que de vous limiter a la documentation. Cette validation finale transforme une correction ponctuelle en reduction de risque durable.
