Les administrateurs informatiques optent fréquemment pour le renouvellement des mots de passe face à une compromission présumée. Cette mesure vise à bloquer l’accès principal des intrus. Pourtant, dans les environnements Active Directory (AD) et mixtes avec Entra ID, le changement de credentials n’annule pas instantanément l’ancien mot de passe sur l’ensemble des chemins d’authentification.
Même un bref délai offre aux cybercriminels une fenêtre pour conserver leur accès ou le restaurer rapidement. Ce phénomène pose des défis concrets lors de la gestion d’incidents pour les experts en sécurité.
Le décalage lié au renouvellement des mots de passe
Les systèmes Windows stockent localement les hachages de mots de passe pour permettre les connexions hors ligne. Un appareil non reconnecté au domaine conserve potentiellement l’ancien hachage utilisable. Dans les setups hybrides, un court laps de temps sépare le reset en AD de la synchronisation vers Entra ID.
Le renouvellement génère trois situations possibles :
1. L’utilisateur s’est connecté avec le nouveau mot de passe en étant relié à AD, ce qui met à jour le cache et rend l’ancien hachage invalide.
2. L’utilisateur n’a pas accédé à une machine spécifique depuis le reset, laissant l’ancien cache actif pour certaines authentifications.
3. En déploiement hybride, le mot de passe est modifié en AD sans que le nouveau hachage n’ait encore rejoint Entra ID, autorisant l’ancien mot de passe pendant l’intervalle de password hash synchronization.
Selon le rapport d’enquête sur les violations de données de Verizon, les credentials volés interviennent dans 44,7 % des incidents de sécurité.
Les méthodes d’exploitation par les attaquants
Credentials en cache
Les intrus profitent des hachages en cache via des techniques comme pass-the-hash, utilisant directement le hachage sans mot de passe en clair. Un hachage capturé avant le reset demeure valide temporairement.
Sessions actives
L’authentification AD repose sur des Kerberos tickets valides pour une durée déterminée. Un billet valide permet d’accéder aux ressources sans resaisir de mot de passe, même post-reset. Sans invalidation explicite par déconnexion, redémarrage ou purge des tickets, l’accès persiste.
Comptes de service
Les comptes de service possèdent des mots de passe pérennes et des privilèges élevés sur des systèmes critiques. Les attaquants les exposent par Kerberoasting ou lors de déplacements latéraux. Leur rare renouvellement en fait un recours fiable après fermeture d’un point d’entrée initial.
Attaques sur tickets
Le protocole Kerberos gère l’accès via des tickets. Les faussaires n’exigent pas de credentials légitimes. Une Golden Ticket attack, via compromission du compte Kerberos Ticket Granting Ticket, forge des tickets pour tout utilisateur du domaine. Les Silver Tickets ciblent des services spécifiques sans contact avec le contrôleur de domaine. Ces attaques ignorent les resets de mots de passe jusqu’à résolution du problème racine.
Permissions
AD s’appuie sur des Access Control Lists (ACLs). Un intrus accordant des droits de reset à un compte compromis crée une porte dérobée persistante. Les comptes protégés par AdminSDHolder, comme les Domain Admins, héritent d’un template spécifique. Modifier l’ACL sur AdminSDHolder réapplique les permissions toutes les heures via SDProp.
Mesures pour éjecter définitivement les intrus
Le délai entre reset et synchronisation complète reste minime, souvent quelques minutes, limitant les opportunités d’exploitation. Activer AD Change Notification ou lancer manuellement une synchronisation vers Entra ID accélère le processus.
Une fois la compromission détectée, les attaquants ont pu installer d’autres points d’appui. Il faut invalider les éléments actifs : terminer les sessions, purger les Kerberos tickets par déconnexions ou redémarrages. Pour les cas graves, renouveler deux fois le compte KRBTGT annule les tickets forgés.
Assurer l’hygiène des credentials inclut la rotation des mots de passe de service à privilèges élevés et le vidage des caches lors des reconnexions. Un audit exhaustif du répertoire vérifie :
- adhésions aux groupes,
- droits délégués et ACLs,
- comptes et rôles privilégiés.
Seul un ensemble d’actions – coupure des sessions, rotation ciblée des credentials, vérification des chemins d’accès cachés – garantit l’éviction lors de violations majeures.