Articles / LAPS — c’est quoi et pourquoi c’est (presque) la première ch

LAPS — c’est quoi et pourquoi c’est (presque) la première chose à déployer

ump — Un mot de passe pourri backfill · Voir sur Substack ↗ ⚠ Contenu partiel (paywall)

Pas d'image extraite du Substack pour cet article. Les posts seront publiés sans image.
← Retour
📢 Tweet Teaser posted
236 chars
Avec lien Substack · Soir 18h30–20h · 30% du mix

LAPS devrait être ta première ligne de défense AD. Mais 70% des admins le configurent mal ou ne l'activent pas. Voici pourquoi ça reste ton meilleur ROI sécurité (et ce que personne ne te dit sur le déploiement). https://[URL-ARTICLE]

📅 30/03 à 18h35 il y a 55j
✓ Publié 30/03 à 18h35
🧵 Thread posted
1825 chars
Lien en dernier tweet seulement · Midi 12h–13h30
1/8

1/ LAPS : Local Admin Password Solution. Le truc que tout le monde connaît mais que presque personne ne déploie correctement. Pourquoi ? Parce qu'on sous-estime l'impact d'un admin local compromis. Thread terrain ↓

2/8

2/ Scénario classique : un poste infecté, mot de passe admin local identique sur 500 machines. Résultat : mouvement latéral en 20 minutes. Pass-the-Hash, PSExec, et ton domaine est cramé avant même que le SOC ne réagisse.

3/8

3/ LAPS génère un mdp aléatoire unique par machine, le stocke dans l'AD, et le rotate automatiquement. Simple. Efficace. Mais il y a un piège : 90% des déploiements oublient de restreindre l'accès en lecture aux mots de passe dans l'AD.

4/8

4/ Autre erreur terrain : activer LAPS sans supprimer les anciens comptes admin locaux custom. Tu te retrouves avec LAPS actif... mais un "admin_local_backup" qui traîne avec le même mdp partout. GG.

5/8

5/ Les pentesters adorent chercher les GPO LAPS mal configurées. C'est souvent notre première énumération post-compromission. Si tout le monde peut lire ms-Mcs-AdmPwd, LAPS ne sert à rien. C'est juste un annuaire de mots de passe.

6/8

6/ LAPS, c'est pas sexy. Ça ne fait pas de slides marketing. Mais c'est le genre de quick-win qui bloque 80% des attaques latérales basiques. Avant de parler EDR, XDR, ZeroTrust... commence par là.

7/8

7/ Windows LAPS (la version native post-2023) apporte des améliorations : support Azure AD, chiffrement renforcé, meilleure gestion des droits. Mais le principe reste le même : casser la réplication des mots de passe admin locaux.

8/8

8/ En pentest, quand on voit LAPS bien déployé, on change de tactique. Ça force à chercher ailleurs : GPP passwords, comptes de service, Kerberoasting. C'est exactement ce que tu veux : ralentir l'attaquant et forcer l'exposition. Détails complets ici : https://[URL-ARTICLE]

📅 06/04 à 12h49 il y a 48j
✓ Publié 06/04 à 12h49
💡 Standalone #1 posted
253 chars
Sans lien · Matin 7h30–9h · 70% du mix

En pentest, LAPS bien configuré change tout. Ça nous force à passer 3x plus de temps sur l'énumération et à prendre des risques d'exposition. C'est exactement le genre de friction défensive qui fait la différence entre un domain admin en 2h ou 2 jours.

📅 01/04 à 08h21 il y a 53j
✓ Publié 01/04 à 08h21
💬 Standalone #2 posted
247 chars
Sans lien · Matin 7h30–9h · 70% du mix

70% des AD que j'audite ont LAPS activé. 90% de ces déploiements sont cassés : ACL trop permissives, anciens comptes admin locaux non supprimés, rotation désactivée. LAPS déployé ≠ LAPS efficace. Arrêtez de cocher des cases sans valider derrière.

📅 08/04 à 08h51 il y a 46j
✓ Publié 08/04 à 08h51
🔥 Provoc posted
228 chars
Sans lien · Valide avant de publier · Soir 18h30–20h

Si t'as pas LAPS en prod mais que tu payes un EDR à 6 chiffres, tu fais de la sécurité théâtre. LAPS coûte 0€, se déploie en une GPO, et bloque plus d'attaques réelles que 80% des solutions vendues par tes commerciaux préférés.

📅 10/04 à 18h50 il y a 44j
✓ Publié 10/04 à 18h50