Articles / Vous avez reconstruit votre Active Directory. L’attaquant es

Vous avez reconstruit votre Active Directory. L’attaquant est encore là.

ump — Un mot de passe pourri recent 2026-04-14 · Voir sur Substack ↗

Pas d'image extraite du Substack pour cet article. Les posts seront publiés sans image.
← Retour
📢 Tweet Teaser approved
285 chars
Avec lien Substack · Soir 18h30–20h · 30% du mix

Vous avez rebuild l'AD. KRBTGT reset, ACL nettoyées, comptes admin rotatés. L'attaquant attend. Il a la KDS Root Key. Il régénère vos mots de passe gMSA hors ligne, sans toucher vos DC. Personne n'en parle. https://unmotdepassepourri.substack.com/p/rebuild-ad-vous-avez-tout-nettoye

📅 06/07 à 19h55 dans 43j
🧵 Thread posted
1652 chars
Lien en dernier tweet seulement · Midi 12h–13h30
1/8

1/ Rebuild AD fini : KRBTGT reset×2, ACL auditées, GPO nettoyées. Rapport de clôture en cours. Équipe épuisée. L'attaquant attend. Il a une clé que personne n'a régénérée : la KDS Root Key.

2/8

2/ Cette clé dérive TOUS les mots de passe gMSA de votre forêt. Mot de passe pas stocké, il est calculé à la demande. Avec la KDS, l'attaquant reproduit ce calcul hors ligne. Pas de connexion à vos DC. Pas de log.

3/8

3/ Il régénère le mot de passe actuel de n'importe quel compte de service managé. Accède aux serveurs où ces comptes ont des droits. Recommence dans 30j avec le nouveau mot de passe. Silencieux. Cryptographiquement valide.

4/8

4/ Pourquoi c'est oublié ? Pas dans les playbooks IR standards. Pas dans les audits post-incident des grands cabinets. Les apps continuent de tourner après rebuild → tout semble normal. Personne ne pense à cette clé.

5/8

5/ gMSA = bonne pratique sécu. Rotation auto des mots de passe de service, plus de secrets en dur. Sauf que si la KDS Root Key est compromise, vous offrez une backdoor cryptographique permanente. Et elle ne change jamais par défaut.

6/8

6/ Rebuild AD sans régénérer la KDS Root Key, c'est laisser un attaquant calculer vos mots de passe de service pendant des mois. Sans jamais toucher vos systèmes. Sans anomalie réseau. Golden gMSA. Angle mort systématique.

7/8

7/ Si vous avez des gMSA en prod et que vous avez subi une compromission admin AD, la KDS Root Key doit être régénérée. Sinon vous n'avez rien nettoyé.

8/8

8/ Détails techniques, procédure de régénération, et pourquoi ça n'apparaît jamais dans les rapports post-incident : https://unmotdepassepourri.substack.com/p/rebuild-ad-vous-avez-tout-nettoye

📅 13/07 à 12h39 dans 50j
✓ Publié 13/07 à 12h39
💡 Standalone #1 posted
232 chars
Sans lien · Matin 7h30–9h · 70% du mix

Rebuild AD terminé, équipe épuisée, rapport IR en cours. L'attaquant a extrait la KDS Root Key. Il calcule vos mots de passe gMSA hors ligne, sans toucher vos DC. Golden gMSA. Angle mort systématique. Personne ne régénère cette clé.

📅 08/07 à 08h21 dans 45j
✓ Publié 08/07 à 08h21
💬 Standalone #2 posted
251 chars
Sans lien · Matin 7h30–9h · 70% du mix

gMSA = bonne pratique sécu. Rotation auto des mots de passe. Sauf que si la KDS Root Key est compromise, vous offrez une backdoor cryptographique permanente. Elle ne change jamais par défaut. Aucun playbook IR standard n'en parle. Vécu sur le terrain.

📅 15/07 à 08h46 dans 52j
✓ Publié 15/07 à 08h46
🔥 Provoc posted
257 chars
Sans lien · Valide avant de publier · Soir 18h30–20h

Rebuild AD sans régénérer la KDS Root Key, c'est écrire "incident résolu" alors que l'attaquant calcule vos mots de passe de service hors ligne pendant des mois. Playbooks IR des grands cabinets ne la mentionnent jamais. Vérifié sur 8 missions consécutives.

📅 17/07 à 18h41 dans 54j
✓ Publié 17/07 à 18h41