Gestion des accès : les comptes dormants encore utilisés comme porte d’entrée par les attaquants

Dans de nombreuses infrastructures d’entreprise, la gestion des identités repose sur des annuaires et systèmes centralisés comme Active Directory. Ces environnements accumulent avec le temps des comptes créés pour des collaborateurs, prestataires ou projets temporaires. Une partie de ces identifiants n’est jamais supprimée ni réellement réactivée, tout en conservant parfois des droits toujours effectifs.

Ces comptes dits “inactifs” représentent une cible discrète pour les attaquants, car ils échappent souvent aux contrôles quotidiens et aux mécanismes de surveillance classiques.

Comptes oubliés dans l’annuaire et accès encore actifs

Dans Active Directory, la création de comptes accompagne chaque arrivée, mission ou intervention externe. Lorsque ces profils ne sont pas correctement désactivés en fin de cycle, ils restent présents dans l’annuaire avec des permissions intactes.

On retrouve fréquemment :

• anciens salariés dont le compte n’a pas été désactivé 
• comptes de prestataires encore valides après fin de mission 
• identifiants temporaires créés pour des projets ponctuels 
• comptes génériques utilisés par plusieurs équipes 

Ces identifiants conservent parfois des accès à des serveurs internes, des applications métiers ou des espaces de stockage sensibles.

Pourquoi les comptes inactifs échappent aux contrôles internes ?

Les environnements construits autour de Active Directory évoluent souvent sur plusieurs années. Les audits d’identités ne suivent pas toujours le rythme des changements organisationnels, ce qui laisse apparaître des écarts entre réalité opérationnelle et annuaire.

Plusieurs situations expliquent cette persistance :

• absence de procédure systématique de désactivation 
• départs non synchronisés entre services RH et informatique 
• comptes utilisés ponctuellement puis oubliés 
• manque de visibilité sur les accès hérités 

Ces comptes ne sont pas visibles comme actifs au quotidien, mais restent techniquement exploitables si les identifiants sont récupérés.

Méthodes utilisées pour exploiter les comptes dormants

Les attaquants recherchent régulièrement des identifiants associés à des comptes inactifs dans Active Directory. Ces profils sont intéressants car ils peuvent bénéficier de droits élevés tout en étant peu surveillés.

Les approches observées incluent :

• récupération d’identifiants via phishing ciblé 
• réutilisation de mots de passe anciens exposés lors de fuites 
• test automatisé d’identifiants issus d’anciennes bases 
• exploitation de sessions encore valides sur certains services 

Une fois un compte compromis, il peut servir de point d’entrée discret dans le réseau interne.

Accès hérités et permissions jamais révisées

Dans Active Directory, les droits d’accès sont souvent hérités de groupes ou d’unités organisationnelles. Lorsqu’un compte devient inactif, ses permissions ne sont pas toujours réévaluées.

On observe régulièrement :

• comptes ayant gardé des accès administratifs partiels 
• droits sur des partages réseau sensibles 
• accès à des applications internes non révoqués 
• appartenance à des groupes privilégiés oubliés 

Ces permissions peuvent offrir un chemin progressif vers des ressources critiques du système d’information.

Invisibilité des comptes dormants dans les activités courantes

Les comptes inactifs dans Active Directory ne génèrent souvent aucune activité visible, ce qui réduit leur surveillance. Contrairement aux comptes actifs, ils ne déclenchent pas d’alertes liées à l’usage quotidien.

Cette absence de signaux inclut :

• aucune connexion régulière détectée 
• absence d’interaction avec les applications métiers 
• non-inclusion dans les rapports d’activité standards 
• faible visibilité dans les outils de supervision 

Cette discrétion rend leur identification plus complexe sans analyse dédiée des annuaires.

Effets d’un compte dormant compromis sur l’environnement interne

Lorsqu’un compte inactif dans Active Directory est réactivé par un tiers non autorisé, il peut servir de point d’ancrage dans le système d’information.

Les scénarios les plus fréquents incluent :

• accès initial à des ressources internes peu protégées 
• exploration latérale vers d’autres systèmes 
• récupération d’informations sensibles stockées sur serveurs partagés 
• escalade progressive des privilèges via d’autres comptes 

Le risque ne dépend pas uniquement du compte lui-même, mais aussi des droits encore associés à celui-ci.

Organisation des accès et discipline de nettoyage des identités

La maîtrise des comptes dormants dans Active Directory repose sur une gestion rigoureuse du cycle de vie des identités. Cela inclut la création, la modification et la suppression des comptes en cohérence avec l’activité réelle des utilisateurs.

Les environnements les plus exposés sont souvent ceux où :

• les départs ne sont pas synchronisés avec les systèmes informatiques 
• les comptes temporaires restent actifs sans échéance définie 
• les audits d’identités sont espacés dans le temps 
• les droits ne sont pas revus après changement de poste 

Cette accumulation progressive d’identifiants inactifs augmente la surface d’exposition globale du système.

Une menace discrète liée à la mémoire des systèmes d’accès

Les comptes dormants dans Active Directory illustrent une faiblesse structurelle fréquente dans les systèmes de gestion des identités : la persistance des accès au-delà de leur nécessité initiale. Tant que ces comptes restent actifs, ils constituent des points potentiels d’entrée difficilement visibles dans les environnements internes.

La maîtrise de ces identités repose donc sur une vision continue de l’ensemble des accès existants, y compris ceux qui ne sont plus utilisés au quotidien.

---