Les environnements intentionnellement incertains - les applications conçues pour enseigner le piratage et les tests de pénétration - sont depuis des années un outil précieux pour apprendre, faire des démos et tester les contrôles de sécurité. Projets appelés OWASP Magasin de jus, DVWA, bWAPP ou des laboratoires commerciaux offrent des scénarios où les erreurs et les mauvaises pratiques peuvent être étudiées sans risque... tant qu'elles restent confinées.
Le problème se pose lorsque ces laboratoires ne sont plus confinés. Recherche récente sur Pentera Labs Il a identifié un schéma inquiétant: des cas créés pour la formation ou la démonstration qui finissent par être exposés à Internet, fonctionnant dans des comptes cloud actifs et, plus sérieusement, liés à des identités et des rôles avec des autorisations excessives. Cette combinaison fait de ce qui devrait être un environnement éducatif une véritable passerelle vers l'environnement productif.
Les résultats sont solides: Pentera a identifié près de deux mille instances publiques d'applications de formation et a constaté qu'une partie importante d'entre elles fonctionnait sur des infrastructures gérées par les clients eux-mêmes dans les grands fournisseurs de cloud - AWS, Azure et Google Cloud. De plus, dans une fraction importante des cas, les équipes ont trouvé des preuves d'une activité malveillante antérieure, de l'exploitation de cryptomonéda à des webshells et des mécanismes de persistance.
La logique de l'attaque n'a pas besoin d'une extrême sophistication. Avec des identifiants par défaut, des paramètres ouverts ou des vulnérabilités connues, un attaquant peut prendre le contrôle de l'application de formation et, si cette application est liée à des rôles ou des identités avec des privilèges, pivoter et accéder à d'autres ressources dans le même compte cloud. Cela transforme un bac à sable en un pas vers des engagements plus ambitieux.
Ce problème n'est pas anecdotique ni limité aux petites organisations. Pentera a observé la tendance dans les environnements liés aux grandes entreprises et aux fournisseurs de sécurité, ce qui montre que le risque affecte à la fois les organisations matures et celles qui sont en train de l'améliorer. L'étiquetage d'une ressource comme « pratique » ou « temporaire » ne la rend pas invisible aux attaquants ou ne l'exempte pas des risques opérationnels en cas d'exposition.
Pourquoi ? Dans de nombreuses équipes de TI et de sécurité, les environnements éducatifs sont considérés comme de faible valeur et sont en dehors des examens, des inventaires et des systèmes de surveillance réguliers. Ils sont rapidement créés pour un cours ou une démo, utilisés, et restent parfois actifs pendant des mois sans aucune question de configuration, d'identification associée ou de l'étendue de leur accès. Avec le temps, l'oubli peut devenir une exploitation.
L'atténuation de ce type de risque nécessite des mesures simples mais fermes. Tout d'abord, gardez ces environnements isolés : réseaux privés, VPC séparés ou comptes/projets de bac à sable indépendants. Deuxièmement, appliquer le principe de moins de privilège dans les identités et les rôles liés aux laboratoires et aux démos. Troisièmement, automatisez l'inventaire et la surveillance pour détecter les ressources ou les images exposées au public avec des paramètres par défaut. Quatrièmement, adopter des pratiques de « cycle de vie » : maintenir des routines automatiques de création et de destruction afin que les environnements n'existent que pour le temps nécessaire.
Les grands nuages offrent des guides et des outils pour ces pratiques : Amazon publie des recommandations architecturales et de sécurité pour les environnements cloud au centre de ses bonnes pratiques ( Sécurité AWS), Microsoft maintient une documentation de sécurité étendue à Azure ( Sécurité Azure) et Google Cloud publie ses contrôles et recommandations ( Sécurité Google Cloud). Il est également utile de s'appuyer sur des normes et des ressources communautaires telles que : OWASP Top dix comprendre les vecteurs d'attaque courants dans les applications web.
Outre les configurations et les autorisations, l'espace public devrait être surveillé au moyen d'outils et de services de détection des biens exposés. Appareils connectés et plateformes de recherche de services, comme Shodan, et les services d'inventaire de cloud natif aident à identifier rapidement les instances ouvertes qui devraient rester fermées. La télémétrie, les boucles centralisées et les alertes sont essentielles pour détecter les activités suspectes, depuis les schémas indicatifs d'exploitation de cryptomonéda jusqu'aux connexions inhabituelles aux métadonnées du cloud.
Pour l'équipement de formation, il existe des solutions de rechange sûres : utiliser des environnements temporaires qui sont automatiquement disposés et détruits, des plateformes de laboratoire gérées qui offrent l'isolement par défaut du réseau ou déployer des exercices et des scénarios dans des comptes entièrement séparés sans références partagées avec des environnements productifs. Mettre en place une authentification forte et ne pas réutiliser les identifiants connus par défaut est une pratique de base qui évite de nombreux incidents.
La leçon est claire : le label « formation » ne réduit pas les risques techniques. Lorsqu'une application vulnérable est accessible depuis Internet et qu'elle est connectée à des identités ayant la capacité d'interagir avec le reste de l'infrastructure, elle fait partie du périmètre exposé de l'organisation. La protection de ce périmètre nécessite l'intégration des environnements de laboratoire aux mêmes politiques et contrôles que les autres actifs.
Si vous voulez approfondir la méthodologie et les résultats concrets, la recherche complète de Pentera est disponible sur votre blog et également offrir un séminaire web expliquant le processus de découverte et les preuves observées: rapport de Pentera Labs et webinaire connexe. Pour ceux qui gèrent les nuages, consulter les guides officiels des fournisseurs et s'aligner sur les pratiques de sécurité reconnues est un bon point de départ pour un laboratoire de rester un outil d'apprentissage plutôt qu'un chemin d'attaque.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...