La sécurité périmétrale a longtemps cessé d'être la seule barrière entre nos entreprises et les agresseurs, mais ce qui change avec force, c'est la façon dont ces acteurs entrent : ils ne dépendent plus tant de l'exploitation de nouvelles défaillances techniques que de la mise à profit de l'accès et des outils que les organisations elles-mêmes jugent légitimes. Ce changement, documenté dans le rapport annuel d'une entreprise d'intervention en cas d'incident, nous oblige à repenser la façon dont nous mesurons le risque et ce que nous contrôlons au sein du réseau.
Les points d'accès à distance et les services administratifs fiables sont devenus le principal vecteur d'intrusion. Dans de nombreux exemples analysés par les équipes de réponse, les attaquants ont obtenu des sessions valides - souvent par l'intermédiaire de VPN ou d'agents de gestion à distance - et se sont déplacés latéralement comme s'ils étaient des administrateurs légitimes. Cette stratégie explore précisément la confiance qui entoure ces outils : une session VPN active ou une connexion RMM semble souvent normale pour les commandes et les opérateurs, permettant aux intrus de réaliser des systèmes critiques sans générer d'alarmes immédiates.
L'abus d'outils de gestion à distance n'est pas une anecdote isolée. Il existe de nombreuses enquêtes et guides publics qui mettent en garde contre la façon dont les acteurs malveillants installent ou réutilisent des solutions de surveillance et de gestion pour maintenir la persistance et fonctionner avec une apparence légitime. Cette réalité souligne la nécessité de disposer d'un inventaire clair des agents autorisés et de soumettre ces instruments à un contrôle strict et à des politiques, comme l'ont recommandé les organismes de sécurité publique et les cadres de bonnes pratiques.
L'ingénierie sociale reste le moyen le plus efficace d'ouvrir les portes. Loin de rechercher des vulnérabilités de code, de nombreux groupes obtiennent un utilisateur pour effectuer une action apparemment inoffensive : suivez un lien, lancez une commande ou collez une instruction dans une boîte d'exécution système. Certaines campagnes sont déguisées en étapes de vérification visuelle - horloges ou "clic pour vérifier" contrôles - et finissent par ordonner à la victime d'entrer des commandes dans Windows ou d'autres consoles, permettant à l'attaquant d'utiliser les mêmes outils système pour exécuter sa chaîne d'attaque.
Cette approche est basée sur ce que la communauté de la sécurité appelle "vivre hors de la terre" - en utilisant des utilitaires binaires et par défaut dans les systèmes - et est particulièrement difficile à détecter si l'organisation ne surveille pas adéquatement l'utilisation légitime par opposition à l'utilisation malveillante de ces utilitaires. Microsoft maintient la documentation et les alertes sur ces binaires et scripts qui sont souvent utilisés dans les intrusions, et donc la visibilité sur leur exécution est la clé pour distinguer un processus administratif d'une manœuvre malveillante: Microsoft - Vivre hors de la terre binaires.
Dans l'environnement nuageux, l'authentification multifactorielle a arrêté de nombreuses tentatives d'accès direct, mais n'a pas mis fin aux intrusions. Les attaquants ont réussi à capturer et réutiliser des sessions déjà authentifiées, une méthode qui, du point de vue de la plateforme cloud, semble légitime. Cette technique montre qu'en plus d'exiger de multiples facteurs, les organisations devraient surveiller les séances actives et mettre en place des contrôles qui évaluent le risque de la session en cours, et pas seulement le succès de l'authentification initiale.
La défense doit passer de la prévention absolue à la détection et la gestion du risque contextuel. Protéger l'accès à distance signifie plus que fermer les ports : il exige des politiques qui pèsent la sensibilité de la session, l'état de l'appareil à partir duquel elle est accessible et le contexte géographique ou réseau. Les principes de l'architecture de confiance zéro et des contrôles conditionnels sont des outils pertinents pour cela, et les documents de référence techniques fournissent des cadres pour la mise en œuvre de ces idées dans des environnements hétérogènes: NIST SP 800-207 - Zero Trust.
Il n'y a pas de solutions magiques, mais des mesures qui réduisent considérablement la zone à risque. Il s'agit notamment de la gestion stricte des solutions RMM autorisées et de la suppression des agents obsolètes, de la limitation de l'exécution des répertoires avec permis d'utilisation et de la mise en place de contrôles d'accès conditionnels qui tiennent compte de la position de l'appareil et du risque de la session. Les guides officiels et les organismes publics de cybersécurité considèrent ces approches comme des pratiques exemplaires pour protéger l'accès à distance : CISA - Sécuriser l'accès à distance et CISA - Multi-facteurs Authentification.
De plus, il est essentiel d'augmenter la télémétrie et la corrélation entre les couches. Un système de détection qui ne regarde que les tentatives d'exploitation technique peut ignorer un attaquant qui se déplace avec des références valides ; c'est pourquoi les équipes de sécurité doivent intégrer les outils d'authentification, VPN et RMM-basés et les informations sur les paramètres et le trafic réseau. Cette vision combinée permet de voir plus facilement les traces qui révèlent les mouvements latéraux ou la réutilisation des sessions.
La formation et la formation du personnel restent un pilier: lorsque le vecteur est social, réduire la probabilité que quelqu'un exécute des instructions suspectes fait une grande différence. Mais la formation doit s'accompagner de processus qui rendent difficile l'action quotidienne pour devenir une catastrophe, par exemple en limitant les privilèges par défaut et en validant les demandes administratives sensibles par les voies secondaires.
Un autre point à considérer est l'adoption de mécanismes d'authentification résistant au phishing. Les organisations qui migrent vers des solutions à base de clés ou des normes d'authentification qui ne sont pas susceptibles d'être reproduites sur de fausses pages (p. ex. FIDO / WebAuthn) lèvent la barrière pour les campagnes qui capturent des références ou des jetons : FIDO Alliance.
Enfin, des incidents récents montrent que les agresseurs cherchent à se mêler au bruit du réseau : ils utilisent des canaux de communication qui ressemblent au trafic légitime et développent des implants qui pivotent avec des méthodes modernes comme WebSockets pour rester actifs sans attirer l'attention. Cette sophistication exige que les équipes d'intervention mettent à jour leurs règles de détection et élargissent leurs scénarios d'analyse, et que les organisations échangent de l'information sur les techniques émergentes dans les forums professionnels et avec les fournisseurs de services de sécurité.
Si vous souhaitez passer en revue des exemples concrets et des données agrégées sur ces tendances, l'entreprise qui a analysé des milliers d'enquêtes tient une session qui décompose les cas concrets et les recommandations; l'appel et le rapport connexe sont disponibles sur la page de l'organisateur: Blackpoint Cyber - Inside the SOC (enregistrement).
Bref, le paysage actuel de la menace nous oblige à regarder avec suspicion ce que nous considérons toujours comme bon : les outils d'accès à distance et les actions routinières des utilisateurs. La défense moderne combine des politiques qui limitent les risques, des contrôles techniques qui accroissent les difficultés d'abus et une visibilité intégrée qui permettent de détecter des comportements anormaux avant qu'une session légitime ne devienne un point de départ pour un plus grand engagement.
Alerte de sécurité La vulnérabilité critique du médicament par injection SQL dans PostgreSQLTM nécessite une mise à jour immédiate
Drucal a publié des mises à jour de sécurité pour une vulnérabilité qualifiée "très critique" qui touche Drumal Core et permet à un attaquant d'effectuer une injection SQL arbit...
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...