Phase 7 - Actions sur les objectifs

Après avoir établi un canal C2 fonctionnel, l’attaquant peut enfin accomplir sa mission. La phase d’actions sur les objectifs est l’aboutissement de toute l’opération — c’est ici que se concrétise l’impact réel de l’intrusion : vol de données, chiffrement, destruction ou prise de contrôle étendue.

Cette phase finale peut durer des minutes (ransomware automatisé) ou des mois (espionnage étatique). Comprendre les objectifs possibles aide à prioriser les défenses et à anticiper les mouvements de l’attaquant.

Qu’est-ce que la phase d’actions sur objectifs ?

La phase d’actions sur les objectifs (ou “Actions on Objectives”) est le moment où l’attaquant exploite son accès pour atteindre son but initial :

• Gain financier : vol de données monnayables, ransomware, fraude
• Espionnage : collecte de secrets industriels ou étatiques
• Sabotage : destruction de données ou de systèmes
• Préparation : positionnement pour une attaque future

C’est aussi la phase où l’impact devient visible — et potentiellement irréversible.

Objectifs courants des attaquants

Exfiltration de données

Le vol de données est l’objectif le plus fréquent :

Types de données ciblées :

Catégorie	Exemples	Valeur
Propriété intellectuelle	Code source, brevets, R&D	Espionnage industriel
Données personnelles	PII, credentials, données santé	Revente, usurpation
Données financières	Numéros de carte, comptes bancaires	Fraude directe
Secrets d’entreprise	Stratégie, contrats, M&A	Avantage concurrentiel
Credentials	Mots de passe, clés API, tokens	Accès à d’autres systèmes

Techniques d’exfiltration :

Canaux courants :
- HTTPS vers services cloud légitimes (OneDrive, Dropbox)
- DNS tunneling pour contourner les restrictions
- Canaux C2 existants
- Email vers comptes externes
- Supports physiques (USB, disques)

Exfiltration furtive

Les attaquants sophistiqués exfiltrent lentement, par petits volumes, pour éviter les alertes sur les transferts massifs. Une fuite de 10 Go étalée sur 6 mois est plus difficile à détecter qu’un transfert unique.

Ransomware et extorsion

Le modèle économique dominant de la cybercriminalité :

Évolution des tactiques :

1. Chiffrement simple : payer pour récupérer ses données
2. Double extorsion : payer + menace de publication des données volées
3. Triple extorsion : + menace de DDoS ou contact des clients/partenaires

Chaîne d’exécution typique :

1. Désactivation des sauvegardes et shadow copies
2. Arrêt des services qui verrouillent les fichiers
3. Chiffrement des fichiers avec clé unique
4. Dépôt de la note de rançon
5. Suppression des traces (logs, outils)

Groupes ransomware notables : LockBit, BlackCat/ALPHV, Cl0p, Royal, Play

Sabotage et destruction

Objectif de certains acteurs étatiques ou hacktivistes :

• Wiper malware : destruction irréversible des données (NotPetya, WhisperGate)
• Corruption de bases de données : altération subtile des données
• Déni de service : rendre les systèmes inutilisables
• Atteinte à la réputation : défacement, fuites embarrassantes

Mouvement latéral

Avant d’agir sur l’objectif final, l’attaquant étend souvent son accès :

Machine initiale → Serveur de fichiers → Contrôleur de domaine → Serveurs critiques

Techniques de mouvement latéral :

• Pass-the-Hash/Pass-the-Ticket : réutilisation de credentials sans les craquer
• RDP/SSH : connexion légitime avec credentials volés
• PsExec/WMI : exécution à distance sur Windows
• Exploitation de vulnérabilités : propagation type EternalBlue
• Accès aux partages : lecture de fichiers contenant des credentials

Escalade de privilèges

Obtenir des droits plus élevés pour atteindre l’objectif :

Techniques courantes :

Vecteur	Exemple
Vulnérabilités kernel	Exploits local privilege escalation
Mauvaises configurations	Services tournant en SYSTEM, sudoers permissifs
Credentials en clair	Mots de passe dans scripts, fichiers de config
Token manipulation	Impersonation de comptes privilégiés
Kerberoasting	Extraction et crack de tickets de service

Chronologie d’une attaque type

Jour 0     : Phishing réussi, accès initial
Jour 1-3   : Reconnaissance interne, identification des cibles
Jour 4-7   : Mouvement latéral, escalade de privilèges
Jour 8-14  : Accès au contrôleur de domaine, persistence renforcée
Jour 15-30 : Identification et staging des données
Jour 30+   : Exfiltration ou déploiement du ransomware

Les groupes APT peuvent maintenir leur accès pendant des mois ou années avant d’agir, collectant du renseignement en continu.

Détecter les actions malveillantes

Indicateurs d’exfiltration

• Volume de données sortantes anormal
• Connexions vers des services cloud non autorisés
• Compression/archivage de grandes quantités de fichiers
• Accès massif à des fichiers sensibles
• Transferts en dehors des heures de travail

Indicateurs de ransomware

• Modification massive de fichiers en peu de temps
• Création de fichiers avec extensions inhabituelles
• Suppression des shadow copies (vssadmin delete shadows)
• Désactivation des services de sécurité
• Processus de chiffrement gourmands en CPU

Indicateurs de mouvement latéral

• Connexions RDP/SSH depuis des machines inhabituelles
• Authentifications avec le même compte depuis plusieurs sources
• Utilisation de PsExec, WMI, WinRM
• Accès à des partages administratifs (C)
• Tickets Kerberos anormaux

Comment se protéger ?

Protection des données critiques

• Classification des données : identifier ce qui est critique
• Chiffrement au repos : limiter l’impact d’une exfiltration
• DLP (Data Loss Prevention) : détecter les transferts suspects
• Sauvegardes isolées : hors ligne, testées régulièrement

Limitation du mouvement latéral

• Segmentation réseau : isoler les environnements sensibles
• Tiering des comptes : séparer les comptes admin par niveau
• LAPS : mots de passe admin locaux uniques par machine
• Just-in-Time access : privilèges temporaires uniquement

Détection avancée

Capacité	Outils
SIEM	Corrélation d’événements, alertes
EDR	Détection comportementale sur endpoints
NDR	Analyse du trafic réseau
UEBA	Détection d’anomalies comportementales
Deception	Honeypots, honey tokens

Réponse à incident

Préparer la réponse avant l’incident :

• Plan de réponse documenté et testé
• Équipe identifiée avec contacts hors-bande
• Capacité de forensics (images, logs)
• Communication de crise préparée
• Relations avec les autorités établies

Impact business

Coûts d’une compromission

Coûts directs :
- Rançon (si payée) : 100k€ à plusieurs millions
- Forensics et réponse : 50k€ à 500k€
- Restauration des systèmes : variable
- Amendes RGPD : jusqu'à 4% du CA mondial

Coûts indirects :
- Interruption d'activité : perte de CA
- Atteinte à la réputation : perte de clients
- Hausse des primes d'assurance
- Coûts juridiques

Temps de récupération

• Ransomware : 2-4 semaines en moyenne pour une restauration complète
• Compromission APT : des mois pour s’assurer que l’attaquant est éjecté
• Fuite de données : impact réputationnel sur plusieurs années

À retenir

1. Cette phase concrétise l’impact — tout ce qui précède n’était que préparation

2. L’exfiltration et le ransomware dominent mais le sabotage existe aussi

3. Le mouvement latéral précède souvent l’action finale — détecter la progression limite les dégâts

4. Les sauvegardes sont votre dernière ligne de défense — elles doivent être isolées et testées

5. La détection précoce réduit l’impact — chaque phase offre une opportunité d’interception

6. Préparez la réponse à incident maintenant — pas pendant la crise

Liens utiles

• Principe du moindre privilège
• Sauvegardes avec Restic
• CrowdSec - Détection
• Retour à la vue d’ensemble