L'armement est la deuxième phase d'une cyberattaque : l'attaquant fabrique ou achète ses outils avant de frapper. À partir de ce qu'il a appris pendant la reconnaissance, il assemble un maliciel, prépare un exploit, monte un kit de phishing et loue l'infrastructure qui portera l'attaque. Cette page vous explique ce qui se prépare à ce stade, la différence entre maliciel sur étagère et sur mesure, le marché du Malware-as-a-Service, et ce que vous pouvez réellement faire face à une phase qui se déroule, par définition, hors de votre système d'information.
Ce que vous allez apprendre
Section intitulée « Ce que vous allez apprendre »L'armement est le moment le plus discret de l'attaque : rien ne se passe encore chez la cible, tout se joue côté attaquant. Concrètement, vous saurez :
- Identifier ce que l'attaquant prépare : maliciel, exploit, kit de phishing et infrastructure.
- Distinguer un maliciel sur étagère d'un maliciel sur mesure, et comprendre pourquoi ce choix change la défense.
- Comprendre le marché du Malware-as-a-Service, qui met des armes complexes à portée de novices.
- Mettre en place les rares parades applicables à ce stade : threat intelligence, blocage de sources connues, veille sur les kits.
- Situer l'armement dans le vocabulaire d'attaquant : il correspond à la tactique ATT&CK « Développement de ressources » (Resource Development,
TA0042), une phase de pré-compromission qui précède l'intrusion. Ce rattachement est détaillé sur MITRE ATT&CK et relié au modèle de menaces SOCLE.
Qu'est-ce que la phase d'armement
Section intitulée « Qu'est-ce que la phase d'armement »L'armement, ou weaponization en anglais, désigne la préparation des outils d'attaque. L'attaquant transforme les informations glanées pendant la reconnaissance en armes concrètes : un fichier piégé, un lien malveillant, un serveur prêt à recevoir les données volées.
L'analogie utile est celle d'un cambrioleur qui, après avoir repéré une maison, ne se précipite pas dessus. Il choisit ses outils : un passe adapté à la serrure repérée, un uniforme pour se faire passer pour un livreur, une camionnette banalisée. L'armement, c'est cette préparation méthodique avant le passage à l'acte.
Ce qui rend cette phase importante à comprendre, c'est qu'elle est invisible depuis la cible. Aucun paquet réseau suspect, aucun fichier étrange sur vos serveurs : tout se déroule sur l'infrastructure de l'attaquant. C'est précisément ce qui la rend frustrante à défendre, et c'est aussi pourquoi votre meilleure prise, ici, passe par le renseignement plutôt que par la détection locale.
Ce que l'attaquant prépare
Section intitulée « Ce que l'attaquant prépare »Quatre éléments se fabriquent ou s'assemblent pendant l'armement. Ils fonctionnent souvent ensemble, mais chacun a son rôle.
Le maliciel (malware) est le programme qui exécutera les actions malveillantes une fois introduit : cheval de Troie qui ouvre un accès distant, rançongiciel qui chiffre les fichiers pour extorquer une rançon, enregistreur de frappe qui capture les mots de passe, ou porte dérobée (backdoor) qui garantit un retour discret. C'est la « charge utile » de l'attaque, celle qui produit le dommage.
L'exploit est le code qui abuse d'une vulnérabilité précise pour faire tourner le maliciel. Si la reconnaissance a révélé un serveur non corrigé, l'attaquant prépare l'exploit qui vise exactement cette faille. Un exploit sans correctif disponible s'appelle un zero-day : l'éditeur ne connaît pas encore le trou, personne ne peut se protéger par une mise à jour.
Le kit de phishing (kit de hameçonnage) est l'attirail du volet social de l'attaque : une fausse page de connexion clonant celle d'un service connu, un modèle d'e-mail crédible, un nom de domaine ressemblant à l'original. C'est souvent le véhicule qui amène le maliciel jusqu'à la victime, en jouant sur la confiance plutôt que sur une faille technique.
L'infrastructure enfin regroupe tout ce qui héberge et pilote l'attaque : serveurs de commande et contrôle qui donneront les ordres au maliciel, domaines jetables, boîtes e-mail d'envoi, hébergement pare-balles loué dans des juridictions peu regardantes. Sans cette logistique, la charge utile n'a nulle part où renvoyer les données volées.
Maliciel sur étagère ou sur mesure
Section intitulée « Maliciel sur étagère ou sur mesure »Tous les attaquants ne fabriquent pas leurs armes de zéro. Le choix entre sur étagère et sur mesure dépend des moyens, des objectifs et du niveau de discrétion recherché.
Le maliciel sur étagère est un outil existant, réutilisé tel quel ou légèrement modifié. Il est rapide à déployer, peu coûteux, à la portée d'un attaquant sans grandes compétences. Son défaut : il est connu des défenseurs. Sa signature figure dans les bases antivirus, ses serveurs de commande sont parfois déjà listés dans les flux de renseignement. Il convient aux campagnes de masse, opportunistes, qui misent sur le volume.
Le maliciel sur mesure est développé ou fortement adapté pour une cible précise. Plus coûteux et plus lent à produire, il vise la furtivité : aucune signature connue, un comportement pensé pour éviter l'analyse, parfois un attaquant soutenu par un État derrière l'effort. C'est l'arme des attaques ciblées et persistantes, où réussir compte plus que ratisser large.
| Critère | Sur étagère | Sur mesure |
|---|---|---|
| Coût et délai | Faible, immédiat | Élevé, plusieurs semaines |
| Détectabilité | Signatures souvent connues | Inédit, difficile à repérer |
| Cible type | Campagne de masse | Cible précise et à forte valeur |
| Profil d'attaquant | Novice, opportuniste | Groupe organisé ou étatique |
Retenir cette distinction change votre posture : contre le sur étagère, un antivirus à jour et des flux de renseignement bloquent l'essentiel ; contre le sur mesure, seules la détection comportementale et la surveillance d'anomalies ont une chance, car il n'existe aucune signature à reconnaître.
Le marché du Malware-as-a-Service
Section intitulée « Le marché du Malware-as-a-Service »Le fait le plus marquant de la dernière décennie est l'industrialisation de l'armement. On n'a plus besoin de savoir coder un rançongiciel pour en lancer un : on le loue.
Le Malware-as-a-Service (MaaS, « maliciel en tant que service ») calque le modèle des logiciels par abonnement du cloud, mais pour la cybercriminalité. Des groupes développent des maliciels sophistiqués, puis les louent à des affiliés moins qualifiés, souvent contre un pourcentage des rançons collectées. Le développeur gagne à l'échelle, l'affilié accède à une arme qu'il serait incapable de produire seul.
Cette économie se décline en offres spécialisées. Le Ransomware-as-a-Service (RaaS) fournit le rançongiciel, le panneau de gestion des victimes et parfois le service de négociation. Les kits de phishing se vendent prêts à l'emploi, avec pages clonées et hébergement inclus. Des plateformes proposent même un support client et des tableaux de bord de suivi, comme n'importe quel produit logiciel légitime.
Comment se protéger à ce stade
Section intitulée « Comment se protéger à ce stade »Soyons clair sur un point : l'armement se déroule chez l'attaquant, vous n'avez aucun moyen d'empêcher quelqu'un de fabriquer une arme sur ses propres machines. Votre marge d'action est donc limitée, mais elle n'est pas nulle. Elle repose sur le renseignement et sur la réduction de ce que l'adversaire peut réutiliser.
La threat intelligence (renseignement sur les menaces) est votre premier levier. Des flux publics et commerciaux recensent en continu les indicateurs de compromission : adresses de serveurs de commande, domaines de phishing, empreintes de maliciels connus. Intégrés à vos pare-feux et à vos outils de sécurité, ils vous permettent de bloquer par avance l'infrastructure déjà repérée ailleurs, avant même qu'elle ne vous vise.
Le blocage des sources connues en découle directement. Filtrer les domaines fraîchement enregistrés, les hébergements pare-balles réputés, les plages d'adresses associées à des campagnes actives coupe une partie des attaques sur étagère à la racine. Ces mesures n'arrêtent pas un adversaire déterminé, mais elles éliminent le bruit opportuniste, qui représente l'écrasante majorité des tentatives.
La veille sur les kits complète le dispositif. Suivre les kits de phishing en circulation, les nouvelles familles de maliciels, les vulnérabilités récemment armées vous dit contre quoi vous préparer. Quand un exploit visant une technologie que vous utilisez apparaît sur le marché, vous savez qu'il faut corriger en priorité, avant qu'il ne serve.
Enfin, tout ce que vous faites avant l'armement en réduit l'efficacité. Moins vous exposez d'informations pendant la reconnaissance, moins l'attaquant peut fabriquer une arme précise. Et tout ce que vous préparez après, filtrage des e-mails, détection comportementale, correctifs à jour, intercepte l'arme au moment de la livraison et de son exécution. L'armement se combat surtout par ses deux flancs.
À retenir
Section intitulée « À retenir »-
L'armement est la fabrication des outils d'attaque, maliciel, exploit, kit de phishing et infrastructure, préparés à partir des informations de la reconnaissance.
-
La phase est invisible depuis la cible : elle se déroule côté attaquant, ce qui la rend impossible à détecter localement.
-
Sur étagère ou sur mesure, le choix dicte la défense : signatures connues d'un côté, furtivité inédite de l'autre.
-
Le Malware-as-a-Service industrialise la menace : il n'augmente pas la sophistication mais le volume, en rendant l'attaque accessible à des novices.
-
La threat intelligence est votre meilleure prise : blocage des infrastructures et indicateurs connus, veille sur les kits en circulation.
-
L'armement se combat par ses flancs : réduire l'exposition en amont, intercepter la charge à la livraison en aval.
-
Pont vers le socle : dans le modèle de menaces SOCLE, l'armement correspond à la tactique ATT&CK « Développement de ressources » (
TA0042), une étape de pré-compromission que le référentiel relie à ses exigences de renseignement et de durcissement.