Phase 4 - L'exploitation

Après la livraison réussie de leur charge malveillante, les attaquants passent à l’étape suivante : l’exploitation. C’est le moment critique où ils tirent parti d’une vulnérabilité pour exécuter du code ou obtenir un accès non autorisé. Cette phase transforme une simple tentative en intrusion réelle.

L’exploitation marque la transition entre la préparation et l’action concrète. Si les phases précédentes peuvent rester invisibles, l’exploitation laisse souvent des traces — à condition de savoir où chercher.

Qu’est-ce que la phase d’exploitation ?

La phase d’exploitation est le moment où l’attaquant utilise une vulnérabilité pour exécuter du code malveillant sur le système cible. Cette vulnérabilité peut être :

• Technique : une faille dans un logiciel, un service réseau, ou un système d’exploitation
• Humaine : une action de l’utilisateur (clic sur un lien, ouverture d’une pièce jointe)
• Logique : un défaut de conception dans une application (contrôle d’accès défaillant, injection)

L’objectif est d’obtenir une exécution de code sur la machine cible, ce qui permet ensuite d’installer des outils, de voler des données, ou de progresser dans le réseau.

Types de vulnérabilités exploitées

Vulnérabilités connues (CVE)

Les vulnérabilités publiées dans la base CVE ↗ sont documentées et souvent accompagnées d’exploits publics. Les attaquants scrutent ces publications pour identifier des cibles non patchées.

Exemples marquants :

CVE	Nom	Impact
CVE-2021-44228	Log4Shell	Exécution de code à distance via Log4j
CVE-2017-0144	EternalBlue	Propagation de WannaCry via SMB
CVE-2021-34527	PrintNightmare	Élévation de privilèges Windows
CVE-2023-44487	HTTP/2 Rapid Reset	Déni de service massif

Fenêtre d’exposition

Le délai entre la publication d’un CVE et l’application du correctif est une fenêtre d’exposition critique. Les attaquants automatisent le scan de vulnérabilités connues pour exploiter les systèmes non patchés.

Vulnérabilités zero-day

Une zero-day est une vulnérabilité inconnue du public et du vendeur. Elle n’a donc pas de correctif disponible au moment de son exploitation. Ces failles sont particulièrement prisées par :

• Les groupes APT (Advanced Persistent Threat) soutenus par des États
• Les courtiers en vulnérabilités qui les revendent
• Les acteurs de la cybercriminalité organisée

Le terme “zero-day” indique que le vendeur a eu zéro jour pour corriger la faille avant son exploitation.

Vulnérabilités applicatives courantes

Les failles applicatives les plus exploitées appartiennent souvent au Top 10 OWASP ↗ :

• Injection SQL : insertion de requêtes malveillantes dans les formulaires
• Cross-Site Scripting (XSS) : exécution de scripts dans le navigateur
• Broken Access Control : contournement des contrôles d’autorisation
• Insecure Deserialization : exécution de code via données désérialisées

Techniques d’exploitation

Exploitation mémoire

Ces techniques ciblent la gestion de la mémoire par les programmes :

• Buffer Overflow : débordement de tampon pour écraser des adresses mémoire
• Heap Spraying : remplissage de la heap pour faciliter l’exécution de code
• Return-Oriented Programming (ROP) : chaînage de fragments de code existants

Les protections modernes (ASLR, DEP, Stack Canaries) compliquent ces attaques, mais ne les éliminent pas.

Exploitation web

Les applications web exposées sur Internet sont des cibles de choix :

# Exemple d'injection SQL basique
' OR '1'='1' --

# Exemple de commande injection
; cat /etc/passwd

# Exemple de path traversal
../../../etc/passwd

Exploitation de services

Les services réseau mal configurés ou obsolètes offrent des points d’entrée :

• Services exposés sans authentification : Redis, MongoDB, Elasticsearch
• Protocoles obsolètes : SMBv1, Telnet, FTP sans TLS
• Mauvaises configurations : accès anonyme, credentials par défaut

Comment se protéger ?

Gestion des correctifs (Patch Management)

La première ligne de défense est de réduire la surface d’attaque en maintenant les systèmes à jour :

• Inventorier tous les composants logiciels (SBOM)
• Prioriser les correctifs selon le score CVSS et l’exploitabilité
• Automatiser le déploiement des mises à jour de sécurité
• Tester les correctifs avant déploiement en production

Durcissement des systèmes

Réduire les possibilités d’exploitation même en cas de vulnérabilité :

• Désactiver les services inutiles
• Appliquer le principe du moindre privilège
• Activer les protections système (ASLR, DEP, SELinux/AppArmor)
• Segmenter le réseau pour limiter la propagation

Détection et monitoring

Identifier les tentatives d’exploitation en temps réel :

• WAF (Web Application Firewall) : filtrage des requêtes malveillantes
• IDS/IPS : détection des patterns d’attaque connus
• EDR : surveillance comportementale des endpoints
• SIEM : corrélation des événements de sécurité

Validation du code

Pour les applications développées en interne :

• Tests de sécurité automatisés (SAST, DAST)
• Revue de code orientée sécurité
• Tests de pénétration réguliers
• Programme de bug bounty

Indicateurs de compromission (IoC)

Signes qu’une exploitation a pu avoir lieu :

• Processus inhabituels ou consommation anormale de ressources
• Connexions réseau vers des destinations inconnues
• Création de fichiers dans des répertoires temporaires
• Modifications de fichiers système ou de configuration
• Échecs d’authentification suivis d’un succès

À retenir

1. L’exploitation est le point de bascule où l’attaquant obtient un accès réel au système

2. Les vulnérabilités connues (CVE) sont les plus exploitées — le patching rapide est essentiel

3. Les zero-days existent mais sont rares — ne pas négliger les failles connues sous prétexte qu’elles sont “trop évidentes”

4. La défense en profondeur combine patching, durcissement et détection

5. Le temps de réaction compte — réduire le délai entre publication d’un CVE et application du correctif

6. Surveiller les comportements anormaux permet de détecter les exploitations même sans signature connue

Liens utiles

• Comprendre les CVE
• Principe du moindre privilège
• Réduire la surface d’attaque
• Phase suivante : Installation