Aller au contenu
Sécurité medium

Phase 5 - L'installation : backdoors et persistance

11 min de lecture

Après une exploitation réussie, l'attaquant tient un accès, mais cet accès est fragile : un redémarrage, une fin de session ou une correction du service vulnérable peut le lui retirer. La phase d'installation consiste à implanter un accès durable grâce à des backdoors, des mécanismes de persistance et des points de démarrage détournés. Cette page vous explique comment un attaquant « s'enracine » dans un système, pourquoi cette étape est un tournant de l'intrusion, et par quels signaux un défenseur peut la repérer. Elle s'adresse aux personnes qui découvrent l'analyse des attaques, sans prérequis autre que la notion de cyberattaque.

L'installation est le moment où une intrusion cesse d'être passagère pour devenir permanente. Concrètement, vous saurez :

  • Distinguer une backdoor (porte dérobée) d'une exploitation ponctuelle, et comprendre pourquoi la persistance change la donne pour le défenseur.
  • Reconnaître les grands mécanismes de persistance : services, tâches planifiées, clés de démarrage, rootkits.
  • Comprendre l'escalade de privilèges et pourquoi elle accompagne souvent l'implantation.
  • Identifier les techniques de détection (surveillance d'intégrité, HIDS, EDR) et de prévention (moindre privilège).
  • Situer cette phase dans les tactiques ATT&CK Persistance (TA0003) et Élévation de privilèges (TA0004), reliées au modèle de menaces Runtime et exploitation du référentiel SOCLE.

La phase d'installation est l'étape où l'attaquant dépose et configure ce qu'il faut pour conserver son accès au fil du temps. L'exploitation lui a ouvert la porte ; l'installation lui donne une clé. Sans cette étape, l'intrusion resterait éphémère : un simple redémarrage suffirait à tout effacer.

L'analogie du cambrioleur est parlante. Une fois entré, un voleur professionnel ne se contente pas de la porte forcée : il copie la clé, désactive discrètement une alarme, laisse une fenêtre entrouverte. L'attaquant informatique fait de même avec des backdoors et des mécanismes de démarrage automatique. Son but est de devenir un résident permanent, invisible et difficile à déloger.

Cette phase répond à quatre objectifs concrets pour l'adversaire.

  • Maintenir l'accès après un redémarrage ou une déconnexion.
  • Survivre aux mises à jour et aux remédiations basiques.
  • Revenir facilement si une partie de l'intrusion est détectée.
  • Préparer les phases suivantes, notamment la commande et le contrôle.

Une backdoor, ou porte dérobée, est un point d'accès caché qui permet de contourner l'authentification normale. Là où l'utilisateur légitime passe par un mot de passe et des contrôles, l'attaquant, lui, dispose d'un chemin discret qu'il a lui-même ouvert.

Les formes les plus courantes se rangent en trois familles.

  • Les webshells : de petits scripts (PHP, ASP, JSP) déposés sur un serveur web. Ils sont redoutables car ils transitent par les ports 80 et 443, presque toujours autorisés, et se fondent dans le trafic web légitime.
  • Les reverse shells : au lieu d'attendre une connexion entrante, la machine compromise appelle l'attaquant. Le flux part de l'intérieur vers l'extérieur, ce qui déjoue de nombreux pare-feux qui filtrent surtout l'entrant.
  • Les implants en mémoire (dits fileless) : du code qui ne touche jamais le disque et vit uniquement en RAM. Sans fichier à analyser, un antivirus classique a peu de prise.

La persistance regroupe toutes les techniques qui garantissent l'exécution du code malveillant de façon répétée, sans intervention de l'attaquant. Le principe est toujours le même : détourner un mécanisme légitime du système d'exploitation pour qu'il relance l'implant tout seul.

Les systèmes disposent de services (des programmes lancés en arrière-plan au démarrage) et de tâches planifiées (des exécutions programmées à intervalles réguliers). Ce sont des cibles de choix : ils s'exécutent automatiquement et avec des privilèges élevés.

Sous Linux, un attaquant peut ajouter une ligne dans une crontab ou déposer un service systemd portant un nom anodin. Sous Windows, il crée une tâche planifiée ou un service baptisé comme un composant système, par exemple « Windows Update ». Le nom rassurant est délibéré : il faut que la ligne survive à un coup d'oeil rapide de l'administrateur.

L'attaquant vise aussi les points d'accroche qui s'exécutent à chaque démarrage de la machine ou de la session. Chaque système en offre plusieurs.

  • Windows : les clés de registre Run et RunOnce, le dossier de démarrage du menu, ou des abonnements aux événements WMI.
  • Linux : les scripts d'initialisation (rc.local, unités de service), ou l'ajout d'une clé SSH dans ~/.ssh/authorized_keys qui rouvre un accès à volonté.
  • macOS : les LaunchAgents et autres crochets de session.

Plutôt qu'une porte cachée, l'attaquant peut corrompre l'authentification elle-même : créer un compte administrateur discret, ajouter une clé SSH autorisée, ou, dans un annuaire Active Directory, forger des jetons persistants. L'accès paraît alors légitime aux yeux du système, ce qui complique grandement la détection.

Un rootkit est le degré le plus avancé de persistance : un ensemble d'outils qui s'intègrent profondément dans le système pour masquer la présence de l'attaquant. Un rootkit peut cacher des processus, des fichiers et des connexions réseau aux outils d'administration eux-mêmes.

On distingue trois niveaux d'enracinement, du moins au plus dangereux :

  • User-mode : modification de bibliothèques système pour tromper les commandes courantes.
  • Kernel-mode : altération du noyau, ce qui donne un contrôle quasi total et rend la détection depuis le système compromis très difficile.
  • Bootkit : infection du processus de démarrage lui-même, avant même le chargement du système d'exploitation.

L'implantation va souvent de pair avec l'escalade de privilèges : l'attaquant cherche à passer de droits limités (un compte utilisateur ordinaire) à des droits administrateur ou root. Pourquoi ? Parce que les meilleurs points de persistance, services système, clés de registre protégées, modules noyau, exigent des privilèges élevés.

Cette élévation correspond à la tactique Élévation de privilèges (TA0004) de MITRE ATT&CK. Les moyens sont variés : exploitation d'une faille locale, abus d'un service mal configuré, vol de jetons d'authentification, ou détournement d'un binaire autorisé à s'exécuter en tant qu'administrateur.

Une tendance de fond rend l'installation plus discrète encore : le living off the land (littéralement « vivre sur le terrain »). Plutôt que d'apporter ses propres outils, qu'un antivirus pourrait reconnaître, l'attaquant se sert des programmes déjà présents et signés par l'éditeur du système.

Ces binaires légitimes détournés portent des noms selon leur environnement. Sous Linux et Unix, on parle de GTFOBins : des binaires standards (interpréteurs, utilitaires réseau) exploités pour ouvrir un shell, lire un fichier protégé ou établir de la persistance. Sous Windows, l'équivalent est le projet LOLBAS, qui recense les exécutables Microsoft détournables, par exemple pour télécharger ou décoder un fichier malveillant.

L'avantage pour l'attaquant est double : ces outils sont déjà autorisés et leur usage se noie dans l'activité normale du système. Un défenseur qui bloque tous les binaires inconnus ne les verra pas, puisqu'ils sont, précisément, connus et signés.

Aucune parade unique ne couvre l'installation. La bonne posture combine prévention (réduire les points d'ancrage possibles) et détection (repérer ceux qui apparaissent malgré tout).

Un HIDS (Host-based Intrusion Detection System, système de détection d'intrusion sur l'hôte) surveille l'état de la machine et alerte sur les changements suspects. Sa brique clé est le contrôle d'intégrité des fichiers : on calcule une empreinte des fichiers sensibles, puis on vérifie régulièrement qu'ils n'ont pas changé sans raison.

Les zones à surveiller en priorité sont celles qu'utilisent les mécanismes de persistance : répertoires de tâches planifiées et de services, clés de registre de démarrage sous Windows, ~/.ssh/authorized_keys, /etc/passwd et les unités systemd sous Linux. Une modification inattendue de ces emplacements est un signal fort.

Un EDR (Endpoint Detection and Response) va plus loin qu'un antivirus : il observe le comportement des processus plutôt que de simples signatures. Il repère par exemple un processus au nom légitime lancé depuis un chemin inhabituel, un service créé récemment, ou une connexion réseau émise par un programme qui n'en établit jamais. C'est le meilleur angle contre le living off the land et les implants fileless, qui échappent aux signatures.

Le moindre privilège consiste à n'accorder à chaque compte et service que les droits strictement nécessaires. Son effet est direct sur cette phase : sans droits administrateur, l'attaquant ne peut pas créer de service système, modifier une clé de démarrage protégée ni charger un module noyau. On contrôle donc qui peut créer des services et des tâches, et on bloque l'exécution depuis les répertoires temporaires, sources fréquentes d'implants.

Enfin, il faut inventorier et surveiller activement les points d'ancrage. Passer en revue les tâches planifiées, les services, les entrées de démarrage et les clés SSH autorisées, puis comparer à un état de référence connu, révèle les ajouts illégitimes. Centraliser les journaux dans un SIEM et alerter sur la création de comptes, de services ou de tâches ferme la boucle : ce qui n'est pas surveillé ne peut pas être détecté.

  1. L'installation transforme un accès temporaire en présence durable : c'est le moment où l'attaquant « s'enracine » dans le système.

  2. Une backdoor contourne l'authentification normale ; webshells, reverse shells et implants en mémoire en sont les formes les plus courantes.

  3. La persistance détourne des mécanismes légitimes : services, tâches planifiées, clés de démarrage, jusqu'aux rootkits qui masquent tout.

  4. L'escalade de privilèges accompagne souvent l'implantation, car les meilleurs points d'ancrage exigent des droits administrateur.

  5. Le living off the land rend la détection difficile en réutilisant des binaires légitimes, côté GTFOBins et LOLBAS.

  6. La défense combine prévention et détection : moindre privilège, contrôle d'intégrité, HIDS et EDR, sans oublier la centralisation des journaux.

  7. Cette phase alimente le modèle de menaces SOCLE : les techniques de persistance et d'évasion justifient la détection en production décrite dans Runtime et exploitation.

Ce site vous est utile ?

Sachez que moins de 1% des lecteurs soutiennent ce site.

Je maintiens +700 guides gratuits, sans pub ni tracking. Un soutien, même symbolique, m'aide à couvrir l'hébergement et à garder ces ressources gratuites. Merci pour votre appui.

Le formulaire ne s'affiche pas ? Ouvrir Ko-fi dans un onglet.

Abonnez-vous et suivez mon actualité DevSecOps sur LinkedIn