Après une exploitation réussie, l'attaquant tient un accès, mais cet accès est fragile : un redémarrage, une fin de session ou une correction du service vulnérable peut le lui retirer. La phase d'installation consiste à implanter un accès durable grâce à des backdoors, des mécanismes de persistance et des points de démarrage détournés. Cette page vous explique comment un attaquant « s'enracine » dans un système, pourquoi cette étape est un tournant de l'intrusion, et par quels signaux un défenseur peut la repérer. Elle s'adresse aux personnes qui découvrent l'analyse des attaques, sans prérequis autre que la notion de cyberattaque.
Ce que vous allez apprendre
Section intitulée « Ce que vous allez apprendre »L'installation est le moment où une intrusion cesse d'être passagère pour devenir permanente. Concrètement, vous saurez :
- Distinguer une backdoor (porte dérobée) d'une exploitation ponctuelle, et comprendre pourquoi la persistance change la donne pour le défenseur.
- Reconnaître les grands mécanismes de persistance : services, tâches planifiées, clés de démarrage, rootkits.
- Comprendre l'escalade de privilèges et pourquoi elle accompagne souvent l'implantation.
- Identifier les techniques de détection (surveillance d'intégrité, HIDS, EDR) et de prévention (moindre privilège).
- Situer cette phase dans les tactiques ATT&CK Persistance (TA0003) et Élévation de privilèges (TA0004), reliées au modèle de menaces Runtime et exploitation du référentiel SOCLE.
Qu'est-ce que la phase d'installation
Section intitulée « Qu'est-ce que la phase d'installation »La phase d'installation est l'étape où l'attaquant dépose et configure ce qu'il faut pour conserver son accès au fil du temps. L'exploitation lui a ouvert la porte ; l'installation lui donne une clé. Sans cette étape, l'intrusion resterait éphémère : un simple redémarrage suffirait à tout effacer.
L'analogie du cambrioleur est parlante. Une fois entré, un voleur professionnel ne se contente pas de la porte forcée : il copie la clé, désactive discrètement une alarme, laisse une fenêtre entrouverte. L'attaquant informatique fait de même avec des backdoors et des mécanismes de démarrage automatique. Son but est de devenir un résident permanent, invisible et difficile à déloger.
Cette phase répond à quatre objectifs concrets pour l'adversaire.
- Maintenir l'accès après un redémarrage ou une déconnexion.
- Survivre aux mises à jour et aux remédiations basiques.
- Revenir facilement si une partie de l'intrusion est détectée.
- Préparer les phases suivantes, notamment la commande et le contrôle.
La backdoor : une porte dérobée permanente
Section intitulée « La backdoor : une porte dérobée permanente »Une backdoor, ou porte dérobée, est un point d'accès caché qui permet de contourner l'authentification normale. Là où l'utilisateur légitime passe par un mot de passe et des contrôles, l'attaquant, lui, dispose d'un chemin discret qu'il a lui-même ouvert.
Les formes les plus courantes se rangent en trois familles.
- Les webshells : de petits scripts (PHP, ASP, JSP) déposés sur un serveur web. Ils sont redoutables car ils transitent par les ports 80 et 443, presque toujours autorisés, et se fondent dans le trafic web légitime.
- Les reverse shells : au lieu d'attendre une connexion entrante, la machine compromise appelle l'attaquant. Le flux part de l'intérieur vers l'extérieur, ce qui déjoue de nombreux pare-feux qui filtrent surtout l'entrant.
- Les implants en mémoire (dits fileless) : du code qui ne touche jamais le disque et vit uniquement en RAM. Sans fichier à analyser, un antivirus classique a peu de prise.
Les mécanismes de persistance
Section intitulée « Les mécanismes de persistance »La persistance regroupe toutes les techniques qui garantissent l'exécution du code malveillant de façon répétée, sans intervention de l'attaquant. Le principe est toujours le même : détourner un mécanisme légitime du système d'exploitation pour qu'il relance l'implant tout seul.
Services et tâches planifiées
Section intitulée « Services et tâches planifiées »Les systèmes disposent de services (des programmes lancés en arrière-plan au démarrage) et de tâches planifiées (des exécutions programmées à intervalles réguliers). Ce sont des cibles de choix : ils s'exécutent automatiquement et avec des privilèges élevés.
Sous Linux, un attaquant peut ajouter une ligne dans une crontab ou déposer un service systemd portant un nom anodin. Sous Windows, il crée une tâche planifiée ou un service baptisé comme un composant système, par exemple « Windows Update ». Le nom rassurant est délibéré : il faut que la ligne survive à un coup d'oeil rapide de l'administrateur.
Clés et scripts de démarrage
Section intitulée « Clés et scripts de démarrage »L'attaquant vise aussi les points d'accroche qui s'exécutent à chaque démarrage de la machine ou de la session. Chaque système en offre plusieurs.
- Windows : les clés de registre
RunetRunOnce, le dossier de démarrage du menu, ou des abonnements aux événements WMI. - Linux : les scripts d'initialisation (
rc.local, unités de service), ou l'ajout d'une clé SSH dans~/.ssh/authorized_keysqui rouvre un accès à volonté. - macOS : les LaunchAgents et autres crochets de session.
Détournement de l'authentification
Section intitulée « Détournement de l'authentification »Plutôt qu'une porte cachée, l'attaquant peut corrompre l'authentification elle-même : créer un compte administrateur discret, ajouter une clé SSH autorisée, ou, dans un annuaire Active Directory, forger des jetons persistants. L'accès paraît alors légitime aux yeux du système, ce qui complique grandement la détection.
Les rootkits
Section intitulée « Les rootkits »Un rootkit est le degré le plus avancé de persistance : un ensemble d'outils qui s'intègrent profondément dans le système pour masquer la présence de l'attaquant. Un rootkit peut cacher des processus, des fichiers et des connexions réseau aux outils d'administration eux-mêmes.
On distingue trois niveaux d'enracinement, du moins au plus dangereux :
- User-mode : modification de bibliothèques système pour tromper les commandes courantes.
- Kernel-mode : altération du noyau, ce qui donne un contrôle quasi total et rend la détection depuis le système compromis très difficile.
- Bootkit : infection du processus de démarrage lui-même, avant même le chargement du système d'exploitation.
L'escalade de privilèges
Section intitulée « L'escalade de privilèges »L'implantation va souvent de pair avec l'escalade de privilèges : l'attaquant
cherche à passer de droits limités (un compte utilisateur ordinaire) à des
droits administrateur ou root. Pourquoi ? Parce que les meilleurs points de
persistance, services système, clés de registre protégées, modules noyau,
exigent des privilèges élevés.
Cette élévation correspond à la tactique Élévation de privilèges (TA0004) de MITRE ATT&CK. Les moyens sont variés : exploitation d'une faille locale, abus d'un service mal configuré, vol de jetons d'authentification, ou détournement d'un binaire autorisé à s'exécuter en tant qu'administrateur.
Living off the land : vivre sur le terrain
Section intitulée « Living off the land : vivre sur le terrain »Une tendance de fond rend l'installation plus discrète encore : le living off the land (littéralement « vivre sur le terrain »). Plutôt que d'apporter ses propres outils, qu'un antivirus pourrait reconnaître, l'attaquant se sert des programmes déjà présents et signés par l'éditeur du système.
Ces binaires légitimes détournés portent des noms selon leur environnement. Sous Linux et Unix, on parle de GTFOBins : des binaires standards (interpréteurs, utilitaires réseau) exploités pour ouvrir un shell, lire un fichier protégé ou établir de la persistance. Sous Windows, l'équivalent est le projet LOLBAS, qui recense les exécutables Microsoft détournables, par exemple pour télécharger ou décoder un fichier malveillant.
L'avantage pour l'attaquant est double : ces outils sont déjà autorisés et leur usage se noie dans l'activité normale du système. Un défenseur qui bloque tous les binaires inconnus ne les verra pas, puisqu'ils sont, précisément, connus et signés.
Comment se protéger
Section intitulée « Comment se protéger »Aucune parade unique ne couvre l'installation. La bonne posture combine prévention (réduire les points d'ancrage possibles) et détection (repérer ceux qui apparaissent malgré tout).
Surveiller l'intégrité des fichiers et un HIDS
Section intitulée « Surveiller l'intégrité des fichiers et un HIDS »Un HIDS (Host-based Intrusion Detection System, système de détection d'intrusion sur l'hôte) surveille l'état de la machine et alerte sur les changements suspects. Sa brique clé est le contrôle d'intégrité des fichiers : on calcule une empreinte des fichiers sensibles, puis on vérifie régulièrement qu'ils n'ont pas changé sans raison.
Les zones à surveiller en priorité sont celles qu'utilisent les mécanismes de
persistance : répertoires de tâches planifiées et de services, clés de registre
de démarrage sous Windows, ~/.ssh/authorized_keys, /etc/passwd et les
unités systemd sous Linux. Une modification inattendue de ces emplacements est
un signal fort.
Déployer un EDR et analyser les comportements
Section intitulée « Déployer un EDR et analyser les comportements »Un EDR (Endpoint Detection and Response) va plus loin qu'un antivirus : il observe le comportement des processus plutôt que de simples signatures. Il repère par exemple un processus au nom légitime lancé depuis un chemin inhabituel, un service créé récemment, ou une connexion réseau émise par un programme qui n'en établit jamais. C'est le meilleur angle contre le living off the land et les implants fileless, qui échappent aux signatures.
Appliquer le moindre privilège
Section intitulée « Appliquer le moindre privilège »Le moindre privilège consiste à n'accorder à chaque compte et service que les droits strictement nécessaires. Son effet est direct sur cette phase : sans droits administrateur, l'attaquant ne peut pas créer de service système, modifier une clé de démarrage protégée ni charger un module noyau. On contrôle donc qui peut créer des services et des tâches, et on bloque l'exécution depuis les répertoires temporaires, sources fréquentes d'implants.
Détecter les mécanismes de persistance
Section intitulée « Détecter les mécanismes de persistance »Enfin, il faut inventorier et surveiller activement les points d'ancrage. Passer en revue les tâches planifiées, les services, les entrées de démarrage et les clés SSH autorisées, puis comparer à un état de référence connu, révèle les ajouts illégitimes. Centraliser les journaux dans un SIEM et alerter sur la création de comptes, de services ou de tâches ferme la boucle : ce qui n'est pas surveillé ne peut pas être détecté.
À retenir
Section intitulée « À retenir »-
L'installation transforme un accès temporaire en présence durable : c'est le moment où l'attaquant « s'enracine » dans le système.
-
Une backdoor contourne l'authentification normale ; webshells, reverse shells et implants en mémoire en sont les formes les plus courantes.
-
La persistance détourne des mécanismes légitimes : services, tâches planifiées, clés de démarrage, jusqu'aux rootkits qui masquent tout.
-
L'escalade de privilèges accompagne souvent l'implantation, car les meilleurs points d'ancrage exigent des droits administrateur.
-
Le living off the land rend la détection difficile en réutilisant des binaires légitimes, côté GTFOBins et LOLBAS.
-
La défense combine prévention et détection : moindre privilège, contrôle d'intégrité, HIDS et EDR, sans oublier la centralisation des journaux.
-
Cette phase alimente le modèle de menaces SOCLE : les techniques de persistance et d'évasion justifient la détection en production décrite dans Runtime et exploitation.