La livraison est le moment où l'attaquant transmet sa charge malveillante à la cible : c'est la première interaction directe entre l'agresseur et sa victime. Cette page vous explique les canaux employés pour faire arriver le code malveillant (e-mail, sites compromis, supports amovibles, supply chain, drive-by download) et les parades qui bloquent la charge avant qu'elle ne s'exécute. Elle s'adresse aux personnes qui découvrent le cycle d'une attaque, sans prérequis autre que la notion de logiciel malveillant.
Ce que vous allez apprendre
Section intitulée « Ce que vous allez apprendre »La livraison est la troisième phase de la kill chain, juste après l'armement. L'attaquant a préparé sa charge, il doit maintenant la faire franchir votre périmètre. Concrètement, vous saurez :
- Reconnaître les principaux canaux de livraison : e-mail piégé, site web compromis, clé USB, chaîne d'approvisionnement.
- Comprendre le drive-by download, cette contamination qui ne demande aucun clic sur une pièce jointe.
- Distinguer ce qui relève de la faille humaine (curiosité, urgence) et de la faille technique (logiciel non à jour).
- Mettre en place les défenses qui arrêtent la charge en amont : filtrage e-mail, proxy web, sensibilisation, MFA résistante au phishing.
- Situer cette phase dans le référentiel des attaquants : la livraison ouvre
la tactique Accès initial (Initial Access,
TA0001) de MITRE ATT&CK, dont le hameçonnage (T1566) est la technique reine. Le socle en tire des exigences côté poste de travail.
Qu'est-ce que la phase de livraison
Section intitulée « Qu'est-ce que la phase de livraison »La livraison (en anglais delivery) est le point de bascule de la kill chain. Jusque-là, l'attaquant travaillait à distance, invisible : il collectait des informations, puis assemblait son arme. Avec la livraison, il prend contact avec le système visé et expose sa charge. Si le canal choisi est détecté ou bloqué, l'attaque échoue avant même d'avoir commencé.
L'image utile est celle d'un colis piégé. L'agresseur a fabriqué le colis pendant l'armement ; il doit maintenant le déposer chez la victime sans éveiller les soupçons. Le facteur, ici, c'est un e-mail, une page web ou une clé USB. Tout l'art consiste à choisir un vecteur crédible et discret.
Le double objectif de cette phase est clair : introduire le code malveillant dans le système, ou amener la victime à déclencher elle-même une action qui ouvre la porte. C'est pourquoi la livraison vise autant les machines que les personnes. Un utilisateur pressé qui clique reste, encore aujourd'hui, le maillon le plus rentable pour un attaquant.
Les canaux de livraison
Section intitulée « Les canaux de livraison »Un attaquant dispose de plusieurs voies d'entrée pour acheminer sa charge. Elles se recoupent souvent dans une même campagne, mais chacune a sa logique et ses parades. Les connaître, c'est savoir où placer ses défenses.
L'e-mail et le hameçonnage
Section intitulée « L'e-mail et le hameçonnage »L'e-mail reste le canal de livraison numéro un. L'attaquant envoie un message qui paraît légitime (une facture, une relance de livreur, une alerte de sécurité) avec une pièce jointe piégée ou un lien vers un site malveillant. Ce vecteur exploite deux ressorts humains puissants : la curiosité et l'urgence. Un objet du type « votre compte va être suspendu » pousse à agir vite, donc à réfléchir moins.
Cette technique porte le nom de hameçonnage (phishing), et MITRE ATT&CK la
répertorie sous le code T1566. Elle se décline en variantes : pièce jointe
piégée (T1566.001), lien malveillant (T1566.002), message via une messagerie
tierce (T1566.003). Le spear phishing, ciblé sur une personne précise à
partir d'informations collectées en reconnaissance, est le plus redoutable.
Les sites web compromis
Section intitulée « Les sites web compromis »Plutôt que de venir à la victime, l'attaquant peut piéger un site qu'elle visite déjà. Il compromet un site légitime fréquenté par sa cible, puis y injecte du code malveillant. La victime ne télécharge rien volontairement : le simple fait de charger la page suffit à lancer l'infection. C'est le principe du point d'eau (watering hole), où l'on empoisonne l'endroit où la proie vient boire.
Ces sites servent aussi de relais. Un lien reçu par e-mail pointe vers une page d'apparence anodine, hébergée sur un domaine réputé compromis, qui redirige ensuite vers la charge réelle. Cette chaîne de rebonds complique la détection : le premier maillon paraît propre.
Le drive-by download
Section intitulée « Le drive-by download »Le drive-by download (littéralement « téléchargement en passant ») est la forme la plus insidieuse de site compromis. La contamination se produit sans aucun clic de la victime sur une pièce jointe : il suffit de visiter la page. Le code malveillant exploite une vulnérabilité du navigateur, d'un lecteur PDF ou d'une extension pour s'installer en arrière-plan.
Une variante fréquente est le malvertising : l'attaquant achète un encart publicitaire sur un réseau de régies, et cette publicité, diffusée sur des sites parfaitement légitimes, redirige vers la charge. La victime n'a même pas quitté un site de confiance. La parade tient à deux réflexes : un navigateur à jour ferme les failles exploitées, et un bloqueur de scripts ou de publicités réduit fortement la surface exposée.
Les supports amovibles
Section intitulée « Les supports amovibles »La livraison n'a pas toujours besoin du réseau. Une clé USB infectée
abandonnée sur un parking d'entreprise mise sur la curiosité de qui la
ramasse et la branche. Le code malveillant se lance parfois à l'insertion, via
un fichier de configuration automatique ou en se faisant passer pour un
document. MITRE ATT&CK décrit ce vecteur sous T1091 (réplication par support
amovible).
Ce canal est particulièrement dangereux dans les environnements isolés du réseau (air-gapped), justement conçus pour n'avoir aucune connexion extérieure. Le support physique devient alors le seul pont possible, ce qui en fait un vecteur privilégié des attaques les plus sophistiquées.
La chaîne d'approvisionnement
Section intitulée « La chaîne d'approvisionnement »Le vecteur le plus large ne cible pas directement la victime : il compromet un tiers de confiance qui, lui, distribue la charge à grande échelle. L'attaquant piège un fournisseur de logiciel, une bibliothèque open source ou un système de mise à jour, et laisse la diffusion normale faire le travail. La victime installe une mise à jour signée, légitime en apparence, déjà empoisonnée.
L'incident SolarWinds de 2020 illustre l'ampleur du procédé : en compromettant une plateforme d'administration très répandue, les attaquants ont diffusé leur charge à des milliers d'organisations, entreprises comme agences publiques, tout en restant invisibles derrière une mise à jour de confiance. Cette classe d'attaques est traitée en détail dans la section supply chain du site, car elle déborde largement du cadre d'une attaque individuelle.
Comment se protéger
Section intitulée « Comment se protéger »Aucune barrière unique n'arrête toutes les livraisons. La bonne posture est la défense en profondeur : empiler plusieurs filtres pour que l'attaquant doive tous les franchir. Voici les couches qui comptent, du réseau jusqu'à l'humain.
Filtrer et authentifier les e-mails
Section intitulée « Filtrer et authentifier les e-mails »La première ligne se joue sur la messagerie. Un filtre anti-hameçonnage analyse expéditeur, liens et pièces jointes avant remise. En complément, trois mécanismes d'authentification du courrier limitent l'usurpation d'expéditeur.
- SPF (Sender Policy Framework) déclare quels serveurs ont le droit d'envoyer du courrier pour votre domaine.
- DKIM (DomainKeys Identified Mail) signe chaque message, prouvant qu'il n'a pas été altéré en transit.
- DMARC s'appuie sur les deux précédents pour décider du sort des messages douteux (rejet ou quarantaine) et vous remonter des rapports.
Ces trois protocoles ne bloquent pas le contenu malveillant en lui-même, mais ils coupent l'usurpation d'identité qui rend le phishing crédible. Un attaquant qui ne peut plus se faire passer pour votre banque ou votre direction perd son levier le plus efficace.
Contrôler les accès web
Section intitulée « Contrôler les accès web »La deuxième couche filtre la navigation. Un proxy web ou un filtrage DNS bloque l'accès aux domaines malveillants connus et casse la chaîne de redirection avant qu'elle n'aboutisse. Contre le drive-by download, la mesure la plus rentable reste de maintenir les navigateurs à jour : l'immense majorité des exploits visent des failles déjà corrigées que les victimes n'ont pas encore appliquées.
Bloquer les pièces jointes dangereuses
Section intitulée « Bloquer les pièces jointes dangereuses »Beaucoup de campagnes reposent sur des fichiers exécutables déguisés. Une
règle simple et efficace : bloquer en passerelle les pièces jointes à
extension exécutable (.exe, .scr, .js, .hta) et les macros Office non
signées. Un utilisateur ne devrait jamais recevoir un exécutable par courrier ;
le refuser d'office élimine une classe entière d'attaques sans gêner le travail
quotidien.
Sensibiliser et durcir l'authentification
Section intitulée « Sensibiliser et durcir l'authentification »La dernière couche, la plus déterminante, est humaine. La sensibilisation apprend à repérer une adresse falsifiée, un lien douteux, une demande urgente inhabituelle. Des campagnes de test internes mesurent la vigilance réelle sans culpabiliser. Et une consigne claire de ne jamais brancher un support amovible inconnu coupe le vecteur USB.
Même formés, les utilisateurs se font parfois piéger. C'est là qu'intervient la MFA résistante au phishing. Une double authentification classique par code SMS peut être rejouée sur un faux site ; une clé matérielle WebAuthn, en revanche, vérifie l'adresse réelle du site et refuse de s'authentifier sur un domaine usurpé. Le détail de cette approche est dans le guide MFA WebAuthn : c'est le filet de sécurité qui protège même quand le clic malheureux a eu lieu.
À retenir
Section intitulée « À retenir »-
La livraison est le moment critique de la kill chain : la première interaction directe entre l'attaquant et sa cible.
-
L'e-mail reste le canal numéro un, via le hameçonnage (
T1566) ; sa crédibilité repose sur l'usurpation d'identité et l'urgence. -
Le drive-by download n'exige aucun clic sur une pièce jointe : visiter une page piégée suffit, d'où l'importance d'un navigateur à jour.
-
Les supports amovibles et la supply chain contournent le réseau ou passent par un tiers de confiance, jusque dans les environnements isolés.
-
La défense en profondeur est la clé : filtrage e-mail (SPF, DKIM, DMARC), proxy web, blocage des pièces jointes exécutables, sensibilisation.
-
La MFA résistante au phishing protège même après un clic malheureux : une clé WebAuthn refuse de s'authentifier sur un site usurpé.
-
Cette phase ouvre la tactique Accès initial de MITRE ATT&CK ; le socle en tire ses exigences côté poste de travail, qui rattache ces vecteurs aux contrôles concrets à mettre en place.