Piratage système

1. Le mot de passe, première ligne de défense… et de faiblesse

Dans la plupart des systèmes informatiques modernes, l’accès à une ressource repose sur une authentification, et cette authentification repose, le plus souvent, sur un simple mot de passe. Ce mécanisme a beau sembler rudimentaire, il est à la base de presque tous les contrôles d’accès que vous rencontrerez, que ce soit pour se connecter à une session Windows, à une base de données, à un service distant, ou à une application web.

En théorie, le mot de passe est une information secrète, connue uniquement de l’utilisateur légitime, qui permet au système de vérifier son identité. En pratique, il s’agit d’une mesure de sécurité fragile, car elle repose intégralement sur l’humain. Et les humains, par souci de confort, d’oubli ou de précipitation, prennent souvent des décisions peu sûres.

Les statistiques issues d’incidents réels le montrent : dans un très grand nombre de compromissions, aucun exploit technique n’est utilisé. Un simple mot de passe deviné, récupéré via une fuite de données, ou craqué en quelques minutes, suffit à contourner toute la sécurité logique mise...

1. Attaques en ligne passives

Les attaques passives en ligne consistent à intercepter des données sans interagir activement avec la cible. L’objectif est d’observer les échanges, souvent sur le réseau, et de capturer des informations sensibles, comme des mots de passe en clair ou des tokens d’authentification. Ce type d’attaque est discret par nature, car il ne provoque aucun comportement anormal détectable sur la cible.

La forme la plus connue est le sniffing : un attaquant placé sur le même réseau qu’un utilisateur peut utiliser des outils comme Wireshark ou tcpdump pour capturer les paquets qui transitent. Si les communications ne sont pas chiffrées - par exemple en HTTP, FTP, ou Telnet - le mot de passe est visible directement dans les trames réseau. Dans certains cas, même lorsque les mots de passe ne sont pas en clair, d’autres éléments comme les cookies de session ou les jetons d’accès peuvent être interceptés.

Un exemple classique est le sidejacking, qui consiste à voler un cookie de session non sécurisé (HTTP) sur un réseau Wi-Fi public. L’attaquant peut ensuite réutiliser ce cookie pour se faire passer pour la victime sans avoir besoin de son mot de passe. Des outils comme Firesheep ou Hamster/Ferret ont popularisé cette technique dans les années 2010, en démontrant à quel point une mauvaise configuration HTTPS pouvait suffire à compromettre une session utilisateur.

Ces attaques sont d’autant plus efficaces que les utilisateurs...

1. Le keylogging : une attaque à la source de l’information

Lorsqu’un attaquant souhaite récupérer un mot de passe, il peut essayer de deviner sa valeur, le casser à partir d’un hash, ou contourner le mécanisme d’authentification. Mais il peut aussi faire beaucoup plus simple : attendre que la victime le tape elle-même. C’est précisément ce que permet un keylogger.

Un keylogger, ou enregistreur de frappe, intercepte les touches pressées sur le clavier et les enregistre dans un journal, souvent accompagné de métadonnées comme le nom de la fenêtre active, l’heure ou le nom du processus concerné. Contrairement aux attaques cryptographiques ou réseau, le keylogging agit au plus près de l’utilisateur, en capturant l’information avant même qu’elle ne soit protégée. Un mot de passe, aussi complexe soit-il, n’a plus aucune importance une fois saisi et enregistré en clair par un programme malveillant.

Cette méthode illustre un principe fondamental du hacking éthique : parfois, la vulnérabilité n’est pas dans le système, mais dans la façon dont il est utilisé. Un attaquant n’a pas besoin de casser des algorithmes si les utilisateurs les contournent eux-mêmes, volontairement ou non.

2. Fonctionnement des keyloggers logiciels

Les keyloggers logiciels fonctionnent en s’intercalant entre le clavier et les applications. Sur Windows, cela peut se faire à l’aide des API de type hook, qui permettent à un programme de surveiller les événements clavier. L’API SetWindowsHookEx, par exemple, est souvent utilisée pour placer un hook global qui intercepte les frappes, quelles que soient les applications en cours.

Ces méthodes sont accessibles en mode utilisateur, ce qui rend leur...

1. Comprendre les niveaux de privilège

Dans tout système d’exploitation moderne, les droits d’un utilisateur sont strictement hiérarchisés. Il y a ceux qui peuvent simplement utiliser les fonctionnalités du système, comme lancer des programmes ou accéder à leurs propres fichiers, et ceux qui peuvent tout faire : installer des logiciels, modifier la configuration du système, accéder aux comptes des autres, changer les permissions, ou désactiver les protections. Ces derniers, ce sont les utilisateurs privilégiés, appelés root sous Linux, Administrateur sous Windows, ou tout simplement superutilisateur.

Le concept de privilège existe pour une raison très simple : limiter les dégâts en cas de compromission. Si un attaquant parvient à prendre le contrôle d’un compte utilisateur classique, il n’est pas censé pouvoir altérer les fichiers critiques, ni modifier le système, ni accéder aux données des autres comptes. Mais si cet attaquant parvient à élever ses privilèges, alors il gagne un contrôle total sur la machine. Ce basculement change toute la dynamique d’une attaque.

L’escalade de privilèges est donc l’art de transformer un accès partiel en un contrôle total. C’est un moment critique dans une compromission, souvent invisible pour l’utilisateur, mais décisif pour l’attaquant.

2. Escalade verticale vs horizontale

Il existe deux grandes formes d’escalade de privilèges. La première, la plus recherchée, est l’escalade verticale : l’attaquant passe d’un compte à faibles droits à un compte à hauts privilèges, comme root ou Administrateur....

1. L’importance du maintien de l’accès

Obtenir l’accès initial à une machine ou à un compte n’est jamais une fin en soi. Une connexion ponctuelle, aussi puissante soit-elle, peut être perdue à tout moment : un redémarrage, une déconnexion réseau, une mise à jour, un audit de routine ou une action de l’utilisateur peut suffire à fermer la porte. C’est pourquoi, dans toute attaque sérieuse (ou dans tout test d’intrusion rigoureux) le maintien de l’accès constitue une étape essentielle.

Le but de la persistance est simple : permettre à l’attaquant de revenir plus tard, sans avoir à compromettre à nouveau le système. Cela signifie établir un point d’entrée stable, discret, et durable, qui survivra aux interruptions et aux mesures de nettoyage basiques. En pratique, cela peut prendre des formes très diverses, du plus simple script de redémarrage à des implants sophistiqués dissimulés dans le cœur du système.

Du point de vue offensif, c’est la clé qui transforme un accès temporaire en une présence permanente. Du point de vue défensif, c’est l’un des angles les plus critiques : un attaquant qui a implanté une backdoor peut réapparaître à tout moment, même longtemps après une restauration ou un changement de mot de passe.

2. Techniques classiques de persistance sous Windows

Sur Windows, l’environnement est particulièrement propice au maintien de l’accès. Il existe des dizaines de mécanismes permettant de lancer automatiquement un programme au démarrage ou à la connexion, et c’est souvent par ces biais que les attaquants agissent.

Le plus évident est l’utilisation...

1. Disparaître sans bruit : une stratégie offensive à part entière

Une attaque ne se résume pas à l’intrusion. Dans les opérations réelles comme dans les tests d’intrusion professionnels, la capacité à effacer ses traces est tout aussi cruciale que celle à pénétrer un système. Un attaquant qui laisse des logs, des fichiers temporaires, ou des processus visibles compromet non seulement sa propre sécurité, mais aussi la réussite de l’opération dans son ensemble. Dans une logique offensive complète, l’art ne consiste pas seulement à entrer… mais à le faire sans laisser de traces exploitables.

Cette étape, souvent désignée sous le nom de post-exploitation furtive ou d’anti-forensic, s’inscrit dans une vision stratégique du piratage système. Elle vise à perturber, tromper ou empêcher l’investigation future. Elle s’appuie sur la connaissance intime des mécanismes de journalisation des systèmes, des outils de surveillance déployés, et des habitudes des équipes sécurité.

Pour un professionnel de la cybersécurité, comprendre les techniques d’anti-forensic est fondamental. Non pas pour les utiliser à mauvais escient, mais pour savoir quoi chercher lorsqu’on analyse un système compromis, et comment repérer...

1. D’où vient la notion de rootkit ?

Le terme rootkit est né dans les années 90, à l’époque où les premières versions d’Unix et de Linux voyaient fleurir les intrusions sur les serveurs connectés à Internet. Lorsqu’un attaquant parvenait à obtenir les privilèges root (l’administrateur absolu) il se retrouvait confronté à une problématique simple : comment rester dans le système sans être détecté ? La réponse : modifier ou remplacer certains outils système pour que leur comportement masque toute présence suspecte.

À cette époque, les rootkits étaient souvent composés de binaires modifiés (ps, netstat, ls, etc.) qui n’affichaient pas les processus ou fichiers malveillants. Mais au fil des années, les systèmes de détection ont évolué, et les rootkits aussi. Ils sont passés de simples outils de dissimulation à des composants furtifs implantés au plus profond du système, dans le noyau ou même en dessous, dans le firmware.

Aujourd’hui, un rootkit représente l’un des moyens les plus avancés et sophistiqués pour un attaquant de se cacher, voire de manipuler un système à bas niveau. Et comprendre leur fonctionnement, même partiellement, est indispensable pour tout futur CEH.

2. Fonctionnement général d’un rootkit

Un rootkit ne fait pas « d’attaque » en soi. Ce n’est ni un ransomware, ni un keylogger...