
Living off the Land : la CISA publie des directives sur la détection
Les forces d'opérations spéciales qui opèrent en territoire ennemi sont entraînées à vivre avec les ressources disponibles. Il ne s'agit pas seulement de trouver ou de voler de la nourriture et de l'eau, mais aussi de s'approprier, d'adapter et d'exploiter les outils, l'équipement et les armes de l'ennemi pour atteindre les objectifs de la mission.
Dans le contexte de la cybersécurité, la tactique LotL (Living off the Land) fait référence à une technique de cyberattaque de plus en plus courante : les pirates, une fois qu'ils ont infiltré un réseau cible, accèdent à des outils d'administration informatique légitimes et les utilisent pour mener des activités malveillantes.
Directives conjointes de la CISA, du FBI et d'autres agences
Le 7 février dernier, de nombreuses agences gouvernementales ont publié un document intitulé « Joint Guidance: Identifying and Mitigating Living Off the Land Techniques ». Rédigé conjointement par la CISA (Cybersecurity and Infrastructure Security Agency, agence américaine pour la cybersécurité et la sécurité des infrastructures), le FBI (Federal Bureau of Investigation) et une longue liste d'autres agences gouvernementales de sécurité et de cybersécurité aux États-Unis, en Australie, au Canada, au Royaume-Uni et en Nouvelle-Zélande, ce document décrit en détail les techniques LotL, explique pourquoi elles sont de plus en plus populaires et pourquoi elles peuvent être extrêmement difficiles à détecter.
Le document met en avant les trois raisons principales qui expliquent l'efficacité et la popularité croissante des techniques LotL :
- Le manque généralisé de pratiques de sécurité et de gestion de réseau qui permettraient aux organisations de détecter les activités anormales et potentiellement malveillantes exécutées via des outils et processus d'administration légitimes.
- Le fait que, jusqu’à présent, il n'existe pas de liste conventionnelle d'indicateurs de compromission (IOC) associés aux activités LotL.
- La tactique LotL permet aux acteurs malveillants de lancer des attaques sans avoir à développer et à déployer d'outils personnalisés pour atteindre leurs objectifs : cette technique est donc plus facile et plus rapide à utiliser.
Le document répertorie également les structures et pratiques organisationnelles qui compliquent particulièrement la détection des activités LotL, même dans les organisations ayant adopté les meilleures pratiques de sécurité :
- Le personnel de cybersécurité travaille souvent en silos, séparé des équipes informatiques.
- Les équipes de sécurité s'appuient souvent principalement sur des systèmes de détection des terminaux, peu susceptibles de les alerter en cas d'activités LotL.
- Les logs système restent généralement définis sur leur configuration par défaut. En d'autres termes, les techniques LOTL ne sont pas toujours consignées, et les informations de journalisation ne sont parfois pas suffisamment détaillées pour permettre de distinguer et de détecter ces activités.
- Le volume des données de logs pertinentes par rapport au petit nombre d'activités malveillantes consignées rend la détection encore plus difficile.
De la Chine aux cybergangs locaux
Il est intéressant de noter que le document d'orientation est basé sur un avis publié précédemment par la CISA en mai 2023, intitulé « People's Republic of China State-Sponsored Cyber Actor Living off the Land to Evade Detection ». En outre, il a été publié en même temps qu'un autre avis intitulé « PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure ».
Ces avis portent sur les activités de Volt Typhoon (alias Insidious Taurus), une organisation cybercriminelle dont les attaques sont commanditées par l'État chinois. Selon le FBI et d'autres agences, ce groupe utilise des techniques LotL pour passer inaperçu dans divers systèmes d'infrastructure critiques aux États-Unis. La théorie, c'est qu'ils positionnent des cyber-ressources à l'avance afin d'être prêts à semer le chaos et à endommager les infrastructures en cas de crise ou de conflit majeur entre la Chine et les États-Unis.
Mais ces techniques sont de plus en plus utilisées par un nombre croissant de cybercriminels. Comme indiqué dans la section Résumé du document d'orientation, « les agences à l'origine de ces directives publient ce guide conjoint à l'attention des responsables de la défense des réseaux (y compris des chasseurs de menaces) alors que l'utilisation malveillante des techniques LotL est de plus en plus répandue dans l'environnement plus global des cybermenaces ».
Ainsi, même si les premières directives concernant les attaques LotL étaient principalement destinées aux organisations gérant des systèmes d'infrastructures critiques, elles peuvent clairement être utiles à toute personne impliquée dans la cybersécurité.
Bonnes pratiques à suivre pour atténuer l'impact des activités LotL
L'avis le plus récent s'ouvre sur une liste de mesures à prendre immédiatement « pour atténuer l'impact des activités Volt Typhoon » :
- Appliquez des correctifs aux systèmes connectés à Internet. Corrigez en priorité les vulnérabilités critiques dans les appliances connues pour être fréquemment exploitées par Volt Typhoon.
- Mettez en œuvre une authentification multifacteur résistante au phishing.
- Assurez-vous que la journalisation est activée pour les applications, les accès et la sécurité, et stockez les logs dans un système central.
- Planifiez la « fin de vie » de vos technologies au-delà du cycle de vie pris en charge par le fabricant.
Mais il ne s'agit là que d'une toute première série de mesures à prendre en urgence. Le document d'orientation commun énumère un ensemble de bonnes pratiques en matière de détection, ainsi que d'autres bonnes pratiques à suivre pour renforcer la protection des systèmes contre les techniques LotL. En résumé :
Bonnes pratiques de détection :
- Mettez en œuvre une journalisation détaillée et agrégez les logs dans un emplacement centralisé hors bande à écriture unique et à lectures multiples pour éviter que des pirates modifient ou effacent les logs.
- Établissez et maintenez en permanence des bases de référence en matière d'activités au niveau du réseau, des utilisateurs, de l'administration et des applications, de même que des restrictions selon le principe de moindre privilège.
- Créez ou acquérez des mécanismes d'automatisation (comme des modèles de machine learning) qui examineront tous les logs en continu pour comparer les activités actuelles aux bases de référence comportementales établies et vous alerter sur les anomalies détectées.
- Réduisez le bruit dans les alertes en ajustant leur priorité (urgence et gravité) et examinez en permanence les détections en fonction des tendances dans l'activité.
- Tirez parti de l'analyse du comportement des utilisateurs et des entités (UEBA).
Bonnes pratiques de renforcement :
- Appliquez les recommandations du fournisseur et consultez-le au sujet du renforcement de la sécurité.
- Mettez en œuvre une liste blanche des applications et surveillez l'utilisation des LOLBins courants.
- Améliorez la segmentation et la surveillance des réseaux IT et OT.
- Mettez en œuvre des contrôles d'authentification et d'autorisation pour toutes les interactions humain-logiciel et logiciel-humain, partout sur le réseau.
Le document d'orientation fournit des explications détaillées et approfondies de toutes ces bonnes pratiques. Bon nombre de ces pratiques vous rappelleront sans doute des recommandations générales en matière de sécurité que vous auriez pu lire dans d'autres contextes. Cependant, de par la nature spécifique des attaques LotL, la mise en place de contrôles et de processus pouvant vous donner un certain avantage pour les détecter est particulièrement importante.
Sécurisé dès la conception
La dernière section du document d'orientation fournit une liste de recommandations aux fabricants de logiciels afin de réduire la vulnérabilité de leurs produits par rapport aux abus associés aux techniques LotL. En voici quelques exemples :
- Réduisez les surfaces d'attaque pouvant être exploitées par les acteurs de la cybermenace à l'aide de techniques LotL.
- Intégrez la sécurité dans l'architecture du produit.
- Obligez les utilisateurs privilégiés à utiliser une authentification multifacteur, idéalement résistante au phishing, et faites de la MFA une option par défaut, et non plus facultative.
- Fournissez une journalisation de haute qualité pour les plateformes et les applications sans frais supplémentaires.
- Réduisez la taille des « guides de renforcement » fournis avec les produits et veillez à ce que leur taille diminue au fil du temps, à mesure que de nouvelles versions du logiciel sont publiées.
- Supprimez les mots de passe par défaut et demandez aux clients d'en créer des plus sûrs.
- Supprimez ou limitez l'exécution de code dynamique, qui peut trop facilement être exploitée par les techniques LotL.
- Éliminez les identifiants codés en dur.
Protégez votre entreprise
Barracuda propose une plateforme de cybersécurité complète qui protège vos e-mails, votre réseau, vos applications et vos données. Consultez notre site web pour obtenir de plus amples informations.

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter