red-team-exercise

Votre dernier exercice de red team n'a pas testé la bonne attaque

Share this Share on email Share on twitter Share on linkedin Share on facebook

Si votre dernier exercice de red team s'est concentré sur l'exécution de malwares, les déplacements latéraux entre les terminaux (lateral movement) et des chaînes d'intrusion facilement détectables — et que le rapport n'a révélé aucune faiblesse — il est légitime de se demander ce qui n'a pas été testé.

Les méthodes d'attaque traditionnelles sont toujours utilisées, et les équipes de défense doivent continuer à les détecter. Mais les attaquants les plus avancés y ajoutent désormais une seconde couche : des attaques centrées sur les identités, des déplacements lents et discrets qui fragmentent les traces comportementales, ainsi que des abus des mécanismes de gouvernance du cloud qui ne génèrent pas le type de télémétrie pour lequel les solutions de protection des terminaux ont été conçues. Si l'exercice s'est limité à cette première couche, un rapport concluant ne couvre en réalité qu'une partie de la surface de menace. Il subsiste donc un angle mort que le prochain exercice devra impérativement prendre en compte.

Je dirige les missions de red teaming chez Bitdefender. Laissez-moi vous expliquer ce que j'observe lorsqu'une organisation demande un exercice identique à celui qu'elle avait réalisé il y a trois ans, et pourquoi ce périmètre ne permet plus aujourd'hui de couvrir l'ensemble des menaces.

image-png-Jun-25-2026-09-18-01-6553-PM

Les méthodes d'attaque actuelles : un changement de paradigme

Les attaquants les plus sophistiqués cherchent de moins en moins à « pénétrer » un système. Leur objectif est désormais de se faire passer pour des utilisateurs légitimes. L'exécution de malwares sur les terminaux reste une réalité, mais les scénarios d'attaque les plus critiques englobent aujourd'hui le détournement de sessions, le vol de jetons d'authentification (tokens) et le contournement de l'authentification multifacteur (MFA) par l'exploitation des mécanismes OAuth. Dans ce type d'attaque, les cybercriminels abusent des flux de consentement des applications afin d'hériter des autorisations des utilisateurs sans déclencher de demande d'authentification MFA.

Les groupes malveillants exploitent également la compromission des solutions d'authentification unique (SSO) au moyen de campagnes de phishing ou d'identifiants compromis, ainsi que la prise de contrôle d'identités dans le cloud en tirant parti de permissions excessives ou de relations de confiance fédérées. Ils utilisent alors des fournisseurs d'identité externes approuvés par l'organisation ciblée afin d'obtenir des droits d'accès sans avoir à dérober directement des identifiants. À ce stade, l'objectif n'est plus de forcer un accès illégitime, mais d'hériter d'un accès parfaitement légitime. Par conséquent, un exercice de red team qui ne teste pas les scénarios de compromission des identités fournit une vision incomplète de la sécurité, puisqu'il ne couvre que les couches que les attaquants supposent déjà renforcées.

Retour d'expérience d'une mission de red team

Lors d'une mission récente, nos tentatives d'accès initial reposant sur des campagnes de phishing utilisant des techniques modernes de diffusion de charges malveillantes, telles que ClickFix et FileFix, ont été détectées et bloquées par la solution de protection des terminaux du client. Les mécanismes de défense ont fonctionné exactement comme prévu. En revanche, la politique d'accès conditionnel de cette même organisation était suffisamment permissive pour nous permettre d'exploiter le flux OAuth, de détourner les sessions d'utilisateurs et d'accéder à l'une de ses plateformes SaaS, sans qu'aucune charge malveillante n'ait besoin d'être exécutée sur un terminal. L'évaluation des postes de travail n'a révélé aucune anomalie, car ce type de faiblesse échappe à son périmètre d'analyse.

Un exercice spécifiquement consacré à la sécurité des identités aurait, en revanche, mis en évidence cette exposition réelle et permis de la corriger.

Cette évolution des modes opératoires des attaquants n'est pas une simple tendance. Elle traduit une transformation profonde du paysage des menaces. Les solutions de sécurité ont considérablement augmenté le coût des attaques bruyantes ciblant les terminaux. Les mécanismes de détection comportementale identifient les arbres de processus suspects, tandis que les technologies de réduction dynamique de la surface d'attaque bloquent l'utilisation d'outils non autorisés.

En réponse, les attaquants ont développé de nouveaux chemins d'attaque qui contournent les couches de sécurité renforcées en priorité par les défenseurs. Les identités et les mécanismes de contrôle d'accès constituent l'une de ces nouvelles surfaces d'attaque, où les comportements paraissent parfaitement légitimes… parce que les identifiants utilisés le sont également. Un exercice de red team centré uniquement sur la compromission des terminaux évalue donc une posture de sécurité héritée, alors que la surface d'attaque actuelle s'est considérablement élargie.

L'art de la lenteur

Les attaques centrées sur les identités exigent de la patience… et une approche qui imite le comportement humain. Les actions sont volontairement espacées sur plusieurs jours, voire plusieurs semaines. Les déplacements entre les sessions sont progressifs. Les horaires d'activité, les rythmes de frappe au clavier et même la bande passante utilisée pour l'exfiltration des données sont soigneusement calqués sur ceux d'un utilisateur légitime. Les attaquants s'appuient également sur des proxys résidentiels, c'est-à-dire des connexions transitant par de véritables adresses IP de fournisseurs d'accès Internet résidentiels plutôt que par des centres de données ou des serveurs cloud. Leur activité devient ainsi pratiquement indiscernable de celle d'un collaborateur en télétravail. Résultat : moins d'automatisation, davantage d'interventions manuelles, et surtout une télémétrie qui se fond dans l'activité quotidienne des utilisateurs au lieu de former les séquences d'événements que les moteurs de détection savent habituellement corréler.

Prenons un exemple concret : l'énumération LDAP (Lightweight Directory Access Protocol). Les outils comme BloodHound ou SharpHound analysent l'annuaire Active Directory de manière automatisée et exhaustive en une seule opération. C'est rapide, complet… mais cela génère un pic de télémétrie que tout moteur de corrélation correctement configuré est susceptible de détecter. À l'inverse, une série de requêtes ciblées effectuées manuellement sur des objets précis, réparties sur plusieurs jours et intégrées à une activité utilisateur normale, permet d'obtenir les mêmes informations sans provoquer ce pic de télémétrie. L'objectif est identique, les renseignements collectés sont les mêmes, mais l'empreinte laissée dans les journaux d'activité est radicalement différente. Cette approche progressive a beaucoup moins de chances d'être considérée comme anormale.

C'est ainsi qu'opèrent aujourd'hui les attaquants les plus sophistiqués. Il ne s'agit pas d'une ancienne technique qu'ils auraient abandonnée, mais bien d'une discipline opérationnelle devenue essentielle. 

Le paradoxe de l'IA

L'intelligence artificielle utilisée à des fins de défense est désormais capable de corréler des comportements sur des périodes très longues. Elle peut relier entre elles des actions réalisées à plusieurs jours, voire plusieurs semaines d'intervalle, là où des mécanismes classiques de détection d'anomalies ou un analyste SOC examinant quotidiennement les journaux ne verraient aucun lien. Cette évolution complique considérablement les opérations lentes et discrètes des attaquants. Il est désormais possible d'agir avec prudence… et malgré tout d'être détecté. En quelque sorte, l'IA possède une mémoire bien plus fiable qu'un être humain. Elle identifie des corrélations qu'un analyste ne remarquerait probablement jamais.

Un exercice de red team qui ne reproduit pas cette pression ne reflète donc pas les conditions d'une attaque réelle. Si votre dernier exercice a été mené à un rythme largement automatisé et que vos défenses ont résisté, une autre question mérite d'être posée : résisteraient-elles face à un attaquant prêt à consacrer plusieurs semaines à fragmenter ses actions afin de créer des schémas que votre IA interpréterait comme un comportement utilisateur parfaitement normal ?

La gouvernance du cloud : la nouvelle frontière des attaques

Les attaquants explorent également des domaines où les mécanismes de défense basés sur l'IA sont structurellement les plus faibles : Les lacunes de gouvernance du cloud. Il s'agit notamment de mécanismes de persistance via les fonctionnalités natives de l'IAM, de permissions excessives accordant plus d'accès que ne l'exige la fonction d'un utilisateur, ou encore de relations de confiance fédérées permettant d'hériter d'identités externes sans vérification.

Il s'agit de problèmes de gouvernance, et non de problèmes techniques. Ils ne génèrent pas le type de télémétrie sur les terminaux que les mécanismes de détection comportementale savent identifier, car ils exploitent les plans de contrôle légitimes des plateformes cloud à l'aide d'identifiants légitimes.

Voici un exemple concret : l'authentification et la persistance. Lors d'une mission réalisée avant mon arrivée chez Bitdefender, un exercice de red team portait sur un scénario de pivot « cloud vers on-premises » dans une entreprise utilisant Google Cloud Platform (GCP). Sur le poste local d'un utilisateur compromis, nous avons découvert la clé d'un compte de service GCP privilégié. Nous avons utilisé cette clé pour nous authentifier directement en tant que compte de service depuis l'extérieur de l'entreprise. La télémétrie en place à ce moment-là ne couvrait pas ce scénario d'authentification, qui est donc passé totalement inaperçu.

Une fois cette clé en notre possession, nous n'avions plus besoin d'un point d'appui au sein du réseau interne. La persistance se trouvait à l'extérieur du périmètre, dans un identifiant pouvant être réutilisé depuis n'importe où, indéfiniment, par toute personne en possession de cette clé. C'est précisément à cela que ressemble une persistance liée à une faille de gouvernance : non pas un malware présent sur un hôte, mais un artefact d'authentification qui fournit un accès apparemment légitime, sans aucune activité sur le poste susceptible d'être signalée.

Les exercices de red team modernes explorent désormais cette couche. Un exercice centré sur les terminaux passe complètement à côté. Si votre dernier exercice s'est limité aux intrusions au niveau des hôtes et n'a pas vérifié si un attaquant disposant d'identifiants cloud valides pouvait obtenir un accès persistant en modifiant des rôles IAM ou en abusant de mécanismes de fédération, alors vous n'avez pas testé le chemin qu'empruntent aujourd'hui les attaquants les plus avancés.

Quand le red team passe le relais à la prévention

Certains vecteurs d'attaque utilisés par les attaquants les plus avancés ne peuvent tout simplement pas être reproduits dans le cadre d'un exercice de red team. La compromission indirecte via une chaîne d'approvisionnement de confiance en est un bon exemple. Elle nécessite l'autorisation de tiers, des délais plus longs que ceux prévus pour la plupart des missions et un niveau d'engagement que peu d'organisations sont prêtes à accepter dans le cadre d'un test offensif. Nous ne simulons donc pas ce type de scénario de manière réaliste, non pas parce qu'il est sans importance, mais parce que les contraintes de périmètre le rendent peu praticable.

Il s'agit d'une limite liée au périmètre de la mission, et non d'une faiblesse des exercices de red team. C'est précisément à cette frontière que le red team passe le relais à une stratégie de défense axée sur la prévention. Les scénarios que nous ne pouvons pas tester sont justement ceux que les mécanismes de prévention peuvent empêcher.

L'IA utilisée à des fins défensives détecte plus efficacement les compromissions directes que les intrusions passant par un tiers de confiance, car la télémétrie générée par une attaque directe est plus riche et présente davantage d'anomalies. Lorsqu'un attaquant compromet un fournisseur de confiance et agit au travers de ses accès légitimes, la télémétrie produite ressemble simplement à l'activité normale de ce fournisseur. Aucun modèle comportemental ne la considère comme suspecte, puisque ce comportement correspond précisément à la référence sur laquelle il s'appuie.

La prévention permet de réduire ce risque en diminuant la surface d'attaque et en limitant les chances qu'une intrusion puisse même commencer. Par exemple, elle restreint les accès des tiers de confiance aux seules ressources nécessaires à leur fonction, applique le principe du moindre privilège aux identités fédérées et surveille le risque lié à la chaîne d'approvisionnement comme une catégorie spécifique, plutôt que de considérer par défaut les accès des tiers comme sûrs. Les exercices de red team permettent de vérifier si vos mécanismes de défense détectent bien les attaques qu'ils sont censés identifier. Les mécanismes de prévention, eux, permettent de vérifier que les scénarios qu'ils ne sont pas conçus pour détecter ne sont tout simplement pas accessibles aux attaquants.

Le red teaming moderne : un périmètre élargi, devenu indispensable

Le red teaming moderne est devenu essentiel parce qu'il a évolué au même rythme que les menaces. Si votre dernier exercice s'est concentré sur les vecteurs d'attaque ciblant les terminaux et s'est conclu sans anomalie, il est temps d'en réaliser un nouveau. Testez les scénarios de compromission des identités, les attaques lentes et discrètes fondées sur la fragmentation des activités, ainsi que les abus liés à la gouvernance du cloud. Associez cette démarche à une approche privilégiant la prévention, car les scénarios que les exercices de red team ne peuvent pas couvrir sont précisément ceux que les mécanismes de prévention doivent empêcher. C'est à cette frontière qu'opèrent aujourd'hui les attaquants les plus avancés.

Cet article présente la vision offensive de cette frontière : ce que font aujourd'hui les attaquants, et jusqu'où les exercices de red team peuvent — ou ne peuvent pas — les suivre. Les méthodes d'attaque traditionnelles sont toujours utilisées, et les défenseurs doivent continuer à les détecter. Mais les attaquants les plus avancés ont ajouté une seconde couche à leur arsenal, et nous devons désormais tester nos défenses face à cette nouvelle réalité.

Pour approfondir ce sujet et découvrir le rôle de la prévention, visionnez l'enregistrement de ma table ronde :
The Lab, the SOC, the Red Team: Why Prevention Still Wins



Cette discussion réunit les perspectives de la recherche, de la réponse à incident et des opérations offensives autour d'une même table.

Vous pouvez également en savoir plus sur les services offensifs de Bitdefender et échanger avec l'un de nos experts  si vous souhaitez être accompagné.