Chasse aux RAT : comment atténuer les risques liés aux logiciels d'accès à distance

Par Phil Muncaster • 18er Février 2025.

Les logiciels d’accès à distance sont depuis de nombreuses années un outil très apprécié des administrateurs informatiques, des fournisseurs de services gérés (MSP), des entreprises SaaS et autres. Ils offrent un moyen précieux de gérer et de surveiller à distance plusieurs points de terminaison informatiques et opérationnels à partir d’un emplacement unique et centralisé. Mais ils offrent également aux acteurs malveillants un moyen puissant de contourner les défenses des entreprises et d’accéder à distance aux réseaux des victimes.

Qu'il s'agisse d'outils d'accès à distance (RAT), de produits de surveillance et de gestion à distance (RMM) ou de solutions d'administration à distance, le risque est le même. Il est temps de fermer une porte dérobée potentiellement dangereuse dans les environnements informatiques des entreprises.

Que sont les RAT ?

Des outils comme Atera, AnyDesk, ConnectWise et TeamViewer sont bien connus dans la communauté informatique. Bien qu'ils soient utilisés depuis des années pour aider les administrateurs à résoudre les problèmes, à installer et à configurer les machines, à corriger les points de terminaison, etc., les RAT ont vraiment pris tout leur sens pendant la pandémie. Pourtant, tout comme les attaques contre les outils de bureau à distance se sont multipliées au cours de cette période, nous avons également constaté un intérêt croissant pour les logiciels d'accès à distance comme moyen de contourner les outils de sécurité.

Ils ont même été déployés dans des attaques visant des particuliers, où la victime est incitée à télécharger un malware sur son PC ou son appareil mobile pour permettre à un fraudeur d'accéder à ses comptes bancaires et autres. Cela se produit fréquemment dans les escroqueries au support technique et, plus récemment, dans une attaque sophistiquée campagne d'usurpation d'identité gouvernementale conçu pour voler les détails de la carte bancaire des victimes.

Pourquoi les RAT sont-ils attrayants ?

Il n’est pas surprenant que les acteurs malveillants ciblent de plus en plus ces outils. Ils offrent un moyen utile de se fondre dans les outils et processus légitimes, de la même manière que attaques vivant de la terre (LOTL). Les logiciels d'accès à distance étant signés avec des certificats de confiance, ils ne seront pas bloqués par les outils anti-malware ou de détection et de réponse aux points d'extrémité (EDR). Les autres avantages pour les adversaires incluent le fait que les logiciels d'accès à distance :

Peut avoir des privilèges élevés, facilitant l'accès initial, la persistance, le mouvement latéral, l'accès aux ressources sensibles et l'exfiltration des données
Permet aux acteurs malveillants de mener des intrusions sans avoir à consacrer du temps et de l'argent au développement de logiciels malveillants tels que des chevaux de Troie d'accès à distance (également abrégés en « RAT »), que les outils de sécurité peuvent identifier
Permet aux adversaires de contourner les politiques de contrôle de gestion des logiciels et même potentiellement d'exécuter des logiciels non approuvés sur la machine ciblée
Utilise un cryptage de bout en bout, permettant aux attaquants de télécharger des fichiers que les pare-feu d'entreprise arrêteraient autrement
Peut prendre en charge plusieurs attaques simultanées, par exemple via un MSP compromis

Comment les adversaires ciblent l'accès à distance

Selon le Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), les acteurs malveillants peuvent exploiter des versions vulnérables de logiciels d'accès à distance ou utiliser des comptes compromis légitimes pour détourner l'utilisation des outils. Ils peuvent également utiliser l'ingénierie sociale pour inciter les victimes à télécharger un logiciel RMM légitime ou similaire. Dans des attaques plus sophistiquées, ils peuvent cibler un fournisseur de logiciels d'accès à distance et manipuler son logiciel avec des mises à jour malveillantes. Ils peuvent également utiliser PowerShell ou d'autres outils de ligne de commande légitimes pour déployer secrètement un agent RMM sur la machine de la victime.

Parfois, les acteurs malveillants utilisent également des logiciels d'accès à distance en association avec des outils de test de pénétration comme Cobalt Strike ou même des logiciels malveillants d'accès à distance pour garantir la persistance. Une fois qu'ils ont accès à un réseau/une machine cible, ils peuvent utiliser un logiciel d'accès à distance pour :

Se déplacer latéralement dans le réseau de la victime
Trouver des listes d'autres systèmes de déplacement latéral
Établir des canaux de commandement et de contrôle (C2)

Ces techniques sont utilisées à la fois par des groupes de cybercriminalité et par des agents des États-nations pour des opérations sophistiquées de vol de données et des attaques de ransomware. Elles ont été repérées ciblant des employés du gouvernement américain dans des escroqueries à motivation financière. Un fournisseur de sécurité a également averti à propos de l'utilisation « excessive » de RAT non professionnels dans les environnements OT, qui finit par étendre la surface d'attaque des organisations.

Selon cette étude, 79 % des entreprises ont installé plus de deux outils de ce type sur leurs équipements réseau OT. Comme ces outils ne disposent pas de contrôles d'accès suffisants ni de fonctionnalités telles que l'authentification multifacteur (MFA), ils sont exposés au piratage par des acteurs malveillants.

Dans la nature

Il existe de nombreux exemples de violations de sécurité basées sur des RAT ayant eu de graves conséquences au cours des dernières années. Parmi elles, on peut citer :

En février 2024, des vulnérabilités dans le logiciel ScreenConnect non corrigé ont été exploités dans plusieurs organisations pour déployer des logiciels malveillants sur des serveurs et des postes de travail avec le logiciel d'accès à distance installé.
En février 2022, la CISA et le Centre national de cybersécurité du Royaume-Uni (NCSC) ont mis en garde contre une campagne du groupe iranien APT MuddyWater qui pourraient avoir des motivations à la fois de cyberespionnage et financières. Les acteurs de la menace ont utilisé ScreenConnect pour l'accès initial et le mouvement latéral.
En janvier 2023, La CISA est prévenue d'une campagne utilisant ScreenConnect et AnyDesk pour mener une « arnaque au remboursement » auprès d'employés du gouvernement fédéral. La campagne a utilisé des techniques de phishing pour persuader les victimes de télécharger le logiciel sous forme d'exécutables portables et autonomes, leur permettant ainsi de contourner les contrôles de sécurité.
En juillet 2024, un fournisseur de sécurité découvert une version modifiée de l'outil RMM open source PuTTY (rebaptisé « KiTTY ») qui pouvait contourner les contrôles de sécurité. Cette tactique a permis aux acteurs malveillants de créer des tunnels inversés sur le port 443 pour exposer les serveurs internes à une boîte AWS EC2 sous leur contrôle afin de voler des fichiers sensibles.

Comment atténuer les attaques d'accès à distance

La CISA énumère une série de contrôles basés sur l'hôte et le réseau et de recommandations en matière de politiques et d'architecture qui pourraient aider à renforcer la résilience contre de telles attaques. Il s'agit notamment de :

Formation de sensibilisation au phishing pour les employés
Approches de confiance zéro et de moindre privilège pour la sécurité des identités et des terminaux
Surveillance SecOps pour les activités suspectes
Gestion de la surface d'attaque externe (EASM) pour une meilleure visibilité sur les actifs inconnus et non gérés
Authentification multifacteur (MFA) pour les logiciels d'accès à distance
Audit des logiciels et configurations d'accès à distance
Contrôles d'application, y compris les principes de confiance zéro et la segmentation, pour gérer et contrôler l'exécution des logiciels
Correctifs continus basés sur les risques
Segmentation du réseau pour limiter les mouvements latéraux
Blocage des connexions entrantes/sortantes sur les ports et protocoles RMM courants
Pare-feu d'applications Web (WAF) pour protéger les logiciels d'accès à distance

Toutefois, l’agence de sécurité recommande également aux organisations de « maintenir une stratégie de gestion des risques solide basée sur des normes communes, telles que le cadre de cybersécurité du NIST ». Javvad Malik, responsable de la sensibilisation à la sécurité chez KnowBe4, est du même avis.

« Les fonctions principales du cadre NIST offrent une approche globale de la gestion des risques liés aux outils RMM », explique-t-il à ISMS.online.

« Cela comprend la tenue d’un inventaire des systèmes dotés d’un logiciel RMM, l’application d’une authentification forte, la mise en œuvre d’analyses comportementales pour la détection des anomalies, le développement de manuels de réponse aux incidents spécifiques et la garantie que les plans de continuité des activités tiennent compte des dépendances des outils RMM. » Malik ajoute que la norme ISO 27001 peut également contribuer à atténuer les risques liés à l’utilisation de logiciels d’accès à distance.

« Les contrôles de la norme ISO 27001 sur la gestion des accès, la cryptographie, la sécurité des opérations et les relations avec les fournisseurs constituent une base solide », explique-t-il. « Par exemple, les organisations peuvent mettre en œuvre des processus formels de gestion des accès aux outils RMM, garantir des sessions à distance cryptées et configurer des alertes automatiques en cas d'activités inhabituelles. »

Ian Stretton, directeur EMEA chez Green Raven, cabinet de conseil en cybersécurité, convient que « la réussite de la cybersécurité repose sur des bases solides telles que la norme ISO 27001 ».

Il explique à ISMS.online que l’un des principes clés de ces approches est de déployer une surveillance continue soutenue par des renseignements sur les menaces.

« Ce phénomène est rendu encore plus évident par l’adoption de l’IA par les acteurs malveillants, qui représentent un défi pour les outils de défense basés sur l’IA », conclut Stretton.

« Le déploiement d’outils tels que des systèmes de détection d’anomalies qui surveillent spécifiquement les comportements suspects dans les processus d’IA – comme une mauvaise classification, des changements soudains dans la logique de prise de décision ou d’autres comportements – peut aider à lutter contre ce type de menace basée sur l’IA. »

Phil Muncaster

Phil Muncaster est journaliste informatique depuis 20 ans. Il a débuté comme journaliste sur le titre informatique d'entreprise IT Week en 2005 et a progressé jusqu'au poste de rédacteur en chef avant de quitter pour poursuivre une carrière indépendante. Depuis lors, Phil a écrit pour des titres tels que The Register, où il a travaillé comme correspondant en Asie alors qu'il était basé à Hong Kong pendant plus de deux ans, MIT Technology Review, SC Magazine, Infosecurity Magazine et d'autres.

Lire la suite de Phil Muncaster

La cyber-sécurité 6 Janvier 2026

Cinq tendances en matière de sécurité et de conformité à surveiller en 2026

À quoi ressembleront les 12 prochains mois pour les professionnels de la cybersécurité et de la conformité ? Nous avons passé au crible l’actualité et analysé les prévisions du secteur…

Phil Muncaster

La cyber-sécurité 11 December 2025

Une faille de sécurité liée à l'IA agentique est-elle inévitable en 2026 ?

Trois ans se sont peut-être écoulés depuis le lancement de ChatGPT, qui a donné le coup d'envoi à une nouvelle course technologique, mais tous les regards sont désormais tournés vers l'IA agentive. Ses partisans affirment qu'elle...

Phil Muncaster

Sécurité de l'Information 9 December 2025

Une année de conformité : cinq leçons apprises en 2025

Une année de conformité : cinq leçons tirées de 2025

Ces douze derniers mois ont une fois de plus démontré que le paysage de la cybersécurité est rarement à l'abri des incidents. Les failles de sécurité majeures coûtent cher aux organisations…

Phil Muncaster