Un leader du Magic Quadrant™ Gartner® 2025 pour la Protection des Endpoints. Cinq ans de suite.Un leader du Magic Quadrant™ Gartner®Lire le rapport
Votre entreprise est la cible d’une compromission ?Blog
Demander une démo Contactez nous
Header Navigation - FR
  • Plateforme
    Aperçu de la plateforme
    • Singularity Platform
      Bienvenue sur le site de la sécurité intégrée de l'entreprise
    • IA pour la sécurité
      Référence en matière de sécurité alimentée par l’IA
    • Sécurisation de l’IA
      Accélérez l’adoption de l’IA avec des outils, des applications et des agents d’IA sécurisés.
    • Comment ça marche
      La Différence de Singularity XDR
    • Singularity Marketplace
      Des intégrations en un clic pour libérer la puissance de XDR
    • Tarification et Packages
      Comparaisons et conseils en un coup d'œil
    Data & AI
    • Purple AI
      Accélérer le SecOps avec l'IA générative
    • Singularity Hyperautomation
      Automatiser facilement les processus de sécurité
    • AI-SIEM
      Le SIEM IA pour le SOC autonome
    • AI Data Pipelines
      Pipeline de données de sécurité pour SIEM IA et optimisation des données
    • Singularity Data Lake
      Propulsé par l'IA, unifié par le lac de données
    • Singularity Data Lake For Log Analytics
      Acquisition transparente de données à partir d'environnements sur site, en nuage ou hybrides
    Endpoint Security
    • Singularity Endpoint
      Prévention, détection et réaction autonomes
    • Singularity XDR
      Protection, détection et réponse natives et ouvertes
    • Singularity RemoteOps Forensics
      Orchestrer la criminalistique à l'échelle
    • Singularity Threat Intelligence
      Renseignement complet sur l'adversaire
    • Singularity Vulnerability Management
      Découverte d'actifs malhonnêtes
    • Singularity Identity
      Détection des menaces et réponse à l'identité
    Cloud Security
    • Singularity Cloud Security
      Bloquer les attaques avec un CNAPP alimenté par l'IA
    • Singularity Cloud Native Security
      Sécurisation des ressources de développement et de l'informatique en nuage
    • Singularity Cloud Workload Security
      Plateforme de protection des charges de travail en nuage en temps réel
    • Singularity Cloud Data Security
      Détection des menaces par l'IA
    • Singularity Cloud Security Posture Management
      Détecter les mauvaises configurations dans le cloud et y remédier
    Sécurisation de l’IA
    • Prompt Security
      Sécuriser les outils d’IA dans l’ensemble de l’entreprise
  • Pourquoi SentinelOne ?
    Pourquoi SentinelOne ?
    • Pourquoi SentineOne ?
      La Cybersécurité au service de l’avenir
    • Nos clients
      Reconnue par des Grandes Entreprises du monde entier
    • Reconnaissance du Marché
      Testé et Éprouvé par les Experts
    • A propos de nous
      Le Leader de l’Industrie de la Cybersécurité Autonome
    Comparer SentinelOne
    • Arctic Wolf
    • Broadcom
    • Crowdstrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Secteurs
    • Energie
    • Gouvernement Fédéral
    • Services Financiers
    • Santé
    • Enseignement Supérieur
    • Enseignement Primaire et Secondaire
    • Industrie
    • Vente au Détail
    • Collectivités territoriales
  • Services
    Services managés
    • Vue d’Ensemble des Services Managés
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Expertise de niveau mondial et Cyber Threat Intelligence.
    • Managed Detection & Response
      Services MDR experts 24/7/365 pour l’ensemble de votre environnement.
    • Incident Readiness & Response
      DFIR, préparation aux violations & évaluations de compromission.
    Support, Déploiement et Hygiène
    • Gestion Technique des Comptes
      Service Personnalisé pour la réussite de nos clients
    • SentinelOne GO
      Conseil pour l’Intégration et le Déploiement
    • SentinelOne University
      Formation live ou à la demande
    • Vue d’ensemble des Services
      Des solutions complètes pour des opérations de sécurité fluides
    • SentinelOne Community
      Connexion à la Communauté
  • Partenaires
    Notre réseau
    • Partenaires MSSP
      Réussir plus rapidement avec SentinelOne
    • Singularity Marketplace
      Etendez le pouvoir de la technologie S1
    • Partenaires Risques Cyber
      Enrôlez les équipes pour gérer les Réponses à Incident
    • Partenaires Technologiques
      Intégrée, la Solution Enterprise à grande échelle
    • SentinelOne pour AWS
      Hébergé dans les Régions AWS du Monde Entier
    • Partenaires commerciaux
      Apportons ensemble les meilleures solutions
    • SentinelOne for Google Cloud
      Sécurité unifiée et autonome offrant aux défenseurs un avantage à l’échelle mondiale.
    Aperçu de la plateforme→
  • Ressources
    Ressources
    • Fiches techniques
    • eBooks
    • Livres Blancs
    • Events
    Voir toutes les Ressources→
    Blog
    • Feature Spotlight
    • For CISO/CIO
    • From the Front Lines
    • Identité
    • Cloud
    • macOS
    • Blog SentinelOne
    Blog→
    Ressources Tech
    • SentinelLABS
    • Glossaire du Ransomware
    • Cybersecurity 101
  • A propos de
    A propos de SentinelOne
    • A propos de SentinelOne
      Le Leader de l’Industrie en Cybersécurité
    • SentinelLabs
      La Recherche sur les Menaces pour le Chasseur de Menaces Moderne
    • Carrières
      Les Dernières Offres d’Emploi
    • Press
      Annonces de l’Entreprise
    • Blog Cybersecurité
      Les dernières menaces en matière de cybersécurité
    • FAQ
      Obtenez des réponses aux questions les plus fréquentes
    • DataSet
      La Plateforme en live
    • S Foundation
      Assurer un Avenir Plus Sûr pour Tous
    • S Ventures
      Investir dans la Nouvelle Génération d’outils de Sécurité et de Données
Demander une démo Contactez nous
Background image for Attaques Living Off the Land (LOTL) : Guide de détection et de prévention
Cybersecurity 101/Sécurité des points finaux/Living Off the Land (LOTL)

Attaques Living Off the Land (LOTL) : Guide de détection et de prévention

Les attaques Living Off the Land (LOTL) utilisent des outils natifs du système d’exploitation comme PowerShell et WMI pour contourner les contrôles de sécurité. Ce guide couvre les étapes d’attaque, des campagnes réelles et des stratégies de défense.

CS-101_Endpoint.svg
Sommaire
Qu'est-ce que les attaques Living Off the Land (LOTL) ?
Techniques et outils derrière les attaques Living Off the Land
LOLBins courants et leurs usages malveillants
Comment fonctionnent les attaques Living Off the Land
Étape 1 : Accès initial
Étape 2 : Exécution
Étape 3 : Découverte et accès aux identifiants
Étape 4 : Mouvement latéral
Étape 5 : Persistance et impact
Pourquoi les attaques Living Off the Land réussissent-elles ?
Campagnes LOTL réelles : acteurs étatiques et opérateurs de ransomware
Défis pour stopper les attaques Living Off the Land
Comment détecter les attaques Living Off the Land
Signaux comportementaux à surveiller
Sources de journaux importantes
Erreurs courantes dans la défense contre le Living Off the Land
Comment prévenir les attaques Living Off the Land
Points clés à retenir

Articles similaires

  • Qu'est-ce que le sandboxing en cybersécurité ? Détection des menaces
  • Qu'est-ce que le MEDR (Managed EDR) ?
  • EDR vs CDR : différences en matière de détection et de réponse
  • XDR vs SIEM vs SOAR : comprendre les différences
Auteur: SentinelOne
Mis à jour: May 8, 2026

Qu'est-ce que les attaques Living Off the Land (LOTL) ?

Un attaquant reste à l'intérieur de votre réseau pendant une période prolongée. Aucun malware personnalisé. Aucun exécutable suspect. Chaque action utilise des outils fournis avec votre système d'exploitation. C'est la réalité documentée de Volt Typhoon, un acteur de la menace parrainé par l'État chinois qui a maintenu un accès à des infrastructures critiques américaines, y compris les communications, l'énergie, les transports et les systèmes d'eau, en utilisant des outils système natifs et des identifiants valides, selon un avis de la CISA.

Le living off the land, ou LOTL, est une catégorie de comportements adverses qui abusent des outils et processus natifs déjà présents sur un système cible. Les attaquants utilisent ces binaires de confiance préinstallés, appelés Living Off the Land Binaries ou LOLBins, pour se fondre dans l'activité normale du système, opérer discrètement et éviter de déclencher les contrôles de sécurité. Les recommandations de la CISA publiées en mars 2025 définissent cette approche comme permettant aux acteurs de la menace « d'éviter d'investir dans le développement et le déploiement d'outils personnalisés » tout en réduisant leur probabilité d'être détectés ou bloqués.

LOTL opère sur Windows, Linux, macOS, cloud et environnements hybrides. Sur macOS, le concept équivalent est appelé « Living Off the Orchard », ou LOOBins. La technique couvre tout le cycle de vie de l'attaque, de l'exécution initiale à la persistance, le mouvement latéral, l'accès aux identifiants et l'exfiltration de données. Pour les défenseurs, cela signifie que la visibilité comportementale et un contrôle strict des outils de confiance sont plus importants que les signatures de fichiers connus comme malveillants.

Au lieu d'écrire des malwares que les outils de sécurité peuvent détecter par signature et mettre en quarantaine, les attaquants utilisent PowerShell, WMI, certutil et d'autres outils utilisés quotidiennement par les équipes IT. Votre antivirus leur fait confiance. Vos listes d'autorisation les approuvent. Votre SIEM les attend. Les propres équipes rouges de la CISA « utilisent fréquemment des techniques LOTL connues publiquement pour l'exécution, la persistance, le mouvement latéral, la découverte et l'accès aux identifiants, les défenseurs réseau détectant rarement leur activité », selon les recommandations 2025. Pour comprendre pourquoi cela fonctionne si bien, commencez par les techniques et outils spécifiques sur lesquels les attaquants s'appuient.

Techniques et outils derrière les attaques Living Off the Land

Les attaques LOTL partagent un ensemble commun de composants. Comprendre ces éléments aide à distinguer l'administration de routine de l'intrusion active.

  • Living Off the Land Binaries (LOLBins) : Il s'agit d'exécutables natifs, signés par l'OS, que les attaquants détournent. Le projet LOLBAS, référencé directement par la CISA, catalogue les LOLBins Windows, tandis que GTFOBins couvre Unix/Linux et LOOBins couvre macOS.
  • Identifiants valides : LOTL fonctionne rarement sans comptes volés ou compromis. Volt Typhoon a utilisé des identifiants d'administrateur de domaine compromis pour le mouvement latéral RDP à travers les réseaux victimes.
  • Exécution sans fichier : Les charges utiles s'exécutent en mémoire ou via des logiciels existants sans écrire de fichiers exécutables sur le disque. Cela aide les attaquants à éviter les signatures antivirus. Une technique documentée par SANS utilise Get-Clipboard de PowerShell combiné à Invoke-Expression pour exécuter du code qui évite les IOC.
  • Exécution par proxy de binaires système : Classée sous MITRE T1218, cela consiste à utiliser des binaires de confiance et signés pour exécuter des charges utiles malveillantes. Le binaire est légitime, souvent signé par Microsoft, mais la charge utile qu'il lance ne l'est pas.
  • Interpréteurs de commandes et de scripts : PowerShell (T1059.001), Windows Command Shell (T1059.003) et les shells Unix (T1059.004) offrent aux attaquants des capacités complètes de scripting via des outils dont votre entreprise dépend.

Chacune de ces techniques s'articule autour d'un petit ensemble de binaires qui apparaissent campagne après campagne.

LOLBins courants et leurs usages malveillants

Le tableau ci-dessous associe les LOLBins les plus fréquemment abusés à leur fonction prévue et à la manière dont les attaquants les détournent.

BinaireUsage légitimeAbus par l'attaquantMITRE ID
PowerShellAdministration système, automatisationExécution de code en mémoire, collecte d'identifiants

T1059.001

WMI / WMICGestion à distance du système, inventaireExécution de processus à distance, persistance

T1047

certutil.exeGestion des certificatsTéléchargement de fichiers, encodage/décodage Base64

T1105

rundll32.exeChargement de fonctions DLLExécution par proxy de DLL malveillantes

T1218.011

mshta.exeExécution d'applications HTMLExécution de charges utiles HTA malveillantes depuis des URLs distantes

T1218.005

netsh.exeConfiguration réseauRedirection de ports, modification des règles de pare-feu

T1090.001

Ces composants se combinent pour créer des chaînes d'attaque difficiles à détecter si vos outils reposent principalement sur des signatures connues ou la réputation des binaires. L'étape suivante consiste à comprendre comment les attaquants les enchaînent.

Comment fonctionnent les attaques Living Off the Land

Une chaîne d'attaque LOTL typique se déroule en plusieurs étapes, chacune utilisant des outils natifs présents sur le système.

Étape 1 : Accès initial

L'attaquant obtient un accès via un e-mail de phishing, une vulnérabilité exploitée ou un identifiant compromis. Volt Typhoon a exploité des équipements réseau exposés. La campagne « Nearest Neighbor » d'APT28 a utilisé le Wi-Fi à proximité de la cible pour obtenir un accès initial.

Étape 2 : Exécution

Plutôt que de déposer un binaire personnalisé, l'attaquant invoque des interpréteurs natifs. PowerShell exécute du code en mémoire. WMI lance des processus à distance. L'opération de ransomware Black Basta a utilisé WMI via Cobalt Strike pour déployer des charges utiles sur les réseaux victimes, enchaînant des outils système natifs pour l'exécution latérale.

Étape 3 : Découverte et accès aux identifiants

Des outils comme ntdsutil extraient les bases de données Active Directory. La CISA a documenté Volt Typhoon exécutant la commande ntdsutil "ac i ntds" ifm "create full C:\Windows\Temp\pro" pour extraire des identifiants. PowerShell interroge les journaux d'événements. net localgroup administrators cartographie les frontières de privilèges.

Étape 4 : Mouvement latéral

Les sessions RDP utilisent des identifiants administrateur valides. SMB transfère des fichiers entre hôtes. netsh crée des règles de proxy de port pour rediriger le trafic. Chaque étape utilise un outil que votre équipe IT pourrait utiliser pour une raison légitime.

Étape 5 : Persistance et impact

Les tâches planifiées, les abonnements WMI et les modifications du registre maintiennent l'accès. Dans les opérations de ransomware, le chiffreur lui-même peut être le seul outil non natif de la chaîne, déployé uniquement après que l'attaquant a utilisé des LOLBins pour cartographier, accéder et préparer chaque cible.

L'ensemble du processus s'aligne sur plusieurs tactiques ATT&CK, de l'exécution à l'évasion des défenses, la persistance, l'accès aux identifiants, le command and control et le mouvement latéral. Découper LOTL en étapes montre pourquoi les contrôles de sécurité le manquent si souvent : l'avantage réel de l'attaquant vient de la façon dont votre environnement est conçu pour faire confiance à ces outils.

Pourquoi les attaques Living Off the Land réussissent-elles ?

Les attaques LOTL réussissent parce qu'elles exploitent les hypothèses architecturales intégrées à votre pile de sécurité et à vos flux opérationnels.

  • Fiables par conception. Les LOLBins possèdent des empreintes et des signatures numériques valides émises par le fournisseur du système d'exploitation. La CISA indique que ces « attributs de confiance peuvent induire en erreur les défenseurs réseau » en leur faisant croire qu'ils sont sûrs pour tous les utilisateurs.
  • Invisibles aux signatures. Une étude évaluée par des pairs dans Cybersecurity documente un contournement spécifique : les attaquants insèrent des caractères spéciaux dans le code en ligne de commande que l'interpréteur Windows supprime à l'exécution, ce qui fait que la commande exécutée diffère de celle évaluée par les règles.
  • Cachées dans la journalisation par défaut. La CISA confirme que les techniques LOTL visent délibérément à « limiter l'activité dans les journaux ». Si vous utilisez la journalisation Windows par défaut, vous n'avez pas les arguments de ligne de commande, le contenu des blocs de script PowerShell et les chaînes d'ascendance des processus.
  • Amplifiées par la fatigue des alertes. Des règles larges sur les LOLBins génèrent un volume élevé de faux positifs. L'avis de la CISA sur le ciblage du GRU russe avertit que « plus d'heuristiques sont nécessaires » pour une chasse efficace des binaires LOTL afin d'éviter d'être submergé par les faux positifs. Lorsque les analystes cessent de faire confiance aux alertes, les opérateurs LOTL disposent de plus de marge de manœuvre.
  • Prolongées par le temps de présence. Volt Typhoon a persisté pendant une période prolongée. Chaque jour sans identification est un jour de plus pour la reconnaissance, la collecte d'identifiants et la préparation.

Ces conditions rendent LOTL difficile à détecter même dans des environnements matures. Les campagnes réelles montrent comment ces avantages se manifestent en pratique.

Campagnes LOTL réelles : acteurs étatiques et opérateurs de ransomware

Comprendre comment de vrais adversaires enchaînent les LOLBins concrétise la menace.

  • Volt Typhoon (RPC) a maintenu un accès aux systèmes de communications, d'énergie, de transport et d'eau américains sur une longue période. Les outils documentés incluent wmic, ntdsutil, netsh, PowerShell et RDP, tous documentés dans le profil Volt Typhoon.
  • APT28 / Fancy Bear (Russie/GRU) a mené la campagne Nearest Neighbor sur plusieurs années, utilisant reg save pour extraire les hives SAM, vssadmin pour l'extraction de NTDS.dit, netsh portproxy pour des proxys internes, et PowerShell pour l'accès aux identifiants et la compression des données avant exfiltration.
  • FIN7 utilise PowerShell avec une obfuscation personnalisée, POWERTRASH, une version modifiée de PowerSploit, rundll32.exe pour l'exécution de DLL, et des comptes valides selon le profil FIN7 sur des cibles financières.

Le schéma de ces campagnes est cohérent : outils de confiance, identifiants valides et code personnalisé minimal. Ce schéma révèle également les défis spécifiques auxquels les défenseurs sont confrontés.

Défis pour stopper les attaques Living Off the Land

Même les organisations dotées de programmes de sécurité matures peinent face à LOTL car les techniques exploitent des lacunes que les outils traditionnels n'ont pas été conçus pour traiter.

  • Effondrement du contexte à grande échelle. La même commande PowerShell peut représenter une administration de routine ou une intrusion active. Dans les environnements ICS/OT, SANS documente la forme extrême : des adversaires ont modifié des HMI et reprogrammé des contrôleurs en utilisant des workflows d'ingénierie standard.
  • Défaillances structurelles du SIEM. Les SIEM échouent face à LOTL à cause de lacunes de couverture des journaux, comme l'absence d'arguments de ligne de commande dans les configurations par défaut, la fragilité des règles, comme la correspondance de motifs statiques sur des comportements qui ne correspondent à aucun motif malveillant connu, et la paralysie due aux faux positifs.
  • Lacunes de visibilité cloud et hybride. SANS identifie que les attaquants abusent désormais des outils cloud pour obtenir des privilèges administratifs et se déplacer latéralement entre environnements cloud. Si vos défenses ne couvrent que les endpoints Windows, elles sont insuffisantes.
  • Convergence entre acteurs étatiques et ransomware. La cartographie MITRE ATT&CK montre que les acteurs étatiques, dont Volt Typhoon et APT28, et les opérateurs de ransomware, dont Black Basta et FIN7, utilisent désormais des techniques presque identiques : PowerShell, RDP, WMI, ntdsutil et exécution par proxy de binaires système. Vous ne pouvez pas cloisonner vos défenses par type d'acteur de menace.

Ces défis se répercutent directement sur les opérations quotidiennes. Les surmonter commence par savoir à quoi ressemble l'activité LOTL dans votre télémétrie.

Comment détecter les attaques Living Off the Land

L'activité LOTL manque d'indicateurs de compromission traditionnels. La détection nécessite de déplacer l'attention de ce qui s'exécute vers comment et pourquoi cela s'exécute, en utilisant le contexte comportemental plutôt que la réputation des fichiers.

Signaux comportementaux à surveiller

Les recommandations conjointes 2025 de la CISA recommandent d'appliquer des heuristiques comme l'heure de la journée, le rôle utilisateur et l'ascendance des processus pour distinguer l'usage malveillant de l'usage routinier des LOLBins. Les signaux à forte valeur ajoutée incluent :

  • PowerShell ou cmd.exe lancé par des applications Office (Word, Excel, Outlook)
  • ntdsutil ou vssadmin exécuté par des comptes non administratifs
  • certutil utilisé pour télécharger des fichiers plutôt que pour la gestion des certificats
  • netsh créant des règles de proxy de port ou modifiant la configuration du pare-feu en dehors des fenêtres de changement
  • rundll32.exe chargeant des DLL depuis des répertoires temporaires ou accessibles en écriture par l'utilisateur
  • Création de tâche planifiée ou d' abonnement WMI en dehors des fenêtres de maintenance

SANS préconise une approche de baseline flexible utilisant des expressions régulières PowerShell appliquées aux champs des journaux d'événements, en affinant les règles de manière itérative à mesure que vous apprenez les schémas normaux de votre environnement. Ces signaux n'apparaissent que si la bonne télémétrie alimente votre analyse.

Sources de journaux importantes

Les configurations de journalisation par défaut manquent la plupart des activités LOTL. La CISA priorise l'activation des éléments suivants :

  • Journalisation ScriptBlock et Module de PowerShell
  • Audit de création de processus en ligne de commande (Event ID 4688 avec arguments)
  • Sysmon pour la création de processus, les connexions réseau et les événements de fichiers
  • Journalisation de l'activité WMI (Event IDs 5857–5861)

Regroupez ces journaux dans un emplacement centralisé, en écriture unique, et appliquez l'analyse comportementale des utilisateurs et des entités (UEBA) pour faire ressortir les anomalies par rapport aux baselines établies.

Même avec la bonne télémétrie, les équipes commettent souvent des erreurs évitables qui compromettent leur posture de détection.

Erreurs courantes dans la défense contre le Living Off the Land

Les équipes de sécurité qui reconnaissent la menace LOTL sapent encore leurs propres défenses par des lacunes opérationnelles récurrentes.

  1. Politiques d'autorisation globales pour les LOLBins. Supposer que les outils IT légitimes sont sûrs à autoriser globalement élargit la surface d'attaque. Les recommandations 2025 de la CISA mettent explicitement en garde contre cela.
  2. Utilisation des configurations de journalisation par défaut. Si vous n'avez pas activé la journalisation ScriptBlock PowerShell, la journalisation des modules, l'audit de création de processus en ligne de commande et la journalisation de l'activité WMI, il vous manque la télémétrie nécessaire à l'analyse LOTL.
  3. Considérer l'absence d'alertes comme l'absence de compromission. Le silence n'est pas synonyme de sécurité.
  4. Appliquer des playbooks IT à l'ICS/OT. SANS avertit que les contrôles IT peuvent causer des dommages s'ils sont appliqués directement aux environnements industriels.
  5. Remplacer la compétence analyste par des outils. Les outils complètent mais ne remplacent pas la capacité d'analyse pour l'évaluation du contexte LOTL. Construire des règles sans investir dans la chasse aux menaces ne produit que du bruit, pas de la défense.

Éviter ces erreurs commence par des contrôles qui améliorent la visibilité, réduisent l'abus de confiance et donnent plus de contexte aux analystes.

Comment prévenir les attaques Living Off the Land

La prévention vise à réduire la surface d'attaque exploitée par LOTL : accès trop permissif aux outils, authentification faible et contraintes insuffisantes sur les environnements de scripting.

  • Activez une journalisation centralisée et détaillée. La priorité de la CISA est une journalisation étendue, agrégée dans un emplacement hors bande, en écriture unique. Sans télémétrie détaillée couvrant PowerShell, la création de processus et l'activité WMI, l'analyse comportementale n'a rien à exploiter.
  • Déployez la liste d'autorisation des applications. Utilisez AppLocker ou Windows Defender Application Control, WDAC, pour restreindre l'exécution des LOLBins par utilisateur, chemin et éditeur. Bloquez ou restreignez mshta.exe, psexec.exe, certutil.exe, wmic.exe et rundll32.exe sauf pour les comptes administratifs approuvés. Commencez en mode audit avant de faire appliquer.
  • Appliquez le mode PowerShell Constrained Language. CLM limite les capacités avancées de scripting, bloquant les méthodes .NET comme [Convert]::FromBase64String() tout en préservant les fonctionnalités de base des cmdlets. Combinez-le avec la stratégie d'exécution AllSigned et Just Enough Administration, ou JEA.
  • Mettez en œuvre une MFA résistante au phishing. La CISA en fait une priorité immédiate pour la défense contre LOTL. Appliquez la MFA spécifiquement pour l'accès RDP, VPN et aux logiciels de gestion et surveillance à distance (RMM) selon les recommandations RMM de la CISA.
  • Adoptez une architecture Zero Trust. La CISA et la NSA recommandent fortement Zero Trust comme stratégie à long terme. LOTL réussit parce que les défenses périmétriques font implicitement confiance aux outils internes et aux sessions authentifiées. Zero Trust supprime cette confiance implicite via la microsegmentation, l'accès au moindre privilège et la vérification continue.

Ces pratiques augmentent le coût du LOTL pour un attaquant. Pour les appliquer à la vitesse machine, vous avez besoin d'une plateforme centrée sur le contexte comportemental.

Protégez votre point d'accès

Découvrez comment la sécurité des points finaux alimentée par l'IA de SentinelOne peut vous aider à prévenir, détecter et répondre aux cybermenaces en temps réel.

Obtenir une démonstration

Points clés à retenir

Les attaques Living Off the Land abusent des outils système natifs et de confiance pour échapper aux défenses basées sur les signatures. Les acteurs étatiques et les opérateurs de ransomware utilisent désormais des techniques LOTL similaires sur Windows, Linux, cloud et environnements OT. 

Pour les arrêter, il vous faut une journalisation détaillée, des baselines comportementaux, le contrôle des applications, une architecture Zero Trust et une cybersécurité comportementale par IA capable de distinguer l'intention malveillante de l'utilisation légitime des outils. Les plateformes qui corrèlent automatiquement l'ensemble des chaînes d'attaque, comme Singularity, remplacent la charge d'investigation manuelle exploitée par LOTL.

FAQ

Une attaque living off the land est un type de comportement d’adversaire où les attaquants utilisent des outils système natifs, préinstallés, et des binaires de confiance, plutôt que des malwares personnalisés, pour atteindre leurs objectifs. 

En s’appuyant sur des outils comme PowerShell, WMI et certutil déjà présents et approuvés sur le système cible, les attaquants se fondent dans l’activité administrative normale et évitent de déclencher les contrôles de sécurité basés sur les signatures.

LOTL se concentre sur la source des outils, en abusant des binaires système légitimes et préinstallés. Les malwares sans fichier se concentrent sur la méthode d’exécution, en évitant d’écrire des fichiers sur le disque. Ils se recoupent souvent : un attaquant peut exécuter une charge utile PowerShell sans fichier à l’aide d’un binaire natif du système d’exploitation. 

Cependant, les attaques sans fichier peuvent utiliser des outils personnalisés, et LOTL peut impliquer l’écriture de fichiers sur le disque via des binaires de confiance et signés, comme ceux classés sous MITRE ATT&CK T1218.

PowerShell (T1059.001), WMI/WMIC (T1047), rundll32.exe (T1218.011), certutil.exe (T1105) et cmd.exe (T1059.003) apparaissent fréquemment dans les campagnes documentées. Les attaquants privilégient ces binaires car ils sont préinstallés, signés numériquement par l’éditeur du système d’exploitation et capables d’exécuter du code, de télécharger des fichiers ou de lancer des processus sans générer d’alertes. 

Le projet LOLBAS maintient le catalogue de référence pour Windows, tandis que GTFOBins couvre Linux et LOOBins couvre macOS.

Les antivirus traditionnels basés sur les signatures ne le peuvent pas, car les LOLBins possèdent des empreintes et des signatures numériques valides du fournisseur du système d’exploitation. Une protection des endpoints basée sur l’IA comportementale le peut, en suivant les relations entre processus, les arguments de ligne de commande et les écarts par rapport aux bases de référence établies en temps réel. 

Votre plateforme doit corréler les chaînes de processus à travers les endpoints, les systèmes d’identité et la télémétrie réseau pour détecter les comportements LOTL. Sans cette visibilité inter-domaines, les événements LOTL individuels paraissent bénins.

Commencez par le contexte comportemental, pas par les noms de binaires. Recherchez PowerShell lancé depuis des applications Office, l’exécution de ntdsutil par des comptes non administrateurs, ou certutil utilisé pour des téléchargements de fichiers. CISA recommande d’utiliser des heuristiques supplémentaires, telles que l’heure de la journée, le rôle utilisateur et l’ascendance des processus, pour filtrer les résultats. 

SANS préconise une approche de base flexible utilisant des expressions régulières appliquées aux champs des journaux d’événements. Affinez les règles de manière itérative à mesure que vous apprenez les schémas normaux de votre environnement.

Les malwares personnalisés laissent des artefacts uniques que les équipes de renseignement sur les menaces peuvent identifier, attribuer et pour lesquels elles peuvent créer des signatures. LOTL réduit ce risque car chaque commande utilise un outil légitime du système. 

CISA confirme que les acteurs PRC utilisent LOTL spécifiquement pour « se fondre dans les activités système et réseau normales, éviter l’identification par les défenses réseau et limiter la quantité d’activité enregistrée dans les configurations de journalisation courantes ».

En savoir plus sur Sécurité des points finaux

Politique efficace de sécurité des terminaux en 2025Sécurité des points finaux

Politique efficace de sécurité des terminaux en 2025

Découvrez comment créer une politique de sécurité des terminaux robuste pour 2025. Ce guide couvre les éléments essentiels, les meilleures pratiques et les stratégies pour protéger votre organisation contre les cybermenaces modernes.

En savoir plus
MSSP ou MDR : lequel choisir ?Sécurité des points finaux

MSSP ou MDR : lequel choisir ?

En matière de cybersécurité, les MSSP et les MDR sont deux acteurs clés. Mais quelle est la différence entre les deux ?

En savoir plus
Sécurité des terminaux pour les entreprises : aperçu rapideSécurité des points finaux

Sécurité des terminaux pour les entreprises : aperçu rapide

Découvrez les principes fondamentaux de la sécurité des terminaux pour les entreprises. Apprenez à protéger les appareils de votre entreprise contre les cybermenaces, à garantir la protection des données et à maintenir la sécurité du réseau grâce à des solutions pratiques.

En savoir plus
Qu'est-ce qu'un terminal en cybersécurité ?Sécurité des points finaux

Qu'est-ce qu'un terminal en cybersécurité ?

Les terminaux sont des passerelles vers des données sensibles, ce qui en fait des cibles privilégiées pour les cyberattaques. Une sécurité efficace des terminaux implique l'utilisation d'outils tels que des antivirus, des pare-feu et le chiffrement pour détecter et atténuer les menaces.

En savoir plus
Sécurité des points finaux qui arrête les menaces à une vitesse plus rapide et à une échelle plus grande que ce qui est humainement possible.

Sécurité des points finaux qui arrête les menaces à une vitesse plus rapide et à une échelle plus grande que ce qui est humainement possible.

Une plateforme intelligente pour une visibilité supérieure et une prévention, une détection et une réponse à l'échelle de l'entreprise sur l'ensemble de votre surface d'attaque, des points d'extrémité et des serveurs aux appareils mobiles.

Sécuriser le point final
  • Commencer
  • Demander une démo
  • Visite guidée produit
  • Pourquoi SentinelOne
  • Tarification et Packages
  • FAQ
  • Contact
  • Contactez-nous
  • Support
  • SentinelOne Status
  • Langue
  • Plateforme
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Gestion Technique des Comptes
  • Services de Support
  • Secteurs
  • Energie
  • Gouvernement Fédéral
  • Services Financiers
  • Santé
  • Enseignement Supérieur
  • Enseignement Primaire et Secondaire
  • Industrie
  • Vente au Détail
  • Collectivités territoriales
  • Cybersecurity for SMB
  • Ressources
  • Blog
  • Labs
  • Visite guidée produit
  • Events
  • Cybersecurity 101
  • eBooks
  • Livres Blancs
  • Presse
  • News
  • Glossaire du Ransomware
  • Société
  • A propos de
  • Nos clients
  • Carrières
  • Partenaires
  • Réglementation & Conformité
  • Sécurité & Conformité
  • S Foundation
  • S Ventures

©2026 SentinelOne, tous droits réservés.

Avis de confidentialité Conditions d'utilisation

Français