Lorsqu’on évoque les attaques informatiques, l’imaginaire collectif se tourne spontanément vers des menaces hautement techniques. On pense aux exploits zéro-day, à des chaînes complexes de vulnérabilités, à des attaques ciblées d’une rare sophistication. Pourtant, dans la grande majorité des cas, ce n’est pas par-là que les incidents commencent.
Dans le monde réel, les attaquants privilégient des chemins plus simples, moins coûteux, souvent basés sur des négligences connues et documentées depuis longtemps. Et c’est précisément ce qui les rend efficaces.Les rapports d’incidents publiés par des acteurs publics comme l’ANSSI ou privés comme Verizon ou Mandiant convergent vers un même constat : la majorité des compromissions exploitent des vecteurs accessibles. Ce sont des mots de passe faibles, des logiciels non mis à jour, des services exposés sans contrôle, ou des comportements utilisateurs détournés par ingénierie sociale. Autrement dit, des failles banales, mais suffisantes.
« Prenons un exemple concret : le phishing ».
Cette méthode n’exige aucun exploit technique, aucune vulnérabilité système. Elle repose uniquement sur une interaction humaine, souvent rendue possible par un manque de vigilance ou un excès de confiance. Un courriel, un document joint, un lien piégé suffisent à initier une compromission.
De même, les vulnérabilités connues mais non corrigées restent une cible privilégiée. Il n’est pas rare de voir des infrastructures compromises via des CVE publiées depuis plusieurs mois, voire plusieurs années. Ce retard dans l’application des correctifs est exploité méthodiquement, à grande échelle, par des acteurs aux profils très variés : groupes cybercriminels, APT, botnets opportunistes.
À cela s’ajoutent les environnements mal segmentés, les systèmes exposés inutilement sur Internet, ou encore l’absence de contrôle des privilèges. Tous ces éléments facilitent les mouvements latéraux, l’élévation de privilèges ou la persistance. Ils n’ont rien de spectaculaire, mais ils sont redoutablement efficaces lorsqu’ils sont combinés.
« L’attrait pour les exploits zéro-day repose souvent sur une illusion de rareté et de danger extrême. »
Ces failles existent, bien sûr, et certaines sont redoutables. Mais elles sont rarement nécessaires. Pour un attaquant, il est bien plus rentable d’exploiter une faille déjà publique sur un système non à jour, que de miser sur une vulnérabilité coûteuse à développer ou acquérir.
Ce constat doit interroger la façon dont les organisations conçoivent leur sécurité. Une posture défensive ne se limite pas à la détection des menaces sophistiquées. Elle repose avant tout sur une hygiène de base : inventaire des assets, gestion des vulnérabilités, politique de mise à jour, authentification robuste, contrôle des accès et sensibilisation des utilisateurs.
Tant que ces fondamentaux ne seront pas maîtrisés, les attaquants n’auront pas besoin d’innovations techniques pour atteindre leurs objectifs.
Image généré par IA, portrait de [Marc Frederic Gomez].
