Aller au contenu
FortaRisks
Retour au glossaireAttaques et incidents

Living off the land (LOLBins)

Le living off the land désigne une technique où l'attaquant utilise les outils légitimes déjà présents sur le système (PowerShell, WMI, utilitaires d'administration) plutôt que d'introduire son propre logiciel malveillant. En se fondant dans l'activité normale, il échappe aux défenses fondées sur la détection de fichiers malveillants.

Mis à jour le 2 juillet 2026

Qu'est-ce que le living off the land ?

Le living off the land, littéralement « vivre sur le pays », est une approche par laquelle l'attaquant s'appuie sur les outils déjà installés et légitimes de l'environnement cible plutôt que d'y déposer ses propres programmes malveillants. Il utilise les mêmes utilitaires que les administrateurs système : interpréteurs de commandes, outils de gestion à distance, scripts intégrés.

L'intérêt pour l'attaquant est double : il laisse peu de traces déposées sur le disque, et son activité ressemble à celle d'un administrateur légitime, ce qui la rend difficile à distinguer du trafic normal.

Pourquoi c'est important pour votre organisation

Cette technique met en échec les défenses centrées sur la reconnaissance de logiciels malveillants. Il n'y a pas de fichier suspect à repérer, pas de signature connue à bloquer : l'attaquant emprunte des outils que vous ne pouvez pas simplement supprimer, car ils sont nécessaires à l'administration.

La conséquence est un changement de paradigme défensif : la détection doit se déplacer du « quel fichier » vers le « quel comportement ». C'est précisément ce que structure le référentiel MITRE ATT&CK.

Comment réduire le risque

  • Détection comportementale : repérer l'usage anormal d'outils légitimes.
  • Moindre privilège : limiter qui peut exécuter PowerShell, WMI ou des outils d'administration.
  • Journalisation avancée : activer les journaux détaillés (scripts, lignes de commande).
  • Restriction applicative : encadrer l'exécution des interpréteurs et utilitaires sensibles.

Où les organisations pèchent le plus souvent

L'écueil principal est de se reposer sur l'antivirus traditionnel, aveugle à ces attaques puisqu'aucun logiciel malveillant n'est déposé. L'autre erreur est de ne pas journaliser suffisamment l'activité des outils d'administration : sans ces traces, l'enquête après incident devient très difficile, et la détection en temps réel impossible.

Questions fréquentes

Que sont les LOLBins ?

LOLBins signifie Living Off the Land Binaries : ce sont les exécutables et scripts légitimes du système d'exploitation détournés par les attaquants. PowerShell, WMI, PsExec ou certutil en sont des exemples courants. Comme ce sont des outils normaux et signés, leur simple présence n'est pas suspecte, ce qui complique la détection.

Comment détecter une attaque living off the land ?

Non pas en cherchant des fichiers malveillants, qui n'existent pas ici, mais en analysant le comportement : un outil d'administration utilisé à une heure inhabituelle, par un compte qui ne s'en sert jamais, ou dans un enchaînement anormal. La détection comportementale et la cartographie MITRE ATT&CK sont ici essentielles.

Voyez votre vrai risque en 30 minutes de démo.

Un membre de notre équipe vous guide dans FortaRisks sur des menaces pertinentes pour votre secteur. Sans chatbot.