Qu'est-ce que le living off the land ?
Le living off the land, littéralement « vivre sur le pays », est une approche par laquelle l'attaquant s'appuie sur les outils déjà installés et légitimes de l'environnement cible plutôt que d'y déposer ses propres programmes malveillants. Il utilise les mêmes utilitaires que les administrateurs système : interpréteurs de commandes, outils de gestion à distance, scripts intégrés.
L'intérêt pour l'attaquant est double : il laisse peu de traces déposées sur le disque, et son activité ressemble à celle d'un administrateur légitime, ce qui la rend difficile à distinguer du trafic normal.
Pourquoi c'est important pour votre organisation
Cette technique met en échec les défenses centrées sur la reconnaissance de logiciels malveillants. Il n'y a pas de fichier suspect à repérer, pas de signature connue à bloquer : l'attaquant emprunte des outils que vous ne pouvez pas simplement supprimer, car ils sont nécessaires à l'administration.
La conséquence est un changement de paradigme défensif : la détection doit se déplacer du « quel fichier » vers le « quel comportement ». C'est précisément ce que structure le référentiel MITRE ATT&CK.
Comment réduire le risque
- Détection comportementale : repérer l'usage anormal d'outils légitimes.
- Moindre privilège : limiter qui peut exécuter PowerShell, WMI ou des outils d'administration.
- Journalisation avancée : activer les journaux détaillés (scripts, lignes de commande).
- Restriction applicative : encadrer l'exécution des interpréteurs et utilitaires sensibles.
Où les organisations pèchent le plus souvent
L'écueil principal est de se reposer sur l'antivirus traditionnel, aveugle à ces attaques puisqu'aucun logiciel malveillant n'est déposé. L'autre erreur est de ne pas journaliser suffisamment l'activité des outils d'administration : sans ces traces, l'enquête après incident devient très difficile, et la détection en temps réel impossible.