Living off the Land : vos outils légitimes deviennent vos pires attaquants

En 2026, la majorité des attaques sophistiquées ne déposent plus aucun malware sur vos systèmes. Les attaquants utilisent vos consoles d'administration, vos OAuth, vos installeurs officiels. C'est le « Living off the Land » (LotL) — et il fait sauter les détections classiques.

4 incidents Q1 2026 qui dessinent la même tendance

1. Stryker (mars). Le groupe iranien Handala vole une seule credential, accède à Microsoft Intune (l'outil légitime de gestion des postes), et wipe 80 000 machines dans 79 pays. Pas un seul exécutable malveillant déposé. 2. MuddyWater. Détourne Microsoft Teams pour voler des credentials, puis affiche une fausse bannière de ransomware comme diversion (false flag). Vos collaborateurs cliquent sur un lien Teams interne — l'authentification semble normale. 3. OAuth abuse en explosion. Les attaquants n'ont plus besoin de phishing classique. Ils créent des applications OAuth tierces qui demandent des permissions étendues sur vos boîtes mail, vos drives, vos calendriers. Vos utilisateurs cliquent sur « Autoriser » — c'est légal, signé, et invisible aux EDR. 4. DAEMON Tools. Compromission de l'installeur officiel distribué par le vendeur. Vos équipes installent un logiciel signé, validé par votre antivirus — qui contient une backdoor.

Pourquoi vos EDR ne voient plus rien

Les EDR ont été conçus pour détecter un binaire suspect. Mais quand l'attaquant utilise : • Un outil légitime déjà signé Microsoft (Intune, Teams, PowerShell) • Une credential authentique (volée, mais valide) • Une session OAuth approuvée par l'utilisateur lui-même Il n'y a rien à détecter au niveau du binaire. Les comportements semblent normaux. Le bruit légitime cache le signal malveillant.

Les 5 mesures défensives à appliquer cette semaine

1. Chasser les permissions OAuth tierces. Auditez chaque application OAuth connectée à votre Microsoft 365 / Google Workspace. Bloquez les permissions inutilisées depuis 90 jours. 2. Restreindre les outils d'admin par identité ET réseau. Microsoft Intune, Azure AD, AWS console : MFA obligatoire + restrictions IP + monitoring des sessions admin avec alertes. 3. Surveiller les comportements, pas les binaires. Migration des règles de détection vers du UEBA (User Entity Behavior Analytics) qui flag les déviations de pattern, pas les exécutables. 4. Vérifier l'intégrité des installeurs. Mettre en place une validation hash + signature pour tout logiciel installé. Refuser les mises à jour qui ne correspondent pas à la chaîne de confiance habituelle. 5. Réduire le temps entre credential leak et révocation. Connecter votre annuaire au flux dark web pour révoquer automatiquement les credentials qui apparaissent en circulation.

Conclusion

L'ère où « détecter un malware » = « détecter une attaque » est terminée. En 2026, les attaquants jouent dans votre cour, avec vos outils, sous vos yeux. La défense moderne n'est plus une question de signatures — c'est une question de contexte comportemental et de réduction des privilèges. Sans visibilité sur l'usage réel de vos outils légitimes, vous ne défendez plus rien. Vous validez juste a posteriori.

→ Découvrir comment FortaRisks corrèle CTI et comportements pour détecter le LotL : https://www.fortarisks.com/decouvrir