La commande et contrôle, presque toujours écrite C2, est le système nerveux d'une intrusion moderne. Une fois qu'un attaquant parvient à déposer un malware sur un système, ce code reste inutile s'il ne peut pas lui parler : lui envoyer de nouvelles instructions, télécharger davantage d'outils et récupérer ce que le malware découvre. Le C2, c'est cette conversation. Il s'agit de l'une des quatorze tactiques du cadre MITRE ATT&CK, précisément parce que presque toute brèche sérieuse, des groupes de rançongiciel aux acteurs étatiques, dépend d'un canal de C2 opérationnel.
Comment fonctionne un canal de C2
Après la compromission initiale, le malware ne reste pas inactif. Il recontacte un serveur contrôlé par l'attaquant et commence le "beaconing" : il se signale de façon régulière, demande des instructions, les exécute et rend compte du résultat. Comme c'est la machine infectée qui initie la connexion, cela contourne commodément les pare-feu qui bloquent le trafic entrant mais autorisent le trafic sortant.
Le plus difficile pour l'attaquant est de rester discret, c'est pourquoi le trafic de C2 est conçu pour paraître banal. Les canaux les plus courants sont :
- HTTPS vers un serveur web, à première vue impossible à distinguer d'une navigation ordinaire.
- Les requêtes DNS, que la plupart des réseaux autorisent librement et inspectent rarement de près.
- Les services cloud légitimes, où le C2 se cache dans le trafic vers des plateformes auxquelles l'entreprise fait déjà confiance.
Pourquoi le C2 est au cœur de l'attaque
Le C2 est la charnière entre l'obtention d'un point d'appui et l'atteinte de l'objectif réel. Avec un canal actif, l'attaquant peut déployer de nouvelles charges, effectuer un mouvement latéral pour atteindre des systèmes de plus grande valeur et, enfin, mener l'exfiltration de données, en réutilisant souvent ce même canal pour faire sortir les informations.
Comme monter et exploiter cette infrastructure est un travail technique répétitif, c'est devenu l'une des tâches que les attaquants cherchent de plus en plus à déléguer à des assistants d'IA. Comme nous l'expliquons dans comment les hackers utilisent l'IA, générer l'ossature du C2, masquer le trafic des balises et scripter la mise en place de l'infrastructure sont exactement le genre de travaux préparatoires que les attaquants demandent aux modèles d'accélérer.
Détecter et couper le C2
Pour les défenseurs, trouver le C2 est un travail central du SOC et du threat hunting, car il offre une fenêtre pour agir avant que l'attaquant n'atteigne son objectif. Les analystes recherchent des intervalles de beaconing réguliers, des connexions vers des domaines récemment enregistrés ou peu fiables, des pics de volume DNS et des données qui quittent le réseau à des heures inhabituelles. Corréler la télémétrie des endpoints avec les journaux réseau et le renseignement sur les menaces transforme ces signaux ténus en une détection solide.
La leçon vaut dans les deux sens. Les attaquants investissent massivement dans le C2 car sans canal il n'y a pas de contrôle ; les défenseurs investissent tout autant dans sa détection car la conversation de C2, une fois découverte, est le fil qui démêle toute l'attaque.
Comment nous enseignons Commande et Contrôle (C2)
Dans notre programme de cybersécurité, vous n'apprendrez pas seulement Commande et Contrôle (C2) en théorie, vous pratiquerez avec de vrais outils dans des travaux pratiques, guidé par des professionnels du secteur qui utilisent ces concepts quotidiennement.
Couvert dans :
Module 10: Tests d'Intrusion et Hacking Éthique
360+ heures de formation experte • CompTIA Security+ inclus