Exfiltration de Données

L'exfiltration de données est le moment où une intrusion se transforme en dommage réel. Un attaquant peut passer des semaines à obtenir un accès, élever ses privilèges et se déplacer dans un réseau, mais rien de tout cela ne coûte quoi que ce soit à la victime tant que les données ne sont pas réellement sorties. Dans le cadre MITRE ATT&CK, l'exfiltration est une tactique à part entière (TA0010) : l'ensemble des techniques que les adversaires emploient pour voler des données une fois qu'elles ont été collectées. Comprendre le fonctionnement de l'exfiltration est essentiel à la fois pour les testeurs offensifs, qui doivent prouver l'impact, et pour les défenseurs, qui doivent arrêter les données avant qu'elles ne franchissent la porte.

Comment fonctionne l'exfiltration

L'exfiltration est rarement une action unique. C'est généralement la dernière étape d'une opération plus longue. Une fois que le mouvement latéral a placé l'attaquant sur des systèmes contenant des données précieuses, les données sont collectées, regroupées en un seul endroit, compressées pour réduire leur taille et chiffrées pour masquer leur contenu. Ce n'est qu'ensuite qu'elles sont transférées. Cette étape de regroupement est délibérée : déplacer une seule grande archive est plus discret que copier des milliers de fichiers à travers le réseau.

Le transfert lui-même emprunte presque toujours un canal auquel le réseau fait déjà confiance. Le plus souvent, il s'agit de la connexion de commande et contrôle existante, mais les attaquants abusent aussi des requêtes DNS, du HTTPS vers du stockage cloud, du courrier électronique ou de protocoles alternatifs que les contrôles de sortie ont tendance à ignorer. L'objectif est toujours le même : faire passer le vol pour du trafic normal.

Canaux d'exfiltration courants

Les attaquants choisissent leurs canaux selon ce qui se fond dans l'environnement cible :

• Via le canal C2 : réutilisation du lien de commande et contrôle déjà établi par l'attaquant.
• Tunnel DNS : encodage de données dans des requêtes DNS, que de nombreux réseaux inspectent à peine.
• Services web et cloud : envoi vers du stockage SaaS de confiance, des sites de partage de texte ou des dépôts de code.
• Protocoles alternatifs : usage d'un protocole différent de celui du canal C2 pour fractionner la piste.

Collecter les données

→regrouper

Regrouper et compresser

→chiffrer

Chiffrer

→tunnel

Exfiltrer via C2

Un exemple concret de la manière dont ces étapes sont automatisées de bout en bout figure dans notre analyse de comment les hackers utilisent l'IA, où les modèles pilotent la collecte et le transfert avec beaucoup moins d'effort humain.

Détecter et stopper l'exfiltration

Comme l'exfiltration se cache dans du trafic de confiance, la détection dépend de la connaissance de ce qui est normal. Les défenseurs établissent une référence du volume sortant, des destinations et du mélange de protocoles, puis alertent en cas d'écart : un poste de travail qui se met soudain à envoyer des gigaoctets, un volume DNS qui s'envole ou des connexions vers un hôte avec lequel personne n'avait communiqué auparavant.

Le principe pour les défenseurs est simple, même si l'exécution est difficile : une intrusion reste survivable tant que les données ne sont pas sorties. Chaque contrôle qui retarde ou révèle l'exfiltration récupère le temps nécessaire pour détecter l'attaquant et le couper avant qu'une compromission ne devienne une violation de données.