{"id":165821,"date":"2025-11-10T08:25:34","date_gmt":"2025-11-10T16:25:34","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=165821"},"modified":"2025-11-19T07:19:52","modified_gmt":"2025-11-19T15:19:52","slug":"authentication-coercion","status":"publish","type":"post","link":"https:\/\/unit42.paloaltonetworks.com\/fr\/authentication-coercion\/","title":{"rendered":"La coercition d\u2019authentification n\u2019a pas dit son dernier mot\u00a0\u2013 cap sur cette menace en \u00e9volution"},"content":{"rendered":"<h2><a id=\"post-165821-_heading=h.accgzzwz4236\"><\/a>Avant-propos<\/h2>\n<p>Imaginez un sc\u00e9nario o\u00f9 des acteurs malveillants n\u2019ont m\u00eame plus besoin de vous soutirer votre mot de passe. Plus besoin d\u2019ing\u00e9nierie sociale \u00e9labor\u00e9e ni d\u2019exploiter les failles de votre syst\u00e8me d\u2019exploitation. Ils peuvent simplement forcer votre machine \u00e0 s\u2019authentifier aupr\u00e8s d\u2019un serveur qu\u2019ils contr\u00f4lent, comme si votre ordinateur leur remettait lui-m\u00eame ses identifiants. Cette technique porte un nom\u00a0: la coercition d\u2019authentification.<\/p>\n<p>Alors que des attaques de coercition d\u2019authentification comme <a href=\"https:\/\/unit42.paloaltonetworks.com\/cve-2021-34527-printnightmare\/\" target=\"_blank\" rel=\"noopener\">PrintNightmare<\/a> se sont largement r\u00e9pandues ces derni\u00e8res ann\u00e9es, nous observons aujourd\u2019hui une mont\u00e9e en puissance d\u2019une nouvelle cat\u00e9gorie de coercition. Ces attaques s\u2019appuient sur des protocoles rarement utilis\u00e9s et parviennent \u00e0 \u00e9chapper aux m\u00e9canismes de d\u00e9fense con\u00e7us pour les exploits d\u00e9j\u00e0 document\u00e9s.<\/p>\n<p>Nous proposons ici un guide pratique pour comprendre cette menace\u00a0\u2013 r\u00e9pandue et redoutablement efficace\u00a0\u2013 et pour mieux s\u2019en pr\u00e9munir. Les attaques de coercition d\u2019authentification d\u00e9tournent une fonctionnalit\u00e9 fondamentale de Windows, qui permet \u00e0 une machine d\u2019ex\u00e9cuter des proc\u00e9dures sur un syst\u00e8me distant. Les attaquants exploitent cette capacit\u00e9 pour forcer des machines, y compris les actifs Tier\u00a00 les plus critiques (comme les contr\u00f4leurs de domaine), \u00e0 s\u2019authentifier aupr\u00e8s de serveurs qu\u2019ils contr\u00f4lent. Cette technique repose sur la fa\u00e7on dont les protocoles d\u2019authentification l\u00e9gitimes sont con\u00e7us dans les environnements Microsoft\u00a0Windows et ne n\u00e9cessite aucune permission particuli\u00e8re.<\/p>\n<p>Nous pr\u00e9sentons \u00e9galement des exemples r\u00e9els montrant comment des acteurs de la menace d\u00e9tournent ces m\u00e9canismes d\u2019authentification int\u00e9gr\u00e9s \u00e0 Windows. Notre analyse d\u00e9taill\u00e9e retrace l\u2019ensemble du cycle d\u2019une attaque par coercition d\u2019authentification et inclut une \u00e9tude de cas r\u00e9elle, dans laquelle des acteurs de la menace ont exploit\u00e9 une interface d\u2019appel de proc\u00e9dure distante (Remote Procedure Call, ou RPC) peu connue et rarement surveill\u00e9e.<\/p>\n<p>Des chercheurs en s\u00e9curit\u00e9, dont <a href=\"https:\/\/unit42.paloaltonetworks.com\/manic-menagerie-targets-web-hosting-and-it\/\" target=\"_blank\" rel=\"noopener\">Unit\u00a042<\/a>, ont d\u00e9j\u00e0 document\u00e9 l\u2019usage d\u2019outils de coercition tels que <a href=\"https:\/\/github.com\/topotam\/PetitPotam\" target=\"_blank\" rel=\"noopener\">PetitPotam<\/a>\u00a0(CVE-2021-36942) dans des attaques observ\u00e9es sur le terrain. Microsoft a publi\u00e9 des <a href=\"https:\/\/support.microsoft.com\/en-gb\/topic\/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429\" target=\"_blank\" rel=\"noopener\">avis de s\u00e9curit\u00e9<\/a> reconnaissant le potentiel d\u2019exploitation de cette vuln\u00e9rabilit\u00e9.<\/p>\n<p>Nous proposons \u00e9galement des strat\u00e9gies concr\u00e8tes de surveillance, de d\u00e9tection et de pr\u00e9vention que les organisations peuvent mettre en \u0153uvre pour rep\u00e9rer plus efficacement les anomalies comportementales et les paquets\u00a0RPC suspects\u00a0\u2013 et ainsi renforcer consid\u00e9rablement leurs capacit\u00e9s de d\u00e9tection et r\u00e9ponse.<\/p>\n<p>Les clients de Palo\u00a0Alto\u00a0Networks sont mieux prot\u00e9g\u00e9s contre les menaces mentionn\u00e9es ci-dessus gr\u00e2ce aux produits suivants\u00a0:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xdr\" target=\"_blank\" rel=\"noopener\">Cortex\u00a0XDR<\/a> et <a href=\"https:\/\/www.paloaltonetworks.com\/resources\/datasheets\/cortex-xsiam-aag\" target=\"_blank\" rel=\"noopener\">XSIAM<\/a><\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/resources\/datasheets\/unit42-managed-detection-and-response\" target=\"_blank\" rel=\"noopener\">Services manag\u00e9s de d\u00e9tection et r\u00e9ponse \u00e0 incident\u00a0(MDR) d\u2019Unit\u00a042<\/a><\/li>\n<\/ul>\n<p>Si vous pensez que votre entreprise a pu \u00eatre compromise ou si vous faites face \u00e0 une urgence, contactez l\u2019<a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">\u00e9quipe Unit\u00a042 de r\u00e9ponse \u00e0 incident<\/a>.<\/p>\n<table style=\"width: 99.8035%;\">\n<thead>\n<tr>\n<td style=\"width: 35%;\"><b>Unit\u00a042 \u2013\u00a0Th\u00e9matiques connexes<\/b><\/td>\n<td style=\"width: 202.342%;\"><a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/privilege-escalation-fr\/\" target=\"_blank\" rel=\"noopener\"><b>Escalade des privil\u00e8ges<\/b><\/a><span style=\"font-family: inherit; font-size: inherit;\">, <\/span><strong style=\"font-family: inherit; font-size: inherit;\"><a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/windows-fr\/\" target=\"_blank\" rel=\"noopener\">Windows<\/a><\/strong><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-165821-_heading=h.naxvl4cgtxtb\"><\/a>Pr\u00e9sentation\u00a0: la coercition d\u2019authentification<\/h2>\n<p>En somme, la coercition d\u2019authentification consiste \u00e0 manipuler une machine cible pour qu\u2019elle initie elle-m\u00eame une tentative d\u2019authentification vers un serveur contr\u00f4l\u00e9 par l\u2019attaquant. Lorsqu'une machine Windows cherche \u00e0 acc\u00e9der \u00e0 une ressource distante (ex.\u00a0: dossier partag\u00e9, imprimante), elle s\u2019authentifie automatiquement aupr\u00e8s de cette derni\u00e8re. C\u2019est pr\u00e9cis\u00e9ment ce m\u00e9canisme d\u2019auto-authentification que les attaquants d\u00e9tournent. En configurant un service d\u2019\u00e9coute malveillant, ils peuvent amener la machine cibl\u00e9e \u00e0 croire que le syst\u00e8me de l\u2019attaquant est une ressource l\u00e9gitime \u00e0 laquelle elle doit se connecter. Au moment de cette connexion, la machine envoie alors ses mat\u00e9riels d\u2019authentification hach\u00e9s \u00e0 l\u2019attaquant. La Figure\u00a01 illustre ce sc\u00e9nario simplifi\u00e9.<\/p>\n<figure id=\"attachment_165921\" aria-describedby=\"caption-attachment-165921\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-165921 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/FR-2566_Authentication-Coercion-Graphics-1-786x299.png\" alt=\"Sch\u00e9ma illustrant la s\u00e9quence d'une cyberattaque. De gauche \u00e0 droite : un pirate compromet une machine interne, lance un appel de proc\u00e9dure \u00e0 distance vers une ressource, qui s'authentifie alors automatiquement aupr\u00e8s d'un centre de commande et de contr\u00f4le, ce qui permet au pirate de voler les donn\u00e9es d'authentification.\" width=\"1000\" height=\"380\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/FR-2566_Authentication-Coercion-Graphics-1-786x299.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/FR-2566_Authentication-Coercion-Graphics-1-768x292.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/FR-2566_Authentication-Coercion-Graphics-1.png 836w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-165921\" class=\"wp-caption-text\">Figure 1. Sc\u00e9nario simplifi\u00e9 d\u2019une attaque de coercition d\u2019authentification.<\/figcaption><\/figure>\n<p>Lorsqu\u2019elles aboutissent, les attaques de coercition d\u2019authentification peuvent mener \u00e0 une compromission compl\u00e8te du domaine. Les attaquants peuvent alors voler des donn\u00e9es sensibles, d\u00e9ployer des malwares sur l\u2019ensemble du r\u00e9seau et \u00e9tablir un acc\u00e8s persistant pouvant rester invisible sur une p\u00e9riode prolong\u00e9e.<\/p>\n<p>Ce qui rend cette m\u00e9thode d\u2019attaque particuli\u00e8rement pr\u00e9occupante, c\u2019est la disponibilit\u00e9 massive de r\u00e9f\u00e9rentiels des codes de preuve de concept\u00a0(PoC) sur des plateformes comme GitHub, qui r\u00e9duit consid\u00e9rablement la barri\u00e8re d\u2019entr\u00e9e pour les attaquants. L\u2019existence de codes d\u2019exploitation pr\u00eats \u00e0 l\u2019emploi, int\u00e9gr\u00e9s dans des frameworks de test de p\u00e9n\u00e9tration tels que <a href=\"https:\/\/github.com\/rapid7\/metasploit-framework\/blob\/master\/modules\/exploits\/windows\/dcerpc\/cve_2021_1675_printnightmare.rb\" target=\"_blank\" rel=\"noopener\">Metasploit<\/a> ou utilis\u00e9s avec des outils comme <a href=\"https:\/\/x.com\/gentilkiwi\/status\/1411792763478233091\" target=\"_blank\" rel=\"noopener\">Mimikatz<\/a>, a transform\u00e9 ces techniques en m\u00e9thodes d\u2019attaque imm\u00e9diatement op\u00e9rationnelles. D\u00e9sormais, m\u00eame des adversaires disposant de comp\u00e9tences techniques limit\u00e9es peuvent mener ce type d\u2019attaque.<\/p>\n<p>Plusieurs techniques de coercition d\u2019authentification ont \u00e9t\u00e9 observ\u00e9es dans des attaques r\u00e9elles. En mai\u00a02022, la Cybersecurity and Infrastructure Security Agency\u00a0(CISA) signalait qu\u2019un groupe soutenu par l\u2019\u00c9tat russe exploitait <a href=\"https:\/\/www.cisa.gov\/news-events\/alerts\/2021\/06\/30\/printnightmare-critical-windows-print-spooler-vulnerability\" target=\"_blank\" rel=\"noopener\">PrintNightmare<\/a>, <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/cve-2021-34527\" target=\"_blank\" rel=\"noopener\">CVE-2021-34527<\/a>. Cet exploit a permis \u00e0 l\u2019acteur malveillant d\u2019acc\u00e9der \u00e0 des comptes cloud et de messagerie, et d\u2019exfiltrer des documents. La CISA r\u00e9pertorie cette vuln\u00e9rabilit\u00e9 dans son <a href=\"https:\/\/www.cisa.gov\/known-exploited-vulnerabilities-catalog\" target=\"_blank\" rel=\"noopener\">catalogue des vuln\u00e9rabilit\u00e9s exploit\u00e9es<\/a>. Ce que ce catalogue ne montre pas, en revanche, c\u2019est que les attaquants se tournent d\u00e9sormais vers des fonctions\u00a0RPC rares et insuffisamment surveill\u00e9es pour \u00e9chapper aux m\u00e9canismes de d\u00e9fense traditionnels.<\/p>\n<h2><a id=\"post-165821-_heading=h.w4hxlifhtzlx\"><\/a>Au c\u0153ur de la m\u00e9canique\u00a0: les techniques de coercition d\u2019authentification<\/h2>\n<h3><a id=\"post-165821-_heading=h.pi97ea56h6t\"><\/a><strong>RPC\u00a0: l\u2019ossature de Windows et d\u2019Active\u00a0Directory<\/strong><\/h3>\n<p>Pour comprendre la coercition d\u2019authentification, il faut revenir aux bases des messages\u00a0RPC. Le RPC est un m\u00e9canisme fondamental de communication inter-processus\u00a0(IPC), profond\u00e9ment int\u00e9gr\u00e9 \u00e0 chaque syst\u00e8me d\u2019exploitation Windows. Il permet aux programmes d\u2019ex\u00e9cuter des proc\u00e9dures et des services, qu\u2019ils r\u00e9sident localement sur la m\u00eame machine ou \u00e0 distance sur un r\u00e9seau. Le RPC est souvent accessible \u00e0 des comptes utilisateurs standards ou faiblement privil\u00e9gi\u00e9s au sein du domaine. Les fonctions\u00a0RPC sont ex\u00e9cut\u00e9es en appelant des m\u00e9thodes sp\u00e9cifiques expos\u00e9es par des interfaces disponibles, ce qui implique qu\u2019un client envoie une requ\u00eate \u00e0 un serveur. Chaque m\u00e9thode poss\u00e8de un num\u00e9ro d\u2019op\u00e9ration\u00a0(opnum) unique au sein de son interface, qui d\u00e9finit l\u2019action pr\u00e9cise qu\u2019elle r\u00e9alise.<\/p>\n<p>De nombreux protocoles\u00a0Windows reposent sur la fonctionnalit\u00e9\u00a0RPC comme couche de communication sous-jacente. Certaines fonctions s\u2019ex\u00e9cutent localement sur un syst\u00e8me, tandis que d\u2019autres sont con\u00e7ues pour des appels distants. Ces appels distants peuvent accepter un chemin au format\u00a0UNC (Universal Naming Convention) en param\u00e8tre afin de communiquer avec une machine distante\u00a0\u2013par exemple\u00a0: <span style=\"font-family: 'courier new', courier, monospace;\">\\\\share\\path\\to\\file<\/span>. La Figure\u00a02 montre un exemple de fonction\u00a0RPC acceptant un param\u00e8tre au format\u00a0UNC (ShareName).<\/p>\n<figure id=\"attachment_165833\" aria-describedby=\"caption-attachment-165833\" style=\"width: 800px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-165833 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-177295-165821-2.png\" alt=\"Capture d'\u00e9cran de la documentation 3.1.4.9 IsPathSupported (Opnum 8). L'opnum LPWSTR ShareName est surlign\u00e9 en rouge.\" width=\"800\" height=\"361\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-177295-165821-2.png 923w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-177295-165821-2-786x354.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-177295-165821-2-768x346.png 768w\" sizes=\"(max-width: 800px) 100vw, 800px\" \/><figcaption id=\"caption-attachment-165833\" class=\"wp-caption-text\">Figure 2. Documentation relative \u00e0 l\u2019opnum <span style=\"font-family: 'courier new', courier, monospace;\">IsPathSupported<\/span> du protocole <a href=\"https:\/\/learn.microsoft.com\/en-us\/openspecs\/windows_protocols\/ms-fsrvp\/dae107ec-8198-4778-a950-faa7edad125b\" target=\"_blank\" rel=\"noopener\"><em>MS-FSRVP<\/em><\/a><em>.<\/em>\u00a0Source : <a href=\"https:\/\/learn.microsoft.com\/en-us\/openspecs\/windows_protocols\/ms-fsrvp\/f0f0166f-0795-4b2f-8567-ff6a6cfb71cb\" target=\"_blank\" rel=\"noopener\"><em>Microsoft<\/em><\/a>.<\/figcaption><\/figure>\n<h3><a id=\"post-165821-_heading=h.akppgipe32sl\"><\/a><strong>D\u00e9tournement d\u2019interfaces\u00a0RPC rares<\/strong><\/h3>\n<p>Ces derni\u00e8res ann\u00e9es, plusieurs fonctions\u00a0RPC ont \u00e9t\u00e9 \u00e9troitement associ\u00e9es aux techniques de coercition d\u2019authentification. Par exemple, l\u2019exploit PrintNightmare, qui s\u2019appuie sur la fonction <span style=\"font-family: 'courier new', courier, monospace;\">RpcRemoteFindFirstPrinterChangeNotificationEx<\/span>, <a href=\"https:\/\/unit42.paloaltonetworks.com\/cve-2021-34527-printnightmare\/\" target=\"_blank\" rel=\"noopener\">est bien document\u00e9<\/a> et d\u00e9j\u00e0 largement couvert par les outils de s\u00e9curit\u00e9. Cependant, d\u2019autres outils d\u2019exploitation et preuves de concept disponibles publiquement facilitent aujourd\u2019hui l\u2019ex\u00e9cution de ces attaques complexes. En cons\u00e9quence, les \u00e9quipes de s\u00e9curit\u00e9 concentrent souvent leur surveillance sur les interfaces et fonctions cibl\u00e9es par ces outils. Mais \u00e0 mesure que les d\u00e9fenseurs renforcent ces vecteurs connus, les attaquants se tournent de plus en plus vers des opnums moins r\u00e9pandus et surveill\u00e9s. Ainsi, un d\u00e9p\u00f4t intitul\u00e9 <a href=\"https:\/\/github.com\/p0dalirius\/windows-coerced-authentication-methods\" target=\"_blank\" rel=\"noopener\">Windows Coerced Authentication Methods<\/a> r\u00e9pertorie 16\u00a0fonctions op\u00e9rationnelles r\u00e9parties sur cinq protocoles, que des acteurs malveillants peuvent utiliser pour lancer une attaque de coercition. L\u2019auteur du d\u00e9p\u00f4t indique que plus de 240\u00a0fonctions restent encore \u00e0 tester \u2013\u00a0et pourraient potentiellement \u00eatre exploit\u00e9es de la m\u00eame mani\u00e8re. Comprendre l\u2019\u00e9tendue des surfaces d\u2019attaque potentiellement vuln\u00e9rables \u00e0 ces outils couramment utilis\u00e9s est essentiel pour mettre en place des mesures de d\u00e9fense de base.<\/p>\n<p>Le Tableau 1 associe les principaux outils d\u2019attaque et exploits de coercition d\u2019authentification aux protocoles RPC qui y sont vuln\u00e9rables.<\/p>\n<table style=\"width: 97.6104%;\">\n<tbody>\n<tr>\n<td style=\"width: 37.3372%; text-align: center;\"><strong>Exploit\/outil d\u2019attaque courant<\/strong><\/td>\n<td style=\"width: 122.576%; text-align: center;\"><strong>Protocole<\/strong><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 37.3372%;\">PrinterBug (PrintNightmare)<\/td>\n<td style=\"width: 122.576%;\">MS-RPRN<\/p>\n<p>(Print System Remote Protocol)<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 37.3372%;\">PetitPotam<\/td>\n<td style=\"width: 122.576%;\">MS-EFSR<\/p>\n<p>(Encrypting File System Remote Protocol)<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 37.3372%;\">DFSCoerce<\/td>\n<td style=\"width: 122.576%;\">MS-DFSNM<\/p>\n<p>(Distributed File System Namespace Management Protocol)<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 37.3372%;\">ShadowCoerce<\/td>\n<td style=\"width: 122.576%;\">MS-FSRVP<\/p>\n<p>(File Server Remote VSS Protocol)<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 37.3372%;\">PrintNightmare<\/td>\n<td style=\"width: 122.576%;\">MS-PAR<\/p>\n<p>(Print System Asynchronous Remote Protocol)<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 37.3372%;\">CheeseOunce<\/td>\n<td style=\"width: 122.576%;\">MS-EVEN<\/p>\n<p>(EventLog Remoting Protocol)<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\">Tableau\u00a01. Exploits et outils de coercition connus publiquement, et leurs protocoles\u00a0RPC associ\u00e9s.<\/span><\/p>\n<h2><a id=\"post-165821-_heading=h.799fhmgnpj14\"><\/a>\u00c9tude de cas r\u00e9elle\u00a0: Exploitation de fonctions\u00a0RPC rares<\/h2>\n<p>Cette section pr\u00e9sente une attaque r\u00e9elle dans laquelle des acteurs de la menace ont utilis\u00e9 des fonctions\u00a0RPC peu courantes pour mener des op\u00e9rations de coercition d\u2019authentification.<\/p>\n<p>En mars\u00a02025, nous avons d\u00e9tect\u00e9 une activit\u00e9 potentiellement li\u00e9e \u00e0 de la coercition sur plusieurs serveurs du r\u00e9seau d\u2019une organisation du secteur de la sant\u00e9. L\u2019alerte indiquait qu\u2019une machine du r\u00e9seau tentait de forcer le serveur local \u00e0 contacter une adresse\u00a0IP externe via RPC. L\u2019attaquant a exploit\u00e9 l\u2019interface de journalisation d\u2019\u00e9v\u00e9nements \u00e0 distance\u00a0(<a href=\"https:\/\/learn.microsoft.com\/en-us\/openspecs\/windows_protocols\/ms-even\/55b13664-f739-4e4e-bd8d-04eeda59d09f\" target=\"_blank\" rel=\"noopener\">MS-EVEN<\/a>) en s\u2019appuyant sur un outil d\u2019attaque disponible publiquement. MS-EVEN expose les m\u00e9thodes\u00a0RPC permettant de lire les journaux d\u2019\u00e9v\u00e9nements actifs ou archiv\u00e9s sur des machines distantes. L\u2019utilisation combin\u00e9e de cette interface et de cette fonction \u00e9tait inhabituelle dans l\u2019organisation\u00a0: aucune autre machine n\u2019avait utilis\u00e9 ce protocole au cours des 30\u00a0jours pr\u00e9c\u00e9dents. La Figure\u00a03 montre l\u2019alerte g\u00e9n\u00e9r\u00e9e par cette attaque.<\/p>\n<figure id=\"attachment_165844\" aria-describedby=\"caption-attachment-165844\" style=\"width: 600px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-165844 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-179618-165821-3.png\" alt=\"Capture d'\u00e9cran d'un rapport d'analyse num\u00e9rique judiciaire de Cortex XDR avec l'onglet \u00ab Information Overview \u00bb (Aper\u00e7u des informations) s\u00e9lectionn\u00e9. Le nom de l'alerte indiquant \u00ab Authentication coercion \u00bb (Contrainte d'authentification) est surlign\u00e9 en rouge. Il r\u00e9pertorie une s\u00e9rie de param\u00e8tres techniques et de suggestions concernant une \u00e9ventuelle faille de s\u00e9curit\u00e9 impliquant un acc\u00e8s non autoris\u00e9 et des tactiques de contrainte. Certaines informations ont \u00e9t\u00e9 masqu\u00e9es. \" width=\"600\" height=\"878\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-179618-165821-3.png 994w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-179618-165821-3-301x440.png 301w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-179618-165821-3-479x700.png 479w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-179618-165821-3-768x1123.png 768w\" sizes=\"(max-width: 600px) 100vw, 600px\" \/><figcaption id=\"caption-attachment-165844\" class=\"wp-caption-text\">Figure 3. Donn\u00e9es issues de l\u2019alerte \u00ab Possible authentication coercion \u00bb telles qu\u2019affich\u00e9es dans Cortex XDR.<\/figcaption><\/figure>\n<p>L\u2019alerte \u00ab\u00a0Possible authentication coercion\u00a0\u00bb de Cortex\u00a0XDR pr\u00e9sent\u00e9e dans la Figure\u00a03 r\u00e9v\u00e9lait les \u00e9l\u00e9ments suivants\u00a0:<\/p>\n<ul>\n<li>L\u2019adresse\u00a0IP interne \u00e0 l\u2019origine de l\u2019appel\u00a0RPC distant\u00a0: <span style=\"font-family: 'courier new', courier, monospace;\">172.17.XX.XX<\/span><\/li>\n<li>Deux comptes utilisateurs s\u2019\u00e9tant connect\u00e9s \u00e0 cette adresse\u00a0IP compromise au cours de la journ\u00e9e<\/li>\n<li>L\u2019adresse\u00a0IP extraite des param\u00e8tres de la requ\u00eate RPC<\/li>\n<\/ul>\n<p>L\u2019acteur de la menace a utilis\u00e9 la\u00a0fonction\u00a0<span style=\"font-family: 'courier new', courier, monospace;\"><a href=\"https:\/\/learn.microsoft.com\/en-us\/openspecs\/windows_protocols\/ms-even\/4db1601c-7bc2-4d5c-8375-c58a6f8fc7e1\" target=\"_blank\" rel=\"noopener\">ElfrOpenBELW<\/a> <\/span>pour mener l\u2019attaque de coercition. La Figure\u00a04 pr\u00e9sente une description d\u00e9taill\u00e9e de cet opnum.<\/p>\n<figure id=\"attachment_165855\" aria-describedby=\"caption-attachment-165855\" style=\"width: 800px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-165855 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-182570-165821-4.png\" alt=\"Capture d'\u00e9cran de la documentation pour ElfrOpenBELW Opnum 9) 3.14.1, d\u00e9crivant un protocole op\u00e9rationnel li\u00e9 \u00e0 l'acc\u00e8s \u00e0 un journal d'\u00e9v\u00e9nements de sauvegarde avec des param\u00e8tres de fonction sp\u00e9cifiques surlign\u00e9s en rouge.\" width=\"800\" height=\"379\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-182570-165821-4.png 1099w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-182570-165821-4-786x372.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-182570-165821-4-768x363.png 768w\" sizes=\"(max-width: 800px) 100vw, 800px\" \/><figcaption id=\"caption-attachment-165855\" class=\"wp-caption-text\">Figure 4. Documentation Microsoft concernant l\u2019opnum <span style=\"font-family: 'courier new', courier, monospace;\">ElfrOpenBELW<\/span> du protocole <a href=\"https:\/\/learn.microsoft.com\/en-us\/openspecs\/windows_protocols\/ms-even\/55b13664-f739-4e4e-bd8d-04eeda59d09f\" target=\"_blank\" rel=\"noopener\"><em>MS-EVEN<\/em><\/a>.<\/figcaption><\/figure>\n<p>La Figure\u00a05 illustre l\u2019utilisation l\u00e9gitime de MS-EVEN lors de la connexion \u00e0 un serveur distant dans la console \u00ab\u00a0Observateur d\u2019\u00e9v\u00e9nements\u00a0\u00bb.<\/p>\n<figure id=\"attachment_165866\" aria-describedby=\"caption-attachment-165866\" style=\"width: 691px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-165866 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-184898-165821-5.png\" alt=\"Capture d'\u00e9cran de l'application Event Viewer (Observateur d'\u00e9v\u00e9nements) sur un syst\u00e8me d'exploitation Windows, affichant les options de menu telles que \u00ab File \u00bb (Fichier), \u00ab Action \u00bb (Action) et \u00ab View \u00bb (Affichage), ainsi que l'option \u00ab Connect to Another Computer \u00bb (Se connecter \u00e0 un autre ordinateur) mise en surbrillance.\" width=\"691\" height=\"556\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-184898-165821-5.png 691w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-184898-165821-5-547x440.png 547w\" sizes=\"(max-width: 691px) 100vw, 691px\" \/><figcaption id=\"caption-attachment-165866\" class=\"wp-caption-text\">Figure 5. Connexion \u00e0 une console \u00ab Observateur d\u2019\u00e9v\u00e9nements \u00bb distante pour afficher les journaux d\u2019\u00e9v\u00e9nements d\u2019autres machines.<\/figcaption><\/figure>\n<p>Dans cet exemple, l\u2019adresse\u00a0IP utilis\u00e9e dans la fonction\u00a0<span style=\"font-family: 'courier new', courier, monospace;\">ElfrOpenBELW<\/span> \u00e9tait externe \u00e0 l\u2019organisation. La premi\u00e8re authentification r\u00e9ussie ce jour-l\u00e0 a eu lieu \u00e0 5\u00a0heures du matin, depuis une machine Kali\u00a0Linux externe. L\u2019absence d\u2019activit\u00e9 malveillante associ\u00e9e au compte utilisateur indique que l\u2019acteur de la menace avait compromis ce compte avant l\u2019attaque. \u00c0 la suite de ces premi\u00e8res connexions, l\u2019adresse\u00a0IP interne a tent\u00e9 de <a href=\"https:\/\/learn.microsoft.com\/en-us\/troubleshoot\/windows-server\/windows-security\/ntlm-user-authentication\" target=\"_blank\" rel=\"noopener\">s\u2019authentifier via NTLM<\/a> aupr\u00e8s d\u2019un large \u00e9ventail de serveurs critiques de l\u2019organisation, notamment\u00a0:<\/p>\n<ul>\n<li>les contr\u00f4leurs de domaine<\/li>\n<li>les contr\u00f4leurs de domaine en lecture seule\u00a0(RODC)<\/li>\n<li>les serveurs\u00a0RADIUS<\/li>\n<li>les serveurs\u00a0Citrix<\/li>\n<\/ul>\n<p>Toutes ces tentatives d\u2019authentification se sont produites dans un laps de temps tr\u00e8s court\u00a0\u2013 et ont toutes \u00e9chou\u00e9. L\u2019acteur a ensuite forc\u00e9 ces serveurs critiques \u00e0 s\u2019authentifier aupr\u00e8s d\u2019une machine contr\u00f4l\u00e9e par l\u2019attaquant, a vol\u00e9 les hachages\u00a0NTLM de ces serveurs, s\u2019est d\u00e9plac\u00e9 lat\u00e9ralement et a escalad\u00e9 ses privil\u00e8ges. La Figure\u00a06 illustre les actions\u00a0RPC ex\u00e9cut\u00e9es par l\u2019h\u00f4te compromis sur un large \u00e9ventail de serveurs de l\u2019organisation.<\/p>\n<figure id=\"attachment_165877\" aria-describedby=\"caption-attachment-165877\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-165877 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-187178-165821-6.png\" alt=\"Capture d'\u00e9cran d'une interface informatique affichant un tableau avec des colonnes comprenant l'ID de l'agent et l'adresse IP distante de l'acteur. Chaque ligne contient des donn\u00e9es repr\u00e9sentant divers identifiants li\u00e9s au r\u00e9seau, tels que des num\u00e9ros de s\u00e9rie, des adresses IP et des noms d'h\u00f4tes d'appareils partiellement masqu\u00e9s pour des raisons de confidentialit\u00e9.\" width=\"1000\" height=\"366\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-187178-165821-6.png 2048w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-187178-165821-6-786x288.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-187178-165821-6-1911x700.png 1911w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-187178-165821-6-768x281.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-187178-165821-6-1536x563.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-165877\" class=\"wp-caption-text\">Figure 6. La machine compromise for\u00e7ant l\u2019authentification de serveurs.<\/figcaption><\/figure>\n<p>Ce comportement a attir\u00e9 l\u2019attention pour plusieurs raisons\u00a0:<\/p>\n<ul>\n<li>la raret\u00e9 de l\u2019utilisation de cette interface\u00a0RPC et de cet opnum<\/li>\n<li>le nombre de messages\u00a0RPC et de protocoles initi\u00e9s par la machine dans un laps de temps tr\u00e8s court<\/li>\n<li>les param\u00e8tres contenus dans les messages\u00a0RPC<\/li>\n<li>la raret\u00e9 du trafic r\u00e9seau vers l\u2019adresse\u00a0IP figurant dans le param\u00e8tre\u00a0UNC<\/li>\n<\/ul>\n<p>Ce type de comportement rappelle celui d\u2019outils d\u2019attaque automatis\u00e9s, ce qui a d\u00e9clench\u00e9 une alerte au sein de l\u2019organisation indiquant qu\u2019une attaque \u00e9tait probablement en cours.<\/p>\n<p>Comme la coercition d\u2019authentification via RPC ne n\u00e9cessite aucune permission particuli\u00e8re et peut \u00eatre r\u00e9alis\u00e9e depuis n\u2019importe quelle machine disposant d\u2019un acc\u00e8s r\u00e9seau au serveur distant, l\u2019attaquant a utilis\u00e9 cette m\u00e9thode comme principal moyen d\u2019obtenir des mat\u00e9riels d\u2019authentification. Nous avons observ\u00e9 que l\u2019attaquant avait envoy\u00e9 des requ\u00eates\u00a0RPC malveillantes vers plus de dix ressources distantes. Tous les appels provenaient de la m\u00eame machine et ont tous \u00e9chou\u00e9 \u00e0 s\u2019authentifier via NTLM.<\/p>\n<p>La Figure\u00a07 montre le journal de la r\u00e8gle de l\u2019agent qui a emp\u00each\u00e9 l\u2019ex\u00e9cution de l\u2019attaque.<\/p>\n<figure id=\"attachment_165888\" aria-describedby=\"caption-attachment-165888\" style=\"width: 700px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-165888 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-191325-165821-7.png\" alt=\"Capture d'\u00e9cran d'une interface de code informatique mettant en \u00e9vidence les param\u00e8tres de s\u00e9curit\u00e9, montrant en particulier \u00ab Printer Bug NTLM relay attack \u00bb (attaque par relais NTLM sur les imprimantes) en mode pr\u00e9vention, o\u00f9 il est d\u00e9fini sur \u00ab bloqu\u00e9 \u00bb.\" width=\"700\" height=\"283\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-191325-165821-7.png 1542w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-191325-165821-7-786x318.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-191325-165821-7-768x311.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-191325-165821-7-1536x622.png 1536w\" sizes=\"(max-width: 700px) 100vw, 700px\" \/><figcaption id=\"caption-attachment-165888\" class=\"wp-caption-text\">Figure 7. L\u2019agent a emp\u00each\u00e9 l\u2019attaque PrinterBug sur la station de travail interne.<\/figcaption><\/figure>\n<p>L\u2019attaquant est parvenu \u00e0 contourner certaines des protections de l\u2019agent et a forc\u00e9 un serveur\u00a0Citrix ainsi qu\u2019un RODC \u00e0 s\u2019authentifier aupr\u00e8s de ses serveurs de commande et de contr\u00f4le (CnC).<\/p>\n<p>Une heure plus tard, il a r\u00e9alis\u00e9 une attaque par relais\u00a0NTLM depuis la m\u00eame adresse\u00a0IP interne. L\u2019attaquant a utilis\u00e9 le hachage du compte machine des serveurs\u00a0Citrix et RODC compromis pour cibler les serveurs d\u2019autorit\u00e9 de certification\u00a0(CA). La Figure\u00a08 montre l\u2019authentification relay\u00e9e, \u00e9mise depuis l\u2019adresse\u00a0IP compromise par l\u2019attaquant, d\u2019un compte machine de contr\u00f4leur de domaine vers un serveur\u00a0CA. L\u2019attaquant a \u00e9galement tent\u00e9 de lancer une attaque\u00a0DCSync \u00e0 l\u2019aide des hachages du contr\u00f4leur de domaine vol\u00e9s.<\/p>\n<p><img width=\"1860\" height=\"174\"  class=\"wp-image-165899 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-194153-165821-8.png\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-194153-165821-8.png 1860w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-194153-165821-8-786x74.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-194153-165821-8-768x72.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-194153-165821-8-1536x144.png 1536w\" sizes=\"(max-width: 1860px) 100vw, 1860px\" \/><br \/>\n<em>Figure\u00a08. Authentification provenant de l\u2019adresse\u00a0IP de l\u2019attaquant vers un serveur\u00a0CA, en utilisant un compte machine de contr\u00f4leur de domaine.<\/em><\/p>\n<p>La Figure\u00a09 pr\u00e9sente un r\u00e9sum\u00e9 des actions de l\u2019attaquant.<\/p>\n<figure id=\"attachment_165956\" aria-describedby=\"caption-attachment-165956\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-165956 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/FR-2-2566_Authentication-Coercion-Graphics-782x440.png\" alt=\"Sch\u00e9ma illustrant une s\u00e9quence d'attaque de cybers\u00e9curit\u00e9 dans laquelle un pirate compromet une machine interne, lance plusieurs appels RPC vers des ressources pr\u00e9cieuses, la ressource s'authentifie automatiquement aupr\u00e8s du C2, le pirate collecte des hachages NTLM et tente diverses strat\u00e9gies pour acc\u00e9der aux donn\u00e9es et ressources sensibles au sein d'une infrastructure r\u00e9seau. \" width=\"1000\" height=\"563\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/FR-2-2566_Authentication-Coercion-Graphics-782x440.png 782w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/FR-2-2566_Authentication-Coercion-Graphics-768x432.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/FR-2-2566_Authentication-Coercion-Graphics.png 960w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-165956\" class=\"wp-caption-text\">Figure 9. R\u00e9sum\u00e9 des diff\u00e9rentes \u00e9tapes de l\u2019attaque observ\u00e9e sur le r\u00e9seau d\u2019un client.<\/figcaption><\/figure>\n<p>L\u2019exploitation de protocoles rarement utilis\u00e9s dans ce type d\u2019attaque est une tendance en pleine croissance. Notre t\u00e9l\u00e9m\u00e9trie interne montre une augmentation des attaques de coercition d\u2019authentification visant les organisations, avec des acteurs de la menace d\u00e9tournant des protocoles et des fonctions atypiques. L\u2019une des principales raisons de cette hausse tient au fait que, \u00e0 mesure que les outils de d\u00e9fense \u00e9voluent et se renforcent, les attaquants cherchent \u2013\u00a0et trouvent\u00a0\u2013 des m\u00e9thodes plus vari\u00e9es et encore non d\u00e9tect\u00e9es pour mener leurs attaques. Ce cycle impose aux d\u00e9fenseurs de mettre en place des approches de d\u00e9tection plus avanc\u00e9es.<\/p>\n<h2><a id=\"post-165821-_heading=h.ykm59awlk88r\"><\/a>Ne vous faites pas pi\u00e9ger\u00a0: les m\u00e9canismes de d\u00e9tection et de pr\u00e9vention<\/h2>\n<p>La surveillance du trafic\u00a0RPC constitue une premi\u00e8re \u00e9tape essentielle pour d\u00e9tecter des activit\u00e9s suspectes. Toutefois, cette surveillance pr\u00e9sente des d\u00e9fis importants en raison du volume et de la complexit\u00e9 des communications\u00a0RPC. Les d\u00e9fenseurs peuvent mieux filtrer le trafic\u00a0RPC b\u00e9nin et identifier les activit\u00e9s de coercition malveillantes en appliquant les recommandations suivantes.<\/p>\n<h3><a id=\"post-165821-_heading=h.ghio3cohvt7s\"><\/a><strong>Surveillance et d\u00e9tection g\u00e9n\u00e9riques des RPC<\/strong><\/h3>\n<p>Une d\u00e9tection efficace des RPC repose sur l\u2019identification d\u2019attributs suspects et sur l\u2019\u00e9valuation de leur impact selon les ressources cibl\u00e9es. Pour am\u00e9liorer les performances et l\u2019efficacit\u00e9 de l\u2019analyse des \u00e9v\u00e9nements\u00a0RPC, il est essentiel de filtrer les messages non pertinents. Plus important encore, les \u00e9quipes de s\u00e9curit\u00e9 doivent rechercher les anomalies au sein du trafic\u00a0RPC. Il peut notamment s\u2019agir des \u00e9l\u00e9ments suivants\u00a0:<\/p>\n<ul>\n<li><strong>Param\u00e8tres de chemin UNC\u00a0:<\/strong> plusieurs techniques de coercition s\u2019appuient sur des chemins\u00a0UNC. Comme le trafic\u00a0RPC local est moins susceptible d\u2019\u00eatre suspect, il peut \u00eatre judicieux d\u2019exclure les appels effectu\u00e9s localement. Examinez les param\u00e8tres\u00a0RPC qui semblent malveillants ou qui renvoient vers une adresse\u00a0IP suspecte.<\/li>\n<li><strong>Source et destination\u00a0:<\/strong> surveillez les RPC dont l\u2019origine ou la destination est inhabituelle, ou les appels dirig\u00e9s vers des actifs critiques.<\/li>\n<li><strong>GUID d\u2019interface et opnum\u00a0:<\/strong> chaque protocole\u00a0RPC comporte de multiples opnums que les attaquants peuvent exploiter pour forcer une authentification vers un serveur distant. Pour identifier ces tentatives, surveillez les appels vers des interfaces rares ou connues pour \u00eatre vuln\u00e9rables (par exemple MS-RPRN, MS-EFSR, MS-DFSNM, MS-FSRVP) ainsi que leurs opnums sp\u00e9cifiques.<\/li>\n<\/ul>\n<h3><a id=\"post-165821-_heading=h.wttolhqiapsv\"><\/a><strong>Pr\u00e9vention et durcissement autour des RPC<\/strong><\/h3>\n<p>Am\u00e9liorer la strat\u00e9gie de d\u00e9tection des communications\u00a0RPC est un \u00e9l\u00e9ment essentiel pour contrer les attaques de coercition. Les protocoles critiques qui doivent rester activ\u00e9s n\u00e9cessitent des d\u00e9tections plus sp\u00e9cifiques, tandis que d\u2019autres protocoles reposant sur RPC peuvent \u00eatre g\u00e9r\u00e9s de mani\u00e8re plus g\u00e9n\u00e9rique. Les actions suivantes peuvent aider \u00e0 pr\u00e9venir les attaques de coercition d\u00e8s les premi\u00e8res \u00e9tapes\u00a0:<\/p>\n<ul>\n<li><strong>Filtres RPC Windows\u00a0:<\/strong> Windows propose des m\u00e9canismes int\u00e9gr\u00e9s permettant de filtrer le trafic\u00a0RPC, que les d\u00e9fenseurs peuvent exploiter pour bloquer des techniques de coercition connues. Les administrateurs peuvent utiliser l\u2019outil <span style=\"font-family: 'courier new', courier, monospace;\">netsh\u00a0rpc<\/span>\u00a0filter pour mieux contr\u00f4ler et bloquer le trafic\u00a0RPC selon diff\u00e9rents crit\u00e8res.<\/li>\n<li><strong>Application de la signature SMB\u00a0:<\/strong> renforcez la s\u00e9curit\u00e9 en imposant la signature\u00a0SMB sur l\u2019ensemble du domaine. Bien qu\u2019il ne s\u2019agisse pas d\u2019une mesure de mitigation\u00a0RPC directe, cela complique consid\u00e9rablement le relais d\u2019authentifications forc\u00e9es par des acteurs malveillants.<\/li>\n<li><strong>Application de la fonctionnalit\u00e9 Extended Protection for Authentication (EPA)\u00a0:<\/strong> l\u2019EPA est une fonctionnalit\u00e9 de s\u00e9curit\u00e9\u00a0Windows con\u00e7ue pour mieux prot\u00e9ger les mat\u00e9riels d\u2019authentification lors des connexions r\u00e9seau. La <a href=\"https:\/\/learn.microsoft.com\/en-us\/dotnet\/framework\/wcf\/feature-details\/extended-protection-for-authentication-overview\" target=\"_blank\" rel=\"noopener\">documentation\u00a0Microsoft<\/a> fournit davantage de d\u00e9tails sur la mise en \u0153uvre de cette fonctionnalit\u00e9.<\/li>\n<li><strong>D\u00e9sactivation des services\u00a0RPC inutilis\u00e9s\u00a0:<\/strong> r\u00e9duisez la surface d\u2019attaque des actifs en d\u00e9sactivant les services reposant sur RPC qui ne sont pas utilis\u00e9s. N\u2019autorisez que les services r\u00e9ellement n\u00e9cessaires et coh\u00e9rents avec la fonction de l\u2019actif.<\/li>\n<\/ul>\n<p>Le Tableau\u00a02 fournit des informations d\u00e9taill\u00e9es pour d\u00e9tecter les attaques de coercition connues.<\/p>\n<table style=\"width: 100%;\">\n<tbody>\n<tr>\n<td style=\"width: 16%; text-align: center;\"><b>Protocole<\/b><\/td>\n<td style=\"width: 16%; text-align: center;\"><b>SMB Pipe<\/b><\/td>\n<td style=\"width: 16%; text-align: center;\"><b>GUID d\u2019interface<\/b><\/td>\n<td style=\"width: 16%; text-align: center;\"><b>Fonctions cl\u00e9s (Opnums)<\/b><\/td>\n<td style=\"width: 16%; text-align: center;\"><b>Exploit\/outil<\/b><b><br \/>\n<\/b><b>d\u2019attaque courant<\/b><\/td>\n<td style=\"width: 16%; text-align: center;\"><b>Principale mesure d\u2019att\u00e9nuation<\/b><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400;\">MS-RPRN<\/span><\/p>\n<p><span style=\"font-weight: 400;\">(Print System Remote Protocol)<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400;\">\\pipe\\spoolss<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">12345678-1234-abcd-ef00-0123456789ab<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">RpcRemoteFindFirstPrinterChangeNotification<\/span> <span style=\"font-weight: 400;\">(opnum 62)<\/span><\/p>\n<p><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">RpcRemoteFindFirstPrinterChangeNotificationEx <\/span><span style=\"font-weight: 400;\">(opnum 65)<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400;\">PrinterBug (PrintNightmare)<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400;\">D\u00e9sactiver le service Print\u00a0Spooler sur les contr\u00f4leurs de domaine\u00a0; imposer la signature\u00a0SMB \u00a0<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400;\">MS-EFSR<\/span><\/p>\n<p><span style=\"font-weight: 400;\">(Print System Remote Protocol)<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400;\">\\PIPE\\efsrpc<\/span><\/p>\n<p><span style=\"font-weight: 400;\">\\PIPE\\lsarpc, \\PIPE\\samr, \\PIPE\\lsass, \\PIPE\\netlogon<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">c681d488-d850-11d0-8c52-00c04fd90f7e\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">df1941c5-fe89-4e79-bf10-463657acf44d<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">EfsRpcOpenFileRaw<\/span><span style=\"font-weight: 400;\"> (opnum 0)<\/span><\/p>\n<p><span style=\"font-weight: 400;\">\u00a0<\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">EfsRpcEncryptFileSrv<\/span><span style=\"font-weight: 400;\"> (opnum 4)<\/span><\/p>\n<p><span style=\"font-weight: 400;\">\u00a0<\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">EfsRpcDecryptFileSrv <\/span><span style=\"font-weight: 400;\">(opnum 5)<\/span><\/p>\n<p><span style=\"font-weight: 400;\">\u00a0<\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">EfsRpcQueryUsersOnFile <\/span><span style=\"font-weight: 400;\">(opnum 6)<\/span><\/p>\n<p><span style=\"font-weight: 400;\">\u00a0<\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">EfsRpcQueryRecoveryAgents<\/span><span style=\"font-weight: 400;\"> (opnum 7)<\/span><\/p>\n<p><span style=\"font-weight: 400;\">\u00a0<\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">EfsRpcFileKeyInfo<\/span><span style=\"font-weight: 400;\"> (opnum 12)<\/span><\/p>\n<p><span style=\"font-weight: 400;\">\u00a0<\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">EfsRpcDuplicateEncryptionInfoFile <\/span><span style=\"font-weight: 400;\">(opnum 13)<\/span><\/p>\n<p><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">EfsRpcAddUsersToFileEx<\/span><span style=\"font-weight: 400;\"> (opnum 15)<\/span><\/p>\n<p><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">EfsRpcFileKeyInfoEx <\/span><span style=\"font-weight: 400;\">(opnum 16)<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400;\">PetitPotam<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400;\">Activer Extended Protection for Authentication\u00a0(EPA) et d\u00e9sactiver HTTP sur les serveurs AD\u00a0CS\u00a0; d\u00e9sactiver NTLM sur les serveurs AD\u00a0CS\u00a0; d\u00e9sactiver le service\u00a0EFSRPC si non n\u00e9cessaire\u00a0 <\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400;\">MS-DFSNM<\/span><\/p>\n<p><span style=\"font-weight: 400;\">(Distributed File System Namespace Management Protocol)<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400;\">\\PIPE\\netdfs<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">4fc742e0-4a10-11cf-8273-00aa004ae673<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">NetrDfsAddStdRoot<\/span><span style=\"font-weight: 400;\"> (opnum 12)<\/span><\/p>\n<p><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">NetrDfsRemoveStdRoot <\/span><span style=\"font-weight: 400;\">(opnum 13)<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400;\">DFSCoerce<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400;\">Imposer la signature\u00a0SMB\/LDAP\u00a0; d\u00e9sactiver NTLMv1\u00a0; limiter la d\u00e9l\u00e9gation\u00a0Kerberos non contrainte\u00a0 \u00a0<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400;\">MS-FSRVP<\/span><\/p>\n<p><span style=\"font-weight: 400;\">(File Server Remote VSS Protocol)<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400;\">\\PIPE\\FssagentRpc<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">a8e0653c-2744-4389-a61d-7373df8b2292<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">IsPathSupported<\/span><span style=\"font-weight: 400;\"> (opnum 8)\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">IsPathShadowCopied <\/span><span style=\"font-weight: 400;\">(opnum 9)<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400;\">ShadowCoerce<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400;\">D\u00e9sactiver le service \u00ab\u00a0File Server VSS Agent Service\u00a0\u00bb si non n\u00e9cessaire\u00a0 <\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400;\">MS-PAR<\/span><\/p>\n<p><span style=\"font-weight: 400;\">(Print System Asynchronous Remote Protocol)<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400;\">\\PIPE\\spoolss<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">76f03f96-cdfd-44fc-a22c-64950a001209<\/span><\/td>\n<td><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">RpcAsyncOpenPrinter<\/span><span style=\"font-weight: 400;\"> (opnum 0)<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400;\">PrintNightmare<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400;\">D\u00e9sactiver le service Print\u00a0Spooler sur les contr\u00f4leurs de domaine\u00a0; imposer la signature\u00a0SMB <\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400;\">MS-EVEN<\/span><\/p>\n<p><span style=\"font-weight: 400;\">(EventLog Remoting Protocol)<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400;\">\\PIPE\\even<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">82273fdc-e32a-18c3-3f78-827929dc23ea<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">ElfrOpenBELW<\/span><span style=\"font-weight: 400;\"> (opnum 9)<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400;\">CheeseOunce<\/span><\/td>\n<td style=\"width: 16%;\"><span style=\"font-weight: 400;\">D\u00e9sactiver l\u2019EventLog distant sur les contr\u00f4leurs de domaine\u00a0; appliquer les protections g\u00e9n\u00e9rales contre le relais\u00a0NTLM <\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\">Tableau\u00a02. Protocoles\u00a0RPC, interfaces et opnums permettant de d\u00e9tecter les techniques de coercition connues publiquement.<\/span><\/p>\n<h2><a id=\"post-165821-_heading=h.98o97kuwn6x9\"><\/a>Conclusion<\/h2>\n<p>La coercition d\u2019authentification repr\u00e9sente un d\u00e9fi majeur et changeant pour la s\u00e9curit\u00e9 des environnements\u00a0Windows et Active\u00a0Directory, en particulier lorsqu\u2019elle exploite des interfaces\u00a0RPC rarement surveill\u00e9es. Si les m\u00e9canismes de d\u00e9fense traditionnels offrent une protection ad\u00e9quate contre les techniques d\u00e9j\u00e0 connues, ils ne suffisent plus aujourd\u2019hui. Les attaquants s\u2019appuient d\u00e9sormais sur des fonctions\u00a0RPC peu visibles et non surveill\u00e9es, ce qui contraint les d\u00e9fenseurs \u00e0 traquer ces m\u00e9thodes de coercition difficiles \u00e0 d\u00e9tecter.<\/p>\n<p>La d\u00e9pendance de l\u2019infrastructure\u00a0Windows au RPC cr\u00e9e une surface d\u2019attaque particuli\u00e8rement vaste. Pour garder une longueur d\u2019avance sur les menaces, les organisations doivent d\u00e9passer la simple surveillance des outils d\u2019attaque ou des preuves de concept disponibles publiquement, et adopter une surveillance\u00a0RPC g\u00e9n\u00e9rique, contextualis\u00e9e et adapt\u00e9e \u00e0 leur environnement. Cela implique de rechercher activement les anomalies\u00a0\u2013 non seulement sur les vecteurs de coercition bien connus, mais aussi au sein d\u2019interfaces et de fonctions\u00a0RPC beaucoup moins utilis\u00e9es. Des pratiques telles que l\u2019\u00e9tablissement de profils comportementaux et l\u2019exploitation d\u2019analyses avanc\u00e9es ne sont plus facultatives\u00a0: elles sont devenues essentielles.<\/p>\n<p>En identifiant et en traitant de mani\u00e8re proactive ces \u00e9volutions subtiles dans les m\u00e9thodes des attaquants, les organisations peuvent renforcer consid\u00e9rablement leur posture de s\u00e9curit\u00e9 et b\u00e2tir des d\u00e9fenses plus r\u00e9silientes face aux adversaires.<\/p>\n<p>Les clients de Palo\u00a0Alto\u00a0Networks sont mieux prot\u00e9g\u00e9s contre les menaces mentionn\u00e9es ci-dessus gr\u00e2ce aux produits suivants\u00a0:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xdr\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a> et <a href=\"https:\/\/www.paloaltonetworks.com\/resources\/datasheets\/cortex-xsiam-aag\" target=\"_blank\" rel=\"noopener\">XSIAM<\/a>\n<ul>\n<li>L\u2019analyse du comportement des utilisateurs et des entit\u00e9s\u00a0(UEBA) est con\u00e7ue pour d\u00e9tecter les menaces li\u00e9es \u00e0 l\u2019authentification et aux identifiants en analysant l\u2019activit\u00e9 des utilisateurs \u00e0 partir de multiples sources de donn\u00e9es\u00a0: terminaux, pare-feu r\u00e9seau, Active\u00a0Directory, solutions\u00a0IAM et workloads\u00a0cloud. Cortex \u00e9tablit des profils comportementaux au fil du temps gr\u00e2ce au machine learning. En comparant l\u2019activit\u00e9 nouvelle avec l\u2019activit\u00e9 pass\u00e9e, celle des pairs et le comportement attendu de l\u2019entit\u00e9, Cortex d\u00e9tecte plus efficacement les anomalies r\u00e9v\u00e9latrices d\u2019attaques bas\u00e9es sur des mat\u00e9riels d\u2019authentification.<\/li>\n<\/ul>\n<\/li>\n<li>Les <a href=\"https:\/\/www.paloaltonetworks.com\/resources\/datasheets\/unit42-managed-detection-and-response\" target=\"_blank\" rel=\"noopener\">services manag\u00e9s de d\u00e9tection et r\u00e9ponse \u00e0 incident\u00a0(MDR) d\u2019Unit\u00a042<\/a> garantissent une d\u00e9tection, une investigation et une r\u00e9ponse\/rem\u00e9diation continues aux organisations de toutes tailles, 24h\/7j et partout dans le monde.<\/li>\n<\/ul>\n<p>Si vous pensez que votre entreprise a pu \u00eatre compromise ou si vous faites face \u00e0 une urgence, contactez l\u2019<a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">\u00e9quipe Unit\u00a042 de r\u00e9ponse \u00e0 incident<\/a> ou composez l\u2019un des num\u00e9ros suivants\u00a0:<\/p>\n<ul>\n<li>Am\u00e9rique du Nord\u00a0: Gratuit\u00a0: +1 (866) 486-4842 (866.4.UNIT42)<\/li>\n<li>Royaume-Uni\u00a0: +44\u00a020\u00a03743\u00a03660<\/li>\n<li>Europe et Moyen-Orient\u00a0: +31.20.299.3130<\/li>\n<li>Asie\u00a0: +65.6983.8730<\/li>\n<li>Japon\u00a0: +81\u00a050\u00a01790\u00a00200<\/li>\n<li>Australie\u00a0: +61.2.4062.7950<\/li>\n<li>Inde\u00a0: 00080005045107<\/li>\n<\/ul>\n<p>Palo\u00a0Alto\u00a0Networks a partag\u00e9 ces conclusions avec les autres membres de la Cyber\u00a0Threat\u00a0Alliance (CTA). Les membres de la CTA s\u2019appuient sur ces renseignements pour d\u00e9ployer rapidement des mesures de protection aupr\u00e8s de leurs clients et perturber de mani\u00e8re coordonn\u00e9e les activit\u00e9s des cybercriminels. Cliquez ici pour en savoir plus sur la <a href=\"https:\/\/www.cyberthreatalliance.org\" target=\"_blank\" rel=\"noopener\">Cyber\u00a0Threat Alliance<\/a>.<\/p>\n<h2><a id=\"post-165821-_heading=h.cc12bg9d6xj3\"><\/a>Pour aller plus loin<\/h2>\n<ul>\n<li><a href=\"https:\/\/www.blackhat.com\/eu-22\/briefings\/schedule\/#searching-for-rpc-functions-to-coerce-authentications-in-microsoft-protocols-29154\" target=\"_blank\" rel=\"noopener\">Searching for RPC Functions to Coerce Authentications in Microsoft Protocols<\/a> \u2014 Remi Gascou, Black Hat 2022<\/li>\n<li><a href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/rpc\/how-rpc-works\" target=\"_blank\" rel=\"noopener\">How RPC Works<\/a> \u2014 Documentation Microsoft<\/li>\n<li><a href=\"https:\/\/www.cisa.gov\/known-exploited-vulnerabilities-catalog\" target=\"_blank\" rel=\"noopener\">Known Exploited Vulnerabilities Catalog<\/a> \u2014 U.S. Cybersecurity and Infrastructure Security Agency<\/li>\n<li><a href=\"https:\/\/www.cisa.gov\/news-events\/cybersecurity-advisories\/aa22-074a\" target=\"_blank\" rel=\"noopener\">Russian State-Sponsored Cyber Actors Gain Network Access by Exploiting Default Multifactor Authentication Protocols and \u201cPrintNightmare\u201d Vulnerability<\/a> \u2014 U.S. Cybersecurity and Infrastructure Security Agency<\/li>\n<li><a href=\"https:\/\/unit42.paloaltonetworks.com\/manic-menagerie-targets-web-hosting-and-it\/\" target=\"_blank\" rel=\"noopener\">Manic Menagerie 2.0: The Evolution of a Highly Motivated Threat Actor<\/a> \u2014 Unit 42<\/li>\n<li><a href=\"https:\/\/unit42.paloaltonetworks.com\/cve-2021-34527-printnightmare\/\" target=\"_blank\" rel=\"noopener\">Threat Brief: Windows Print Spooler RCE Vulnerability (CVE-2021-34527 AKA PrintNightmare)<\/a> \u2014 Unit 42<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>La technique de \u00ab session smuggling \u00bb (ou d\u00e9tournement de session) agentique est une m\u00e9thode in\u00e9dite qui exploite \u00e0 mauvais escient la communication entre agents IA. Nous pr\u00e9sentons ici deux preuves de concept.<\/p>\n","protected":false},"author":366,"featured_media":165005,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8832,8850],"tags":[9788,9789,9790,9776],"product_categories":[9041,9053,9064,9151],"coauthors":[9775,9786],"class_list":["post-165821","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-threat-research-fr","category-vulnerabilities-fr","tag-mimikatz-fr","tag-printnightmare-fr","tag-privilege-escalation-fr","tag-windows-fr","product_categories-cortex-fr","product_categories-cortex-xdr-fr","product_categories-cortex-xsiam-fr","product_categories-unit-42-incident-response-fr"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>La coercition d\u2019authentification n\u2019a pas dit son dernier mot\u00a0\u2013 cap sur cette menace en \u00e9volution<\/title>\n<meta name=\"description\" content=\"La technique de \u00ab session smuggling \u00bb (ou d\u00e9tournement de session) agentique est une m\u00e9thode in\u00e9dite qui exploite \u00e0 mauvais escient la communication entre agents IA. Nous pr\u00e9sentons ici deux preuves de concept.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/authentication-coercion\/\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"La coercition d\u2019authentification n\u2019a pas dit son dernier mot\u00a0\u2013 cap sur cette menace en \u00e9volution\" \/>\n<meta property=\"og:description\" content=\"La technique de \u00ab session smuggling \u00bb (ou d\u00e9tournement de session) agentique est une m\u00e9thode in\u00e9dite qui exploite \u00e0 mauvais escient la communication entre agents IA. Nous pr\u00e9sentons ici deux preuves de concept.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/fr\/authentication-coercion\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-11-10T16:25:34+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-11-19T15:19:52+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/07_Vulnerabilities_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Bar Maor, Hila Cohen\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"La coercition d\u2019authentification n\u2019a pas dit son dernier mot\u00a0\u2013 cap sur cette menace en \u00e9volution","description":"La technique de \u00ab session smuggling \u00bb (ou d\u00e9tournement de session) agentique est une m\u00e9thode in\u00e9dite qui exploite \u00e0 mauvais escient la communication entre agents IA. Nous pr\u00e9sentons ici deux preuves de concept.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/fr\/authentication-coercion\/","og_locale":"fr_FR","og_type":"article","og_title":"La coercition d\u2019authentification n\u2019a pas dit son dernier mot\u00a0\u2013 cap sur cette menace en \u00e9volution","og_description":"La technique de \u00ab session smuggling \u00bb (ou d\u00e9tournement de session) agentique est une m\u00e9thode in\u00e9dite qui exploite \u00e0 mauvais escient la communication entre agents IA. Nous pr\u00e9sentons ici deux preuves de concept.","og_url":"https:\/\/unit42.paloaltonetworks.com\/fr\/authentication-coercion\/","og_site_name":"Unit 42","article_published_time":"2025-11-10T16:25:34+00:00","article_modified_time":"2025-11-19T15:19:52+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/07_Vulnerabilities_1920x900.jpg","type":"image\/jpeg"}],"author":"Bar Maor, Hila Cohen","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/authentication-coercion\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/authentication-coercion\/"},"author":{"name":"Sheida Azimi","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"headline":"La coercition d\u2019authentification n\u2019a pas dit son dernier mot\u00a0\u2013 cap sur cette menace en \u00e9volution","datePublished":"2025-11-10T16:25:34+00:00","dateModified":"2025-11-19T15:19:52+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/authentication-coercion\/"},"wordCount":4096,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/authentication-coercion\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/07_Vulnerabilities_1920x900.jpg","keywords":["Mimikatz","PrintNightmare","privilege escalation","Windows"],"articleSection":["Recherche sur les menaces","Vuln\u00e9rabilit\u00e9s"],"inLanguage":"fr-FR"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/authentication-coercion\/","url":"https:\/\/unit42.paloaltonetworks.com\/fr\/authentication-coercion\/","name":"La coercition d\u2019authentification n\u2019a pas dit son dernier mot\u00a0\u2013 cap sur cette menace en \u00e9volution","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/authentication-coercion\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/authentication-coercion\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/07_Vulnerabilities_1920x900.jpg","datePublished":"2025-11-10T16:25:34+00:00","dateModified":"2025-11-19T15:19:52+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"description":"La technique de \u00ab session smuggling \u00bb (ou d\u00e9tournement de session) agentique est une m\u00e9thode in\u00e9dite qui exploite \u00e0 mauvais escient la communication entre agents IA. Nous pr\u00e9sentons ici deux preuves de concept.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/authentication-coercion\/#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/fr\/authentication-coercion\/"]}]},{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/authentication-coercion\/#primaryimage","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/07_Vulnerabilities_1920x900.jpg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/07_Vulnerabilities_1920x900.jpg","width":1920,"height":900,"caption":"Pictorial representation of an authentication coercion attack. Panoramic view of a city skyline at night, featuring vibrant light beams from skyscrapers and a deep blue sky."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/authentication-coercion\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"La coercition d\u2019authentification n\u2019a pas dit son dernier mot\u00a0\u2013 cap sur cette menace en \u00e9volution"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"fr-FR"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639","name":"Sheida Azimi","image":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/4ffb3c2d260a0150fb91b3715442f8b3","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Sheida Azimi"},"url":"https:\/\/unit42.paloaltonetworks.com\/fr\/author\/sheida-azimi\/"}]}},"_links":{"self":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/165821","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/users\/366"}],"replies":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/comments?post=165821"}],"version-history":[{"count":3,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/165821\/revisions"}],"predecessor-version":[{"id":166126,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/165821\/revisions\/166126"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media\/165005"}],"wp:attachment":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media?parent=165821"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/categories?post=165821"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/tags?post=165821"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/product_categories?post=165821"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/coauthors?post=165821"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}