{# Use overflow-x: clip instead of hidden so html/body don't become scroll containers, which would break `position: sticky` (e.g. the blog TOC sidebar). #} Mouvement latéral : définition et fonctionnement | Trapster
Définition

Mouvement latéral

Le mouvement latéral correspond à la phase qui suit la compromission initiale : l'attaquant a obtenu un premier accès, souvent sur un poste de travail peu sensible, et cherche désormais à se déplacer de machine en machine pour atteindre des cibles à forte valeur — contrôleurs de domaine, bases de données, serveurs de sauvegarde. C'est une étape clé de la plupart des attaques modernes, et l'une des plus difficiles à détecter car l'adversaire utilise fréquemment des identifiants et des protocoles d'administration tout à fait légitimes. Le référentiel MITRE ATT&CK lui consacre une tactique dédiée, Lateral Movement (TA0008).

Comment ça fonctionne

Une fois installé sur un premier hôte, l'attaquant procède à une reconnaissance interne pour cartographier le réseau, identifier les comptes privilégiés et repérer les chemins vers ses objectifs. Il collecte ensuite des secrets — mots de passe en mémoire, condensats NTLM, tickets Kerberos, clés SSH — puis les réutilise pour s'authentifier sur d'autres systèmes. L'enjeu est de rester discret : en se fondant dans le trafic d'administration normal, il échappe souvent aux détections fondées sur les signatures. Plus son temps de présence (dwell time) s'allonge, plus il consolide son emprise et multiplie ses points de repli.

Les techniques les plus courantes exploitent les mécanismes natifs des environnements Windows et Active Directory :

  • Pass-the-hash : réutilisation directe d'un condensat NTLM volé pour s'authentifier sans connaître le mot de passe en clair.
  • Pass-the-ticket : vol et rejeu de tickets Kerberos, y compris des attaques de type Golden Ticket et Silver Ticket.
  • PsExec et SMB : exécution de commandes à distance via le partage de fichiers et les services Windows.
  • WMI et WinRM : exécution distante via les interfaces d'administration intégrées, particulièrement furtive.
  • RDP : connexions Bureau à distance à l'aide d'identifiants dérobés.
  • Identifiants volés : réutilisation de comptes valides obtenus par phishing, keylogging ou extraction mémoire.

Place dans la kill chain

Le mouvement latéral s'inscrit entre l'accès initial et l'atteinte de l'objectif final (exfiltration, chiffrement, sabotage). Il s'enchaîne avec l'escalade de privilèges, la persistance et la reconnaissance, formant une boucle que l'attaquant répète jusqu'à atteindre les actifs critiques. C'est aussi le moment où une menace interne (insider threat) devient indiscernable d'un compte compromis, puisque dans les deux cas l'activité repose sur des accès légitimes. Cette ambiguïté explique pourquoi le mouvement latéral reste l'une des phases les plus longues et les plus coûteuses à détecter dans un incident.

Détection par la déception

C'est précisément contre cette phase que la sécurité par la déception est la plus efficace. Là où les outils de détection classiques peinent à distinguer un administrateur légitime d'un attaquant utilisant des identifiants valides, la déception change la logique : elle parsème le réseau de leurres (decoys) et d'appâts (breadcrumbs) qui n'ont aucune raison d'être touchés par un utilisateur légitime.

Un attaquant qui explore le réseau à la recherche de sa prochaine cible finit immanquablement par trébucher sur un piège : il découvre des identifiants factices semés sur un poste, tente de s'y connecter et déclenche une alerte à haute fiabilité. Parce qu'aucune activité légitime ne devrait viser un leurre, chaque interaction est par nature suspecte, ce qui réduit drastiquement les faux positifs.

  • Les breadcrumbs (faux identifiants, partages, entrées DNS) orientent l'attaquant vers les leurres et révèlent sa progression.
  • Les honeytokens et comptes pièges signalent toute tentative de pass-the-hash ou de réutilisation d'identifiants.
  • Les leurres imitant serveurs et services attirent les tentatives de RDP, SMB ou WMI et capturent les techniques employées.
  • Le mapping sur MITRE ATT&CK permet de relier chaque alerte à une technique précise de la tactique TA0008.

En transformant chaque chemin du réseau en piège potentiel, la déception réduit le temps de présence de l'attaquant et fournit aux analystes SOC un signal clair, contextualisé et immédiatement exploitable.

Avec Trapster

Trapster déploie automatiquement leurres et breadcrumbs le long des chemins qu'emprunte un attaquant en phase de mouvement latéral. Dès qu'un identifiant factice est rejoué ou qu'un leurre est sondé, une alerte à très faible taux de faux positifs est levée et corrélée à la technique MITRE ATT&CK correspondante.

Termes liés

Breadcrumb (miette) Trace ou indice volontairement planté sur un poste réel pour être découvert par un attaquant et l'orienter vers un leurre ou un honeypot. MITRE ATT&CK Base de connaissances mondiale des tactiques et techniques adverses observées en conditions réelles, structurée en tactiques et techniques. Dwell time (temps de présence) Le dwell time désigne la durée écoulée entre la compromission initiale d'un attaquant et sa détection au sein du système d'information. Menace interne Risque de sécurité provenant de personnes disposant d'un accès légitime : collaborateurs malveillants, négligents ou comptes compromis.

Passez de la théorie à la détection

Découvrez comment Trapster déploie honeypots, leurres et honeytokens sur votre réseau pour transformer chaque interaction suspecte en alerte fiable.

Réserver une démo Tout le glossaire

Démo de 30 min, sans engagement · Hébergé en France