Les binaires Windows légitimes ont dépassé les scripts PowerShell pour devenir le premier vecteur d'infection sur les endpoints, selon WatchGuard. Ce basculement consacre le Living-off-the-Land (LotL) comme paradigme offensif dominant : les attaquants n'introduisent plus de code étranger, ils détournent les outils du système d'exploitation pour mener des opérations complètes sans déposer un seul artefact identifiable.
La rapport WatchGuard Internet Security Report H2 2025 marque un tournant méthodologique. il abandonne sa cadence trimestrielle au profit d'une publication semestrielle, au motif que « les cycles d'attaque sont devenus trop longs et complexes pour être lus en trois mois ». Le choix éditorial lui-même est un signal. Il traduit une réalité opérationnelle que les équipes de sécurité connaissent bien : les campagnes LotL s'inscrivent dans la durée, exploitent la persistance discrète, et ne produisent pas les pics d'activité qui rendaient les instantanés trimestriels pertinents.
Le rapport enregistre une hausse de 26 % des détections de maliciels réseau d'un semestre à l'autre, avec une moyenne de 1 260 détections par Firebox. Simultanément, la part de maliciels zero-day — ceux nécessitant des techniques proactives de type IAV ou APT Blocker pour être interceptés — chute à 23 % du volume total détecté, contre deux tiers au premier semestre 2025. Cette décorrélation reflète une répartition du travail offensif. Les campagnes de masse, portées par des botnets automatisés exploitant des vulnérabilités connues, génèrent du volume et s'appuient sur des vecteurs bien documentés, donc détectables par signature. Les opérations LotL ciblées, elles, opèrent sur un registre différent.
Les maliciels uniques explosent de 1 548 % au Q4
La mécanique est directement lisible dans les chiffres par service : les détections GAV — basées sur signatures — bondissent de 89 % par Firebox, quand les détections IAV reculent de 49 % et celles d'APT Blocker de 16 %. Ce gradient indique que la part de menaces effectivement inédites et évasives diminue dans le flux réseau, non parce que les attaquants renoncent à la sophistication, mais parce qu'ils la déplacent. Pour un DSI, cette lecture implique un risque de sur-confiance dans les tableaux de bord de détection : une hausse des détections GAV peut masquer un déplacement des menaces vers des vecteurs comportementaux que ces mêmes outils ne couvrent pas.
Les attaques réseau au sens IPS reculent quant à elles de 28 % en volume, avec une baisse parallèle du nombre d'exploits uniques détectés. Les vecteurs dominants restent des vulnérabilités anciennes, massivement scannées par des frameworks automatisés. Ce constat est structurel depuis plusieurs rapports : l'entretien de la dette de patching reste le premier levier défensif contre cette couche d'attaques, indépendamment de toute évolution des tactiques LotL.
La signature de stratégies LotL mature
Sur les points terminaux protégés par WatchGuard EPDR et AD360, le volume total de maliciels détectés recule légèrement sur l'ensemble du semestre (−4,6 %), mais ce chiffre agrégé dissimule une dynamique de fond radicalement différente. Le nombre de maliciels uniques et inédits détectés croît tout au long du second semestre, et explose de 1 548 % au quatrième trimestre spécifiquement. Cette divergence entre volume total en baisse et diversité en hausse exponentielle est précisément la signature d'une stratégie LotL mature : moins de bruit, plus de variantes sur mesure, polymorphes, conçues pour échapper aux moteurs de correspondance statique.
Pour un RSSI, cette différence a une implication directe : les taux de détection classiques — nombre d'incidents bloqués — ne constituent plus un indicateur fiable de la surface de risque. Une organisation dont le volume de détections diminue peut simultanément faire face à une prolifération de souches inédites que ses outils n'ont jamais rencontrées. La métrique pertinente se déplace vers la couverture comportementale : quelle proportion des techniques d'exécution LotL — abus de processus système, injection en mémoire, exécution sans fichier — est effectivement supervisée et alertée dans l'environnement ?
Les binaires Windows détournés supplantent Powershell
Le rapport documente par ailleurs un glissement du vecteur d'entrée : depuis deux ans, les scripts malveillants (PowerShell au premier rang) dominaient les statistiques d'infection initiale sur les endpoints. Sur la trajectoire H2 2025, les binaires Windows détournés les ont supplantés en Q4. Ce déplacement reflète une adaptation aux contre-mesures déployées par les équipes défensives : la surveillance de PowerShell s'est généralisée, les politiques d'exécution de scripts se sont durcies. Les attaquants ont répondu en descendant d'un niveau d'abstraction, en visant directement la couche binaire native du système d'exploitation.
Le chiffrement TLS constitue l'autre axe du paysage H2 2025. Les maliciels évasifs détectés sur des connexions chiffrées augmentent de près de 2 000 % sur la période. Ce chiffre doit être lu en corrélation avec la composition des menaces : les droppers représentent six des dix premiers maliciels par volume (60 %) et quatre des cinq premières menaces détectées sur connexions chiffrées (80 %). Dans une chaîne d'attaque LotL, le dropper est la pièce logistique critique — il établit l'accès initial, neutralise certaines protections, prépare l'exécution en mémoire des étapes suivantes. Le fait qu'il transite majoritairement en TLS rend sa détection périmétrique structurellement aveugle sans inspection des flux chiffrés.
Le rançongiciel se concentre sur le « big game hunting »
La logique opérationnelle est cohérente : une fois le système compromis via un binaire légitime Windows, le malware utilise des connexions HTTPS pour recevoir ses instructions C2 et exfiltrer ses données, indiscernable du trafic web ordinaire de l'organisation. Sans capacité de déchiffrement et d'inspection TLS au niveau du pare-feu ou du proxy, cette communication passe intégralement sous le radar des équipes SOC. Pour les architectes réseau, cela pose une équation de compromis entre inspection de sécurité, charge de traitement, conformité RGPD et gestion des certificats — un arbitrage que les outils de Next-Generation Firewall doivent désormais adresser explicitement dans les politiques de filtrage.
Le volume de rançongiciels détectés recule de 68,42 % sur l'ensemble de l'année 2025. WatchGuard formule une hypothèse directement reliée aux dynamiques LotL : les groupes rançongiciel pratiquent désormais le big game hunting — identifier et compromettre des cibles à forte capacité de paiement plutôt que de diffuser des campagnes de masse indiscriminées. Cette stratégie nécessite précisément les capacités que le LotL fournit : reconnaissance longue durée, persistance discrète, mouvement latéral silencieux dans l'environnement Active Directory, exfiltration progressive avant chiffrement. Le recul du volume de détections rançongiciel ne signifie donc pas un recul des extorsions réussies ; il signale une sélection plus rigoureuse des cibles.
Simultanément, les cryptomineurs retrouvent des niveaux de détection proches de leur pic du premier trimestre 2025. Pour les acteurs cherchant une monétisation rapide et discrète, infecter un parc de machines pour miner de la cryptomonnaie reste une option à faible risque d'exposition — surtout si les processus de minage se dissimulent derrière des binaires système légitimes ou s'exécutent directement en mémoire. Pour un DSI, ce double signal — rançongiciel ciblé, cryptominer diffus — implique deux postures défensives distinctes : la première exige une supervision comportementale fine du patrimoine critique ; la seconde requiert une surveillance des ressources CPU/GPU anormales et des connexions sortantes vers des pools de minage, vecteurs que les outils de détection réseau peuvent effectivement capturer.
Détection comportementale, la réponse au LotL
Le basculement documenté par WatchGuard impose une révision du modèle de détection. La signature de fichier devient structurellement insuffisante dès lors que le code malveillant n'est jamais écrit sur le disque. La confiance implicite dans les binaires Windows signés est la faille centrale exploitée par le LotL — restreindre les applications autorisées à appeler PowerShell, limiter l'exécution de scripts non signés, désactiver les binaires LOLBAS inutiles dans l'environnement opérationnel constituent des mesures de durcissement concrètes et immédiatement actionnables sans investissement outillage supplémentaire.
Le déploiement de solutions EDR et XDR capables d'analyser les chaînes de processus et de corréler les événements entre équipements réseau et endpoints constitue la réponse structurelle. L'objectif n'est pas de bannir les outils système — PowerShell, WMI, certutil restent des composants légitimes indispensables à l'administration — mais de contextualiser leur usage : quel processus parent les a invoqués, vers quelle destination réseau communiquent-ils, quelle séquence de comportements initient-ils. C'est à ce niveau de granularité que la détection LotL devient opérationnelle, et que la corrélation XDR prend toute sa valeur différenciante par rapport aux outils de supervision traditionnels.
