PamDOORa : La Nouvelle Menace Linux Qui Vole Vos Identifiants SSH Via les Modules PAM
Orphée Grandsable
En mars 2026, un acteur menaçant sous le pseudonyme « darkworm » a lancé la commercialisation d’un nouvel outil de compromission sur le forum cybercrime Rehub : PamDOORa, une backdoor Linux basée sur les modules PAM (Pluggable Authentication Module). Commercialisé initialement à 1 600 dollars, le prix a rapidement chuté à 900 dollars en avril, signe d’un intérêt limité ou d’une volonté d’accélérer les ventes. Cette évolution illustre une tendance préoccupante : les attaquants affinent leurs techniques pour siphonner les identifiants SSH tout en restant indétectables.
Cette backdoor représente une montée en gamme par rapport aux preuves de concept publiques. Elle intègre des capacités anti-débogage, des déclencheurs réseau spécifiques et une architecture modulaire qui la place dans la catégorie des outils opérateurs, loin des scripts rudimentaires autrefois disponibles sur les marchés criminels.
Comprendre le fonctionnement des modules PAM sous Linux
Les modules PAM constituent le socle de l’authentification sur les systèmes Unix et Linux. Ce framework permet aux administrateurs système d’intégrer et de modifier les mécanismes d’authentification sans réécrire les applications existantes. Un module pam_exec peut, par exemple, exécuter des commandes externes à chaque tentative d’authentification, ce qui offre une flexibilité considérable pour automatiser des tâches administratives ou implémenter des politiques de sécurité renforcées.
Le problème fondamental réside dans les privilèges élevés : les modules PAM s’exécutent avec les droits root, ce qui signifie qu’un module compromis ou malveillant dispose d’un accès complet au système. Selon Group-IB, les modifications malveillantes des modules PAM peuvent créer des backdoors ou voler des identifiants, d’autant que PAM ne stocke pas les mots de passe mais transmet les valeurs en clair lors du processus d’authentification.
« La modularité du framework PAM introduit des risques significatifs : des modifications malveillantes peuvent établir des points d’entrée persistants ou extraire des credentials, particulièrement puisque PAM transmet les valeurs en texte clair plutôt que de les stocker. » - Group-IB, septembre 2024
Cette caractéristique fait des modules PAM une cible privilégiée pour les attaquants ayant déjà obtenu un accès initial à un système. Une fois le module malveillant déployé, il devientvirtuellement impossible à détecter sans surveillance approfondie des fichiers PAM et des journaux d’authentification.
PamDOORa : architecture et fonctionnalités de la backdoor
Découverte et analysée par les chercheurs d Flare.io, PamDOORa se présente comme une boîte à outils post-exploitation conçue pour s’implanter de manière persistante sur les systèmes Linux x86_64. Son fonctionnement repose sur une combinaison précise : un mot de passe magic et un port TCP spécifique permettent à l’attaquant de contourner l’authentification SSH standard.
Capture centralisée des identifiants
La fonctionnalité principale de PamDOORa réside dans sa capacité à intercepter les credentials de tous les utilisateurs légitimes s’authentifiant sur le système compromis. Contrairement aux outils basiques qui ciblent des comptes spécifiques, cette backdoor récupère l’ensemble des identifiants transitant par le module PAM infecté. Les données sont généralement exfiltrées vers un serveur de commande et contrôle (C2) défini par l’opérateur.
Cette approche permet à l’attaquant de constituer un reservoir d’identifiants valides qu’il pourra réutiliser ultérieurement, que ce soit pour progresser latéralement dans le réseau ou pour revendre ces credentials sur les marchés criminels, comme l’illustrent les cyberattaques ciblant le secteur bancaire en 2026.
Contournement de l’authentification SSH
L’accès au système via PamDOORa ne nécessite pas de credentials volés. Un mot de passe secret, configurable par l’attaquant, combiné à la connexion sur un port TCP prédéfini, ouvre un shell privilégié sans laisser de trace dans les logs d’authentification standard. Cette technique permet un accès persistantsans jamais utiliser les comptes utilisateurs légitimes du système compromis.
Capacités anti-forensiques
Au-delà de la simple capture de credentials, PamDOORa incorpore des fonctionnalités de tampering systématique des journaux d’authentification. Cette capacité anti-forensique vise à effacer les traces de l’activité malveillante, compliquant considérablement les investigations post-incident. Les chercheurs d Flare.io ont documenté comment l’outil manipule les fichiers de logs pour masquer les connexions établies via le mot de passe magic.
Cette sophistication distingue PamDOORa des scripts de preuve de concept : l’opérateur peut dissimuler son activité tout en maintenant un accès durable au système compromis.
Fonctionnalités anti-débogage et pipeline de construction
L’implant intègre des mesures anti-débogage destinées à entraver les analyses dynamiques en laboratoire. Ces protections compliquent l’étude du code malveillant et ralentissent la détection par les solutions de sécurité basées sur le comportement.
Par ailleurs, PamDOORa dispose d’un builder pipeline qui permet à l’opérateur de générer des variantes personnalisées adaptées à différentes cibles. Cette infrastructure de génération automatisée suggère une ambition commerciale : proposer un outil fonctionnel et adaptable, capable de cibler des environnements Linux variés.
Comparaison avec les autres backdoors PAM : PamDOORa face à Plague
PamDOORa n’est pas la première backdoor PAM découverte ciblant les systèmes Linux. En 2025, les chercheurs ont identifié Plague, une backdoor similaire exploitant également le framework PAM pour la capture d’identifiants et l’accès persistant.
Voici une comparaison des caractéristiques principales de ces deux implantations :
| Caractéristique | PamDOORa | Plague |
|---|---|---|
| Prix de vente | 900 $ (réduit de 1 600 $) | Non publicly sold |
| Opérateur | « darkworm » | Non identifié |
| Capture de credentials | Tous les utilisateurs | Tous les utilisateurs |
| Accès magiques | Mot de passe + port TCP | Non documenté |
| Anti-forensique | Tampering des logs | Partiel |
| Plateforme | Linux x86_64 | Linux (non spécifié) |
| Builder pipeline | Oui | Non |
| Anti-débogage | Oui | Partiel |
Selon Assaf Morag, chercheur chez Flare.io : « Bien que PamDOORa partage une approche similaire avec Plague en modifiant le comportement PAM pour la capture de credentials, les différences de conception sont significatives. Sans comparaison exhaustive des binaires, nous ne pouvons pas entirely exclure un lien commun. »
La présence d’un builder pipeline et d’un système de prix commercial suggère que PamDOORa représente une évolution vers une professionnalisation de ces outils sur le marché cybercrime.
Infection chains et vecteurs d’attaque probables
À ce stade, aucune attaque réelle utilisant PamDOORa n’a été documentée. Les chercheurs推測ent que les infection chains impliquent une phase initiale d’accès root au système cible. Les vecteurs privilégiés pour obtenir cette première compromission incluent :
- Exploitation de vulnérabilités dans les services exposés (SSH, applications web, services réseau), comme une vulnérabilité critique cPanel exposant des millions d’utilisateurs
- Attaques par force brute sur les services SSH exposés
- Compromission de la chaîne d’approvisionnement ou de dépendances utilisées
- Ingénierie sociale ciblant les administrateurs système
Une fois l’accès root acquis, le déploiement du module PAM malveillant devient trivial. L’attaquant remplace ou crée un module dans le répertoire /lib/security/ ou /lib64/security/, puis modifie la configuration PAM pour l’activer. Le module s’exécute désormais à chaque authentification, capturant les credentials en arrière-plan.
« PamDOORa représente une évolution par rapport aux PAM backdoors open-source existantes. Si les techniques individuelles (hooks PAM, capture de credentials, manipulation de logs) sont bien documentées, leur intégration dans un implant modulaire cohesive avec anti-débogage, déclencheurs réseau et pipeline de construction le place plus près des outils opérateurs que des preuves de concept brutes trouvées dans les dépôts publics. » - Assaf Morag, Flare.io
Menaces associées aux modules PAM : au-delà de PamDOORa
L’émergence de PamDOORa s’inscrit dans un contexte plus large de ciblage des modules PAM par les attaquants. Le module pam_exec, particulièrement flexible, constitue un vecteur privilégié pour l’établissement de contrôles persistants. Les administrateurs的系统 podem exploiter pam_exec pour automatiser des tâches, mais les attaquants peuvent injecter des scripts malveillants dans les fichiers de configuration PAM pour obtenir des shells privilégiés ou établir une persistance furtive.
La manipulation des configurations PAM pour l’authentification SSH permet d’exécuter des scripts via pam_exec, offrant potentiellement à un acteur malveillant l’accès à un shell privilégié sur l’hôte tout en facilitant une persistance discrète. Cette technique a été documentée par plusieurs fournisseurs de sécurité et constitue un risque sous-estimé par de nombreuses organisations.
Les statistiques récentes du secteur montrent que :
- 67 % des compromissions de serveurs Linux impliquent une forme d’élévation de privilèges via des mécanismes d’authentification (source : étude Group-IB 2025)
- Les attaques ciblant les services SSH ont augmenté de 45 % entre 2024 et 2025 selon les données de mandats de recherche en sécurité
- Le marché des outils post-exploitation basés sur PAM représente plusieurs centaines de milliers de dollars de transactions annuelles sur les forums criminels
Comment détecter et contrer les backdoors PAM
La détection des modules PAM malveillants représente un défi complexe mais pas insurmontable. Voici les approches recommandées pour les équipes de sécurité :
Vérification de l’intégrité des modules
- Générer des empreintes Hash des modules PAM légitimes et les stocker dans un emplacement sécurisé
- Comparer régulièrement les empreintes des modules installés avec les références connues
- Surveiller les modifications des fichiers dans /lib/security/ et /lib64/security/
- Implémenter une liste blanche des modules PAM autorisés sur chaque système
Audit des configurations PAM
Les fichiers de configuration dans /etc/pam.d/ doivent être audités régulièrement. Une configuration suspecte peut inclure :
- Des modules non documentés dans la ligne de configuration
- Des références à des exécutables externes inhabituels
- Des paramètres de configuration incohérents avec le profil de base du système
- L’activation de modules non nécessaires aux opérations métier
Surveillance des journaux d’authentification
Bien que PamDOORa intègre des capacités de tampering, certains indicateurs peuvent rester :
- Connexions SSH depuis des adresses IP inhabituelles en dehors des plages légitimes
- Tentatives d’authentification réussies sans corresponding entry dans les logs applicatifs
- Anomalies temporelles : connexions à des heures inhabituelles pour les utilisateurs concernés
- Trafic réseau suspect vers des destinations inconnues lors des processus d’authentification
Mesures de protection recommandées
| Mesure | Priorité | Complexité |
|---|---|---|
| Activation de l’authentification par clé SSH | Élevée | Faible |
| Mise en place de ladouble authentification (2FA) | Élevée | Moyenne |
| Déploiement d’une solution de monitoring des fichiers | Élevée | Moyenne |
| Implémentation du principe du moindre privilège | Critique | Élevée |
| Segmentation réseau des serveurs SSH exposés | Critique | Élevée |
| Mise en place de l’audit PAM automatisé | Moyenne | Élevée |
Implications pour la sécurité des environnements Linux
L’apparition de PamDOORa sur le marché cybercrime marque un tournant dans la sophistication des outils disponibles pour les attaquants. La convergence de plusieurs fonctionnalités - capture de credentials, accès magique, anti-forensique et builder pipeline - transforme ce qui était autrefois l’apanage d’acteurs étatiques en une capability accessible aux cybercriminels de niveau intermédiaire.
Pour les organisations exploitant des infrastructures Linux, cette évolution implique une vigilance accrue. La surface d’attaque représentée par les modules PAM doit être considérée comme critique : chaque modification non autorisée peut compromettre l’intégralité du système d’authentification.
Les recommandations pratiques incluent :
- Réviser les politiques de sécurité pour intégrer la surveillance des modules PAM comme contrôle critique
- Former les équipes SOC à la détection des anomalies liées aux hooks PAM
- Implémenter des solutions EDR capables de détecter les comportements suspects liés à l’authentification, conformément aux recommandations d’un guide des outils de cybersécurité en 2026
- Mettre en place des procédures de réponse aux incidents spécifiques aux compromissions PAM
Conclusion : anticiper la menace PamDOORa
PamDOORa illustre une évolution趋势 clear vers la commercialisation d’outils d’accès persistant sophistiqués ciblant specifically les environnements Linux. Bien qu’aucune attaque active n’ait encore été documentée, le prix attractif et la disponibilité sur les forums cybercrime suggèrent une adoption potentielle par des acteurs divers.
Les organisations doivent proactivement renforcer leurs défenses contre les backdoors PAM en mettant en place une surveillance continue des modules d’authentification, des audits réguliers des configurations et des mécanismes de détection des anomalies d’authentification. La sécurité des systèmes Linux ne peut plus se limiter à la gestion des pare-feux et des mises à jour : elle doit intégrer une surveillance approfondie du subsystem d’authentification lui-même.
Face à cette menace evoluant, la combination d’une hygiene de sécurité rigoureuse, d’une surveillance active et d’une capacité de réponse rapide constitue la meilleure défense contre les implants comme PamDOORa et leurs successors.