Velvet Ant a passé 10 ans dans un réseau air‑gapped en backdoorant l’authentification Linux

Un groupe chinois de cyberespionnage connu sous le nom de Velvet Ant a maintenu un accès clandestin à un réseau air‑gapped d’infrastructure critique pendant environ dix ans, à partir de 2016 et découvert seulement en 2026, selon une recherche de Sygnia rapportée par BleepingComputer. L’opération — baptisée Operation Highland — illustre que l’isolement physique du réseau ne suffit pas à lui seul contre un adversaire patient et techniquement sophistiqué.

Qu’est-ce qu’un réseau air‑gapped et pourquoi est-ce important ?

Un réseau air‑gapped est un réseau qui n’a aucune connexion à Internet ni à aucun réseau externe. Aucun trafic ne peut entrer ou sortir via une liaison réseau standard. Les organisations qui exploitent des réseaux électriques, des systèmes de contrôle industriel, des réseaux gouvernementaux classifiés ou des infrastructures financières sensibles s’appuient souvent sur l’air gap comme dernière ligne de défense, partant du principe que sans chemin réseau, les attaquants distants ne peuvent tout simplement pas atteindre ces systèmes.

Operation Highland montre que cette hypothèse peut être erronée, avec suffisamment de temps et de détermination.

Comment Velvet Ant a comblé le fossé

L’attaque s’est déroulée par étapes, chacune étendant la portée du groupe plus profondément dans l’organisation cible :

• Étape 1 — Point d’appui sur Internet : Velvet Ant a d’abord compromis des serveurs exposés à l’Internet public, établissant des reverse shells et des proxy SOCKS5 pour se déplacer latéralement dans le réseau interne classique de l’organisation.
• Étape 2 — Franchir l’air gap : Les attaquants ont ensuite construit un pont d’exécution HTTP‑to‑SSH — un relais qui transmettait les commandes du réseau connecté à Internet vers l’environnement isolé. C’est le mécanisme qui a physiquement franchi l’air gap : le réseau isolé n’avait pas d’accès Internet, mais un hôte interne pouvait relayer les instructions d’un côté à l’autre.
• Étape 3 — Backdoorer la pile d’authentification : Une fois à l’intérieur du réseau isolé, Velvet Ant a remplacé les binaires système Linux critiques. Plus précisément, ils ont échangé la bibliothèque légitime PAM (Pluggable Authentication Modules) et les exécutables OpenSSH — ssh, sshd et scp — contre des versions modifiées contenant des backdoors cachées.

Pourquoi remplacer PAM est si dangereux

PAM est la couche de Linux qui gère l’authentification pour pratiquement tous les mécanismes de connexion : connexions SSH, accès à la console locale, commandes sudo, etc. En remplaçant PAM par une version backdoorée, les attaquants s’intègrent dans le processus d’authentification lui‑même plutôt que de se présenter comme un processus séparé qui pourrait être détecté et tué.

Les conséquences pratiques sont graves. Parce que la backdoor vit dans la pile d’authentification, changer les mots de passe ne sert à rien — chaque nouvelle information d’identification est récoltée au moment où elle est utilisée pour s’authentifier. Les attaquants ont obtenu une visibilité complète sur toutes les activités administratives sur les hôtes compromis, collectant les identifiants de chaque connexion et de chaque commande exécutée sous des sessions privilégiées. Même une rotation complète des mots de passe aurait alimenté directement les attaquants en nouvelles informations d’identification.

Le remplacement des binaires OpenSSH aggrave la situation : le sshd backdooré pouvait accepter silencieusement des clés contrôlées par l’attaquant ou enregistrer tout le contenu de la session, tout en paraissant normal aux administrateurs système.

Dix ans sans détection

La durée est aussi significative que la technique. Velvet Ant a maintenu cet accès de 2016 jusqu’à sa découverte en 2026. Ce type de persistance n’est possible que lorsque l’implant est profondément enfoui dans les composants système de confiance, se fond dans le comportement légitime du système et opère dans un environnement où les vérifications d’intégrité des binaires ne sont pas systématiques.

Les environnements air‑gapped reçoivent souvent moins d’attention sécuritaire que ceux connectés à Internet, précisément parce qu’ils sont présumés sûrs. Cette hypothèse crée un angle mort de détection.

Ce que les défenseurs devraient en retenir

Operation Highland souligne plusieurs lacunes courantes même dans les environnements de haute sécurité :

• Vérification de l’intégrité des binaires : Les binaires Linux critiques — en particulier les composants PAM et SSH — devraient être vérifiés cryptographiquement par rapport à des hachages connus. Des outils comme aide, tripwire ou dm‑verity sur les systèmes embarqués peuvent détecter les remplacements non autorisés.
• La segmentation n’est pas un fossé : Les air gaps ralentissent les attaquants ; ils ne les arrêtent pas. Tout hôte qui relie deux segments de réseau — même indirectement — est un point de passage potentiel.
• Journalisation d’audit non modifiable par l’hôte : Si le système de journalisation tourne sur le même hôte compromis, un binaire PAM ou SSH backdooré peut supprimer ou falsifier les entrées. Un syslog distant en écriture seule vers un récepteur hors bande est essentiel.
• Supposer des temps de séjour longs : La chasse aux menaces dans les environnements isolés ne devrait pas partir du principe que l’absence d’alertes récentes signifie l’absence de compromission. Velvet Ant était présent pendant une décennie.

L’opération Velvet Ant rappelle que des adversaires suffisamment motivés et patients trouveront des moyens de contourner l’isolement physique. L’étalon‑or de la sécurité air‑gapped ne tient que si le logiciel exécuté à l’intérieur de ce périmètre est continuellement vérifié pour être ce qu’il prétend être.