PAM

Source : Black Hills Information Security (blog) — Dans un billet daté du 4 mars 2026, Ben Bowman présente une technique de persistance Linux exploitant le framework PAM et dévoile l’outil open source « PAM Skeleton Key » destiné aux tests d’intrusion (Red Team). L’auteur explique que PAM gère l’authentification pour des services comme SSHD, recevant les identifiants en clair pour appliquer des politiques définies (ex. /etc/pam.d/sshd). En substituant un module PAM par une version malveillante, il devient possible d’implanter un mot de passe universel (skeleton key) pour tous les comptes et de capturer les identifiants avant chiffrement, puis de les exfiltrer. ...

Source: CyberArk (blog). Contexte: face à l’adoption d’agents IA autonomes exécutant des tâches avec accès privilégié, l’article souligne un écart de gouvernance: 68% des organisations n’ont pas de contrôles dédiés pour l’IA/LLM alors que 82% en reconnaissent les risques. L’article défend que les agents IA doivent être traités comme des utilisateurs privilégiés et non comme de simples outils. Il propose quatre axes essentiels 🔒: Appliquer le PAM aux agents IA pour le principe du moindre privilège et la restriction d’accès aux systèmes à haut risque. Gouverner les identifiants via une gestion centralisée des secrets avec rotation automatisée et intégration des identifiants d’agents IA dans les plateformes de gestion du cycle de vie. Converger les identités en maintenant un inventaire complet des agents IA et en assignant des propriétaires clairs et responsables. Étendre l’Endpoint Privilege Management (EPM) pour limiter l’élévation de privilèges sur les endpoints où opèrent les agents. Résumé technique: les agents IA utilisent des certificats (soumis aux mandats de renouvellement CA/B Forum à 47 jours), des jetons API (souvent longue durée et sur‑permissionnés) et des secrets (fréquemment statiques ou embarqués dans le code). La solution consiste à automatiser le cycle de vie des certificats, centraliser et faire tourner les secrets, surveiller les actions des agents et restreindre l’accès aux environnements sensibles. ...

Dans le cadre de leurs efforts continus de chasse aux menaces, des chercheurs de Nextron Systems ont identifié un backdoor furtif pour Linux, nommé Plague. Ce backdoor est conçu comme un module d’authentification modulaire (PAM) malveillant, permettant aux attaquants de contourner silencieusement l’authentification du système et d’obtenir un accès SSH persistant. Bien que plusieurs variantes de ce backdoor aient été téléchargées sur VirusTotal au cours de l’année écoulée, aucun moteur antivirus ne les a signalées comme malveillantes. Cela suggère que Plague a réussi à éviter la détection dans de nombreux environnements. Le backdoor s’intègre profondément dans la pile d’authentification, survit aux mises à jour du système et laisse presque aucune trace médico-légale, ce qui le rend exceptionnellement difficile à détecter avec des outils traditionnels. ...