Les portes dérobées (backdoors) offrent aux cyberattaquants un accès invisible au cœur du système d’information. En contournant les contrôles de sécurité, elles permettent d’espionner, de voler ou de manipuler des données sensibles, parfois durant des mois avant d’être repérées. Découvrez comment fonctionnent les portes dérobées, les différents types de backdoors existants et les bonnes pratiques pour les détecter et les bloquer avant qu’elles ne compromettent votre organisation.
Une porte dérobée (ou backdoor) désigne un accès caché au sein d’un système, permettant à un utilisateur non autorisé de contourner les mécanismes de sécurité classiques1. Elle peut être introduite volontairement par un développeur pour faciliter la maintenance d’un produit, ou exploitée par un cyberattaquant pour s’introduire discrètement dans un environnement numérique.
Dans la plupart des cas, la backdoor fonctionne de manière invisible : elle ne génère pas de logs d’accès standard et échappe aux contrôles habituels de sécurité. Il s’agit donc d’une cybermenace de taille, lorsqu’on parle de cybersécurité en entreprise !
Historiquement, certaines portes dérobées ont été intégrées dans des systèmes à des fins légitimes, par exemple pour permettre une intervention d’urgence ou un support technique. Désormais, ce procédé est exploité par les attaquants pour implanter des accès persistants dans les environnements compromis, à l’abri des contrôles de sécurité classiques.
Une porte dérobée peut être implantée à différents niveaux du système : dans une application, un micrologiciel (firmware), une bibliothèque de code ou même dans une infrastructure cloud.
Les vecteurs d’infection sont multiples :
Certains attaquants vont jusqu’à modifier le firmware d’un routeur ou d’un composant réseau pour obtenir un accès avant même le démarrage du système d’exploitation.
Une fois installée, la backdoor attend un déclencheur : une commande distante, un événement planifié ou une mise à jour piégée.
Elle peut ensuite exfiltrer des données, espionner les communications ou préparer une attaque de type ransomware.
Les mécanismes de persistance sont souvent sophistiqués : duplication sur plusieurs fichiers, dissimulation dans le registre système, ou réinstallation automatique après redémarrage.
L’un des cas les plus emblématiques de cyberattaque via une porte dérobée reste l’affaire SolarWinds : une mise à jour logicielle compromise a permis à des attaquants d’infiltrer discrètement des milliers d’organisations à travers le monde. Cette backdoor, introduite dans un logiciel de supervision utilisé par des agences gouvernementales et des multinationales, est restée active pendant plusieurs mois avant d’être détectée.
Il existe 3 types principaux de portes dérobées :
L’émergence de l’intelligence artificielle générative ouvre une nouvelle surface d’attaque pour les cybercriminels. Comme le souligne Barracuda dans son rapport d’octobre 20242, des chercheurs ont démontré la possibilité d’injecter une porte dérobée directement dans un modèle de langage (LLM), soit pendant son entraînement, soit via une dépendance compromise dans la chaîne d’approvisionnement logicielle (supply chain attack).
Le principe est redoutable : le modèle d’IA fonctionne normalement jusqu’à l’activation d’un déclencheur spécifique, comme une séquence de mots, un motif visuel ou une donnée d’entrée particulière. Une fois activée, la backdoor peut produire des réponses orientées, contourner des filtres de sécurité ou transmettre des informations sensibles vers un serveur externe, et ce, sans éveiller la moindre alerte apparente !
Ces attaques menacent directement les entreprises qui intègrent des modèles préentraînés dans leurs applications métier (assistants conversationnels, systèmes de recommandation, moteurs de recherche interne, etc.). Une backdoor insérée en amont dans le modèle ou dans un jeu de données d’entraînement contaminé peut compromettre la confidentialité des informations traitées, manipuler les résultats ou servir de point d’entrée pour d’autres attaques.
Vous l’aurez compris, ce nouveau risque impose de renforcer les contrôles autour de la supply chain de l’IA :
Ces nouvelles formes de portes dérobées illustrent la complexité croissante du paysage des cybermenaces. C’est pourquoi la détection et la prévention doivent désormais s’étendre bien au-delà du code applicatif traditionnel.
La première ligne de défense contre les backdoors consiste à maintenir l’ensemble des logiciels, firmwares et systèmes d’exploitation à jour.
En effet, chaque correctif comble des vulnérabilités susceptibles d’être exploitées par des portes dérobées déjà connues. Les entreprises doivent donc adopter une politique de patch management rigoureuse, combinant automatisation et contrôle.
Des audits réguliers permettent de vérifier la bonne application des mises à jour et d’éviter la réapparition de failles déjà corrigées.
On ne vous apprend rien, une porte dérobée ne reste invisible que si elle échappe à la détection. Une supervision 24/7 des flux réseau et des journaux d’activité (logs) est donc indispensable.
Les outils de corrélation (SIEM, XDR) permettent d’analyser les comportements inhabituels : connexions sortantes non autorisées, transferts de données vers des destinations inconnues, ou communications chiffrées anormales.
La détection des signaux faibles (comme un pic d’activité sur un port inhabituel, ou un processus caché) peut également révéler la présence d’un accès caché avant qu’il ne soit exploité.
Adopter une démarche de security by design reste la meilleure façon de limiter les risques d’injection de backdoors dès la conception.
Les équipes de développement doivent contrôler l’intégrité des dépendances open source, vérifier les signatures numériques des bibliothèques et signer cryptographiquement leurs propres déploiements.
Chaque mise à jour logicielle doit être validée, auditée et documentée.
Les environnements CI/CD (intégration et déploiement continus) doivent également être isolés et surveillés pour éviter toute insertion de code non autorisée dans les pipelines.
Les systèmes d’IA nécessitent des contrôles spécifiques. Avant la mise en production d’un modèle, un audit de sécurité des modèles d’apprentissage doit être réalisé.
Les jeux de données d’entraînement doivent provenir de sources vérifiées et être analysés pour détecter d’éventuelles anomalies introduites volontairement.
Comme évoqué rapidement plus haut, les tests de déclenchement (trigger testing) consistent à soumettre le modèle à des séquences de données inhabituelles, dans le but de repérer un comportement déviant susceptible d’indiquer une backdoor cachée.
Cette approche devient incontournable à mesure que les applications d’IA s’intègrent aux processus critiques des entreprises.
Même avec les meilleures défenses, le risque zéro n’existe pas face aux backdoors. Il est donc indispensable de prévoir une stratégie de réponse pour limiter les conséquences d’une intrusion.
En cas de détection d’une porte dérobée, la première étape consiste à isoler les systèmes compromis pour empêcher toute propagation.
Les données doivent ensuite être restaurées depuis des sauvegardes immuables, garantissant leur intégrité.
Côté outils dédiés, une solution comme LockFiles permet de sécuriser ces sauvegardes dans un coffre-fort chiffré, garantissant l’intégrité et la traçabilité des fichiers lors de leur restauration. Grâce à un contrôle strict des accès et à un chiffrement de bout en bout, LockFiles renforce également la fiabilité de la reprise d’activité après incident.
Enfin, un plan de reprise d’activité (PRA) et un plan de continuité d’activité (PCA) permettent de redémarrer les services critiques sans interruption prolongée.
Bon à savoir : la clef réside dans la préparation ! Un PRA testé et un inventaire clair des dépendances facilitent une remédiation rapide et coordonnée.
Intéressé·e par le sujet ?
Pour aller plus loin, découvrez notre guide complet : PRA, PRI, PCA, PCI : définition, différences et application
Sources :
1 : https://www.cnil.fr/fr/definition/porte-derobee-ou-backdoor