PamDOORa : Le nouveau backdoor Linux qui cible les modules PAM pour voler vos identifiants SSH
Hippolyte Valdegré
Les gestionnaires de serveurs Linux viennent de recevoir une nouvelle alerte critique. Un backdoor sophistiqué nommé PamDOORa circule désormais sur les forums de cybercrime russophones, vendu à peine 900 dollars - contre 1 600 dollars lors de son lancement en mars 2026. Ce malware, conçu pour s’intégrer directement dans les modules PAM (Pluggable Authentication Module) des systèmes Linux, permet à un attaquant d’obtenir un accès SSH persistant et de capturer les identifiants de tous les utilisateurs légitimes qui s’authentifient sur le serveur compromis. Une menace qui rappelle que la modularité, souvent présentée comme une force de Linux, peut devenir un vecteur d’attaque redoutable lorsqu’elle est détournée.
Comprendre PamDOORa : un toolkit post-exploitation basé sur PAM
Qu’est-ce que le framework PAM sous Linux ?
Le Pluggable Authentication Module (PAM) constitue le framework d’authentification standard sur la majorité des distributions Linux. Ce système permet aux administrateurs système d’intégrer et de modifier les mécanismes d’authentification sans avoir à réécrire les applications existantes. Un module PAM peut, par exemple, basculer l’authentification classique par mot de passe vers des méthodes biométriques ou à double facteur, le tout sans impact sur les services utilisateurs.
Le point critique réside dans le fait que les modules PAM s’exécutent avec les privilèges root. Toute modification malveillante d’un module PAM - qu’il s’agisse d’un ajout délibéré ou d’une configuration compromise - offre donc à l’attaquant un accès complet au système. C’est exactement sur ce principe que repose PamDOORa, identifié par les chercheurs d’Flare.io dirigés par Assaf Morag.
« Le module pam_exec, qui permet l’exécution de commandes externes, peut être exploité par les attaquants pour obtenir un accès non autorisé ou établir un contrôle persistant en injectant des scripts malveillants dans les fichiers de configuration PAM. » - Rapport Group-IB, septembre 2024
L’architecture technique de PamDOORa
PamDOORa se présente comme un kit post-exploitation complet permettant deux fonctions principales :
- Accès persistant via SSH : grâce à une combinaison de « mot de passe magique » et de port TCP spécifique, l’attaquant peut se connecter au serveur compromis sans déclencher les mécanismes d’alerte habituels.
- Harvesting massif d’identifiants : le module capture les identifiants de tous les utilisateurs légitimes tentant de s’authentifier sur le système infecté. Contrairement à certaines attaques ciblées, PamDOORa ne se contente pas d’un seul compte - il récupère l’ensemble des credentials transitant par le module PAM compromis.
Le rapport technique d’Flare.io précise que le malware serait persistant sur les systèmes Linux x86_64, une fois déployé. Cette persistance s’explique par le positionnement du module malveillant au cœur même du processus d’authentification système.
Les fonctionnalités avancées qui font de PamDOORa une menace sophistication
Capacités anti-forensiques et effacement des traces
Au-delà de la simple capture d’identifiants, PamDOORa intègre des fonctionnalités anti-forensiques avancées. Le malware est programmé pour altérer méthodiquement les journaux d’authentification, effaçant toute trace de son activité malveillante. Cette capacité complique considérablement le travail des équipes SOC (Security Operations Center) lors des investigations post-incident.
L’effacement des logs constitue une évolution significative par rapport aux premiers backdoors PAM open-source, généralement plus rustiques et laissant des traces plus facilement identifiables. PamDOORa représente ce que les chercheurs qualifient d’« operator-grade tooling » - un outil digne des opérateurs de menaces professionnels - plutôt qu’une simple preuve de concept.
Mécanismes anti-débogage et déclencheurs réseau
Les analyses détaillées révèlent que PamDOORa incorpore également des techniques anti-débogage pour entraver l’analyse reverse-engineering. Le malware intègre en outre des déclencheurs réseau : il ne s’active que lorsqu’une connexion provient d’une combinaison spécifique IP/port, ce qui rend sa détection par les solutions de surveillance traditionnelles particulièrement difficile.
Cette approche « réseau-aware » démontre une conception orientée vers l’évasion : le backdoor reste silencieux et indétectable jusqu’à ce qu’une connexion provenant de l’opérateur soit reçue,limitant les chances de découverte lors des analyses statiques ou dynamiques standards.
PamDOORa dans le paysage des menaces : contexte et comparaison
Relation avec le backdoor Plague
PamDOORa n’est pas le premier malware ciblant les modules PAM. Les chercheurs d’Flare.io le comparent explicitement au backdoor Plague, découvert l’année précédente et partageant la même approche d’altération du comportement PAM pour capturer les credentials. Les deux инструментов utilisent des hooks PAM pour intercepter le processus d’authentification.
Toutefois, selon Assaf Morag, les « différences subtiles de conception » suggèrent que PamDOORa ne constitue pas une simple déclinaison de Plague. L’auteur reste prudent : « Sans comparer les deux binaires, nous ne pouvons pas l’exclure complètement », précise-t-il. Cette nuance illustre la difficulté d’attribuer unequivocally des campagnes malveillantes à des acteurs spécifiques dans l’écosystème cybercrime.
Positionnement sur le marché underground
Le backdoor a été initialement publié sur le forum cybercrime Rehub le 17 mars 2026 par un acteur utilisant le pseudonyme « darkworm », au prix de 1 600 dollars. En moins d’un mois, le tarif a été réduit de près de 50 %, passant à 900 dollars au 9 avril 2026. Cette baisse significative suggère soit un manque d’intérêt des acheteurs, soit une volonté d’accélérer les ventes.
| Critère | PamDOORa | Plague (2025) |
|---|---|---|
| Prix initial | 1 600 $ (mars 2026) | Non communiqué |
| Prix actuel | 900 $ | - |
| Capture credentials | Globale | Globale |
| Anti-forensique | Oui | Partiel |
| Anti-débogage | Oui | Non |
| Déclencheurs réseau | Oui | Non |
| Persistance Linux x86_64 | Confirmée | Confirmée |
Cette tarification place PamDOORa dans une gamme accessible pour des attaquants de niveau intermédiaire, tout en offrant des capacités suffisantes pour des campagnes sophistiquées. Le modèle de vente suggère une commercialisation active et non un développement interne d’un groupe APT particulier.
Chaîne d’infection et scénario d’attaque
Vecteur initial : l’accès root comme prérequis
À ce jour, aucune evidence d’utilisation réelle de PamDOORa dans des campagnes actives n’a été documentée. Les chercheurs d’Flare.io émettent l’hypothèse suivante concernant la chaîne d’infection probable :
- L’attaquant obtient d’abord un accès root au serveur cible via un autre vecteur d’attaque (exploitation de vulnérabilité comme la vulnérabilité cPanel CVE-2026-41940 exploitée par le ransomware Sorry, credential stuffing, phishing ciblé).
- Le module PAM malveillant est ensuite déployé sur le système compromis.
- PamDOORa capture les credentials de tous les utilisateurs s’authentifiant ultérieurement.
- L’attaquant établit un accès SSH persistant via le mot de passe magique.
Cette séquence implique que PamDOORa ne constitue pas un vecteur d’accès initial, mais un outil de consolidation et de persistance une fois la compromission initiale réussie. Les administrateurs doivent donc concentrer leurs efforts sur la prévention du premier vecteur d’intrusion.
Profils cibles potentiels
Bien que le malware soit proposé universellement sur le marché, plusieurs profils d’organisations présentent un risque accru :
- Organisations utilisant massivement SSH : les serveurs Linux hébergeant des services critiques (bases de données, applications métier) constituent des cibles de choix.
- Environnements avec rotation d’identifiants élevée : les systèmes où les administrateurs modifient fréquemment leurs credentials offrent davantage d’opportunités de capture.
- Plateformes de développement et CI/CD : l’accès SSH aux serveurs de build représente une valeur stratégique pour les attaquants souhaitant empoisonner la chaîne d’approvisionnement logicielle, d’autant que des vulnérabilités comme la CVE-2026-3854 de GitHub permettant l’exécution de code à distance via git push multiply the entry points.
Stratégies de détection et de mitigation pour les équipes de sécurité
Indicateurs de compromission à surveiller
La détection d’un module PAM malveillant constitue un défi complexe, mais plusieurs indicateurs peuvent alerter les équipes SOC :
- Anomalies dans les journaux d’authentification : suppression inexpliquée d’entrées, timestamps incohérents, disparitions de sessions.
- Modules PAM non référencés : fichiers .so inhabituels dans /lib/security ou /lib64/security.
- Connexions SSH depuis des IPs inhabituelles : connexions utilisant des ports non standard ou originaires de régions géographiques inattendues.
- Trafic réseau vers des endpoints inconnus : communications sortantes inhabituelles depuis des serveurs SSH.
Bonnes pratiques de protection
| Action | Priorité | Impact |
|---|---|---|
| Vérifier l’intégrité des modules PAM avec aide des outils de sécurité | Élevée | Haut |
| Implémenter une authentification à deux facteurs (2FA) pour SSH | Élevée | Haut |
| Limiter les connexions SSH à des IPs whitelisées | Moyenne | Moyen |
| Activer le monitoring des fichiers PAM | Élevée | Moyen |
| Effectuer des audits réguliers de configuration PAM | Moyenne | Moyen |
| Utiliser fail2ban ou similar pour limiter les tentatives brute-force | Moyenne | Faible |
| Mettre en place une solution EDR sur les serveurs Linux | Élevée | Haut |
| Configurer des alertes sur les modifications de /etc/pam.d/ | Élevée | Moyen |
L’ANSSI (Agence nationale de la sécurité des systèmes d’information) recommande dans son guide d’administration des systèmes Linux de vérifier régulièrement l’intégrité des fichiers de configuration PAM et de maintenir une whitelist stricte des modules autorisés. Cette recommandation prend une dimension particulièrement critique avec l’émergence de menaces comme PamDOORa.
Procédure de réponse à incident
En cas de suspicion de compromission par un module PAM malveillant, la procédure suivante est recommandée :
- Isolez le serveur du réseau pour éviter la latéralisation.
- Conservez les journaux avant toute modification (copie bit-à-bit).
- Vérifiez les empreintes SHA-256 des modules PAM présents contre une baseline connue.
- Inspectez /etc/pam.d/ à la recherche de configurations inhabituelles, notamment pam_exec ou pam_permit non justifiés.
- Remettez en service avec des credentials entièrement nouveaux si la compromission est confirmée.
L’évolution des menaces ciblant PAM : vers une arms race
Historique des attaques PAM documentées
Le targeting des modules PAM n’est pas un phénomène nouveau. Group-IB documentait dès septembre 2024 les risques inhérents à cette architecture : « PAM ne stocke pas les mots de passe mais transmet les valeurs en plaintext, ce qui facilite l’interception par un module malveillant. » Le module pam_exec avait déjà été identifié comme vecteur d’exploitation permettant d’obtenir un shell privilégié et de faciliter une persistance furtive.
L’apparition de PamDOORa marque une montée en gamme de ces techniques. L’intégration de capacités anti-débogage, de déclencheurs réseau et de fonctionnalités anti-forensiques dans un kit cohérent et commercialisé témoigne d’une professionnalisation de l’écosystème cybercrime autour des outils Linux. Cette évolution s’inscrit dans un contexte plus large où les attaques ciblent de plus en plus les couches basses des systèmes, comme en témoigne la multiplication des attaques de type Rowhammer contre les GPU NVIDIA en 2026.
Implications pour la sécurité des infrastructures Linux
Cette évolution impose aux organisations de repenser leur approche de la sécurité Linux. Les mesures traditionnelles (pare-feu, gestion des patches) restent nécessaires mais insuffisantes face à des outils post-exploitation sophistiqués. Une défense en profondeur combinant monitoring comportemental, intégrité des modules système et détection des anomalies d’authentification devient indispensable.
Les solutions EDR (Endpoint Detection and Response) pour Linux, encore sous-représentées par rapport à leurs équivalents Windows, doivent être considérées comme un investissement prioritaire pour les environnements à criticité élevée. Les fournisseurs de cloud (AWS, Azure, GCP) proposent également des mécanismes de protection native (AWS GuardDuty, Azure Defender for Cloud) qui méritent d’être évalués.
Recommandations pour les administrateurs systèmes et RSSI
Face à cette nouvelle menace, plusieurs actions concrètes doivent être entreprises sans délai :
Actions immediate (dans la semaine) :
- Inventoriez l’ensemble des modules PAM présents sur vos serveurs Linux et documentez leur empreinte.
- Vérifiez les configurations SSH : ports non standards, restrictions d’accès par IP, authentification par clé uniquement.
- Auditez les journaux d’authentification des 30 derniers jours à la recherche d’anomalies.
- Mettez en place des alertes sur toute modification des fichiers dans /etc/pam.d/.
Actions à moyen terme (dans le mois) :
- Déployez une solution de monitoring de l’intégrité des fichiers (AIDE, Samhain, ou équivalent commercial).
- Renforcez l’authentification SSH avec des clés ED25519 et désactivez l’authentification par mot de passe.
- Évaluez le déploiement d’une solution EDR Linux adaptée à votre environnement.
- Formez vos équipes aux techniques de détection de compromission PAM.
Actions stratégiques (dans le trimestre) :
- Intégrez la surveillance PAM dans votre programme de threat hunting.
- Développez des playbooks de réponse à incident spécifiques aux compromissions de modules système.
- Conduisez des exercices de simulation ciblant les scénarios post-exploitation sur Linux.
Conclusion : vigilance accrue et réponse structurée
PamDOORa représente une évolution significative dans le paysage des menaces ciblant les systèmes Linux. Ce backdoor, disponible à la vente pour 900 dollars sur les marchés cybercrime, combine des capacités de capture d’identifiants, de persistance et d’effacement des traces qui en font un outil redoutable entre les mains d’acteurs malveillants.
Pour les organisations utilisant des serveurs Linux en production, l’heure n’est plus à la simple surveillance mais à la mise en place d’une défense active contre les techniques post-exploitation avancées. La vérification de l’intégrité des modules PAM, le renforcement de l’authentification SSH et le déploiement de solutions de monitoring comportemental constituent les piliers d’une stratégie efficace contre cette nouvelle génération de menaces.
Restez informé des évolutions de cette menace en consultant régulièrement les bulletins de sécurité de l’ANSSI et les publications des chercheurs en sécurité. La coopération entre la communauté de sécurité et les organisations victimes reste essentielle pour documenter, détecter et neutraliser ces outils avant qu’ils ne causent des dommages significatifs.