PamDOORa : La nouvellebackdoor Linux qui vole vos identifiants SSH via les modules PAM

Théophane Villedieu

Une backdoor Linux commercialisée à 900 dollars sur le dark web targeting specifically les systèmes d’authentification PAM. C’est la menace que les chercheurs en cybersécurité de Flare.io ont identifiée en mai 2026 sous le nom de PamDOORa. Cette menace illustre une évolution préoccupante : les attaquants abandonnent les outils de preuve de concept rudimentaires au profit d’implants modulaires de qualité opérateur, capables de persister silencieusement sur vos serveurs tout en exfiltrant discrètement les identifiants SSH de vos utilisateurs légitimes.

Loin d’être un simple exercice académique, PamDOORa représente une catégorie d’outil qui pourrait menacer toute organisation utilisant des serveurs Linux. Si vous gérez une infrastructure sous Linux ou si votre équipe supervise des systèmes critiques, la compréhension de cette menace n’est plus une option. Voici tout ce que vous devez savoir pour protéger votre environnement.

Comprendre le framework PAM : un élément critique de la sécurité Linux

Qu’est-ce que PAM et pourquoi est-il si important ?

Les modules PAM (Pluggable Authentication Module) constituent un framework d’authentification central dans les systèmes Unix et Linux. Ce mécanisme permet aux administrateurs système d’incorporer ou de modifier des méthodes d’authentification sans avoir à réécrire les applications existantes. En pratique, PAM agit comme un intermédiaire entre les programmes qui demandent une authentification (comme SSH, sudo ou login) et les mécanismes d’authentification eux-mêmes (mots de passe, clés SSH, biométrie).

Cette flexibilité constitue à la fois la force et la vulnérabilité de PAM. Les vulnérabilités matérielles comme les attaques GPU peuvent amplifier ces risques, comme le démontre la surface d’attaque croissante sur les systèmes modernes. Un module PAM compromis ou malveillant peut fonctionner avec les privilèges root, ce qui lui confère un accès illimité au système. C’est précisément cette caractéristique que PamDOORa exploite pour accomplir ses objectifs malveillants.

« Malgré ses forces, la modularité des modules PAM introduit des risques, car des modifications malveillantes peuvent créer des backdoors ou voler des identifiants utilisateur, d’autant que PAM ne stocke pas les mots de passe mais transmet les valeurs en clair. » - Group-IB, septembre 2024

Les vulnérabilités inhérentes aux modules PAM

Le problème fondamental réside dans le fait que les modules PAM s’exécutent avec des privilèges élevés. Contrairement à une application utilisateur standard qui opere dans un cadre restreint, un module PAM défaillant peut potentiellement :

  • Accéder à tous les flux d’authentification du système
  • Intercepter les identifiants en clair avant leur hachage
  • Modifier le comportement d’authentification sans alerter les utilisateurs
  • Persister redémarrage après redémarrage sans détection

Le module pam_exec, en particulier, permet l’exécution de commandes externes lors de l’authentification. Cette fonctionnalité, légitime dans certains cas d’usage, peut être détournée par des attaquants pour injecter des scripts malveillants dans les fichiers de configuration PAM. Un attaquant,获得了 un accès initial au système (par exemple via une vulnérabilité ou une configuration faible) peut modifier la configuration SSH pour exécuter du code arbitraire via pam_exec, ouvrant ainsi un shell privilégié tout en maintenant une persistance furtive.

PamDOORa : analyse approfondie de la backdoor

Architecture et fonctionnement technique

PamDOORa se présente comme un toolkit post-exploitation basé sur les modules PAM, conçu spécifiquement pour maintenir un accès SSH persistant. Développé par un acteur de menace identifié sous le pseudonyme « darkworm », cet outil est vendu sur le forum cybercrime Rehub pour $900 (après une réduction de près de 50% par rapport au prix initial de $1,600 en mars 2026).

Selon l’analyse technique réalisée par Assaf Morag, chercheur chez Flare.io, PamDOORa fonctionne comme suit :

  • Authentification magique : l’outil permet un accès aux serveurs via OpenSSH en utilisant un mot de passe spécifique (dit « magique ») combiné à un port TCP prédéfini
  • Collecte d’identifiants : PamDOORa intercepte et capture les identifiants de tous les utilisateurs légitimes qui s’authentifient sur le système compromis
  • Anti-forensique : l’implant intègre des capacités de manipulation des journaux d’authentification pour effacer les traces de son activité malveillante
  • Anti-débogage : des protections contre l’analyse dynamique compliquent l’étude de l’outil en laboratoire

« PamDOORa représente une évolution par rapport aux backdoors PAM open-source existantes. Bien que les techniques individuelles (hooks PAM, capture d’identifiants, manipulation de logs) soient bien documentées, leur intégration dans un implant modulaire cohérent avec anti-débogage, déclencheurs réseau-aware et pipeline de construction le rapproche davantage d’un outil de qualité opérateur que des scripts rudimentaires de preuve de concept. » - Assaf Morag, Flare.io

Différences avec la backdoor Plague

PamDOORa n’est pas la première backdoor ciblant la pile PAM. En 2025, les chercheurs ont découvert Plague, une menace similaire utilisant également les modules PAM pour exfiltrer des identifiants. Cependant, bien que les deux partagent une approche commune d’altération du comportement PAM, les différences de conception observées suggèrent qu’il ne s’agit pas d’une simple mise à jour ou d’un fork.

« Sans comparer les deux binaires, nous ne pouvons pas exclure complètement un lien », a tempéré Morag. Cette prudence méthodologique illustre la complexité de l’attribution dans le paysage des menaces Linux, où plusieurs acteurs peuvent développer des outils similaires en s’inspirant des mêmes techniques documentées publiquement.

Comparaison des fonctionnalités principales

CaractéristiquePamDOORaPlagueScripts PAM classiques
Capture d’identifiantsVariable
Authentification magiqueRare
Anti-forensiqueNon documentéNon
Anti-débogagePartielNon
Pipeline de constructionLimitéNon
Prix sur le marché~900 $Non commercialiséGratuit (open-source)

Impact sur les organisations utilisant Linux

Risques concrets pour les entreprises

Pour toute organisation utilisant des serveurs Linux pour héberger des applications critiques, des données sensibles ou des infrastructures cloud, PamDOORa représente une menace multidimensionnelle :

Exfiltration d’identifiants à grande échelle : chaque connexion SSH légitime au serveur compromis génère des identifiants capturés. Sur un serveur d’entreprise avec des centaines de connexions quotidiennes, le volume de credentials dérobés peut être considérable en quelques semaines.

Persistance post-compromission : même si l’initial breach est détectée et corrigée, la backdoor PAM peut survivre si elle n’est pas explicitement recherchée et supprimée. Un attaquant disposant d’un accès SSH magique peut revenir à tout moment.

Élévation de privilèges silencieuse : l’accès via le mot de passe magique permet de contourner les mécanismes d’authentification standard, potentiellement sans déclencher d’alertes dans les systèmes SIEM conventionnels.

Mouvement latéral : avec des identifiants SSH valides, un attaquant peut se déplacer latéralement dans l’infrastructure, compromettant d’autres systèmes qui font confiance aux credentials compromis.

Scénario d’attaque réaliste

Imaginons une attaque typique impliquant PamDOORa :

  1. Initial access : un attaquant obtains root access à un serveur Linux via une vulnérabilité zero-day, une configuration SSH faible, ou une attaque de phishing ciblée sur un administrateur.
  2. Déploiement : le module PAM malveillant est installé sur le système, généralement en remplacement ou en ajout à un module PAM légitime comme pam_unix.so.
  3. Capture passive : pendant plusieurs semaines, PamDOORa enregistre silencieusement tous les identifiants SSH des utilisateurs légitimes qui se-connectent au serveur.
  4. Exfiltration : les identifiants collectés sont transmises vers un serveur C2 (Command & Control) via le réseau.
  5. Persistance : l’attaquant maintient un accès via son mot de passe magique, même si les credentials compromis sont changés.
  6. Mouvement latéral : les identifiants exfiltrés sont utilisés pour compromettre d’autres serveurs de l’infrastructure.

Ce scénario souligne l’importance d’une détection early-stage et d’une surveillance continue des journaux d’authentification.

Stratégies de protection et bonnes pratiques

Mesures de détection pour PamDOORa

Détecter une backdoor PAM comme PamDOORa nécessite une approche متعددة направлений combinant analyse statique, surveillance comportementale et audit de configuration :

Audit des modules PAM : vérifiez régulièrement l’intégrité des modules PAM installés. Comparez les hash SHA-256 des fichiers avec ceux attendus pour votre distribution Linux. Toute modification non autorisée doit déclencher une alerte immédiate.

# Exemple de vérification d'intégrité des modules PAM (à adapter)
# Listez les modules PAM chargés
ls -la /lib/security/ | md5sum > reference.md5
# Comparez régulièrement
md5sum -c reference.md5

Analyse des journaux d’authentification : surveillez les logs (/var/log/auth.log ou /var/log/secure) pour identifier des schémas inhabituels : connexions depuis des adresses IP inhabituelles, connexions à des horaires atypiques, ou échecs d’authentification inexplicables.

Surveillance réseau : recherchez les connexions sortantes depuis vos serveurs Linux vers des ports non standards ou des destinations suspectes. PamDOORa utilise des mécanismes réseau spécifiques pour son fonctionnement.

Recommandations de sécurisation

L’ANSSI (Agence nationale de la sécurité des systèmes d’information) recommande plusieurs mesures pour sécuriser l’utilisation des modules PAM :

  1. Limiter les permissions sur les fichiers PAM : seuls root doit pouvoir modifier les fichiers de configuration dans /etc/pam.d/
  2. Utiliser des mécanismes de réputation : implémentez des solutions de monitoring d’intégrité comme AIDE (Advanced Intrusion Detection Environment) ou OSSEC
  3. Restreindre les connexions SSH : limitez l’accès SSH aux adresses IP approuvées via des règles de pare-feu ou des configurations sshd strictes
  4. Activer l’authentification multi-facteurs : rendez l’exploitation des credentials volés insuffisante pour un accès complet
  5. Mettre en place une journalisation centralisée : centralisez les logs d’authentification sur un serveur dédié non compromis pour détecter les manipulations

Mise en place d’une défense en profondeur

La protection contre PamDOORa et les menaces similaires ne peut pas reposer sur une seule ligne de défense. Une approche de sécurité multicouche conforme aux principes du Plan d’Assurance Sécurité est indispensable :

  • Couche applicative : segmentation des réseaux, pare-feu applicatif (WAF), détection d’intrusion (IDS/IPS)
  • Couche système : durcissement des serveurs Linux, gestion des correctifs, surveillance d’intégrité
  • Couche d’authentification : MFA, politique de mots de passe robuste, rotation régulière des credentials
  • Couche monitoring : SIEM, EDR sur endpoints Linux, анализ поведенческий (UEBA)

Contexte du marché des outils de cyberguerre

Un écosystème en évolution

L’émergence de PamDOORa s’inscrit dans une tendance plus large observée depuis 2024 : la sophistication croissante des outils cybercriminels ciblant les systèmes Linux. Group-IB avait déjà signalé en septembre 2024 une recrudescence des backdoors basées sur PAM, mais PamDOORa représente un bond qualitatif significatif.

La réduction du prix de $1,600 à $900 entre mars et avril 2026 suggère soit un manque d’intérêt des acheteurs potentiels, soit une volonté d’accélérer les ventes. Cette stratégie tarifaire agressive indique que l’auteur cherche à rentabiliser rapidement son investissement avant que les solutions de détection ne se généralisent.

Implications pour la threat intelligence

Pour les équipes de threat intelligence, PamDOORa représente un cas d’étude важный :

  • Surveillance des forums cybercrime : le suivi des annonces sur des plateformes comme Rehub permet d’anticiper les nouvelles menaces
  • Attribution : le pseudonym « darkworm » peut être traçable via d’autres activités liées au même acteur
  • Analyse technique : les fonctionnalités de PamDOORa reflètent les techniques actuellement valorisées par les attaquants, informant les priorités de détection

Conclusion : anticiper pour mieux se protéger

PamDOORa n’est pas une menace théorique. C’est un outil fonctionnel, commercialisé et accessible, qui exploite une surface d’attaque bien réelle : les modules PAM des systèmes Linux. Pour les organisations françaises, la conformité au RGPD impose de signaler toute violation de données personnelles, ce qui inclut potentiellement les credentials exfiltrés par ce type de malware.

La question n’est plus de savoir si PamDOORa pourrait vous impacter, mais plutôt quand et comment vous allez détecter sa présence si elle survenait. Les mesures de protection doivent combiner durcissement technique, surveillance continue et réponse aux incidents préparée.

Appliquez dès maintenant les recommandations de cet article : auditez vos modules PAM, vérifiez l’intégrité de vos systèmes de fichiers critiques, formez vos équipes aux signes indicateurs de compromission. La cybersécurité n’est pas un projet ponctuel mais un processus continu, et la maîtrise des menaces comme PamDOORa en est une composante incontournable pour toute infrastructure Linux moderne.

Si vous avez besoin d’une évaluation personnalisée de votre posture de sécurité Linux, n’hésitez pas à consulter les ressources officielles de l’ANSSI ou à solliciter un audit de sécurité auprès de prestataires qualifiés. La meilleure défense contre les backdoors PAM reste une surveillance active et une détection précoce.