Escalade de Privilèges : Guide Linux et Windows (2026)

Penetration Testing
17 min de lecture
Escalade de Privilèges : Guide Linux et Windows (2026)
Sur cette page
  1. Qu'est-ce que l'escalade de privilèges ?
  2. Escalade horizontale vs verticale
    1. Escalade verticale
    2. Escalade horizontale
  3. Comment fonctionnent les attaques d'escalade de privilèges
  4. Techniques d'escalade de privilèges sur Linux
    1. Binaires SUID et SGID
    2. Mauvaises configurations sudo
    3. Détournement de tâches cron
    4. Détournement du PATH
    5. Exploits noyau
  5. Techniques d'escalade de privilèges sur Windows
    1. Chemins de service non guillemetés
    2. Permissions de service faibles
    3. AlwaysInstallElevated
    4. Usurpation de jeton
  6. Linux vs Windows : référence rapide
  7. Vulnérabilités réelles d'escalade de privilèges
  8. Comment prévenir l'escalade de privilèges
  9. Considérations légales et éthiques
  10. Questions fréquentes
  11. Vos prochaines étapes

L'escalade de privilèges est l'étape présente dans presque toutes les intrusions réelles où un attaquant transforme un accès initial de faible valeur en contrôle total d'une machine. Vous arrivez sur une machine avec un compte web peu privilégié ou un compte de service, et l'objectif réel, que ce soit root sur un serveur Linux ou SYSTEM sur un hôte Windows, se cache derrière une mauvaise configuration qu'il reste à trouver et à exploiter. Ce guide explique comment fonctionne l'escalade de privilèges sur Linux et Windows, les techniques concrètes utilisées aujourd'hui par les attaquants, et comment les défenseurs ferment ces failles. Pratiquez toute la chaîne vous-même dans le cours Network Penetration Testing de HackerDNA, qui va de l'accès initial jusqu'à l'escalade de privilèges en post-exploitation sur de vraies machines vulnérables.

Ce guide s'adresse à ceux qui ont déjà un shell et veulent savoir quoi faire ensuite, pas à un public de conformité qui n'a besoin que d'une définition. Chaque technique ci-dessous peut être exécutée dès aujourd'hui contre une cible volontairement vulnérable, et chaque mesure de prévention peut être appliquée cet après-midi par un administrateur système.

En bref : l'escalade de privilèges consiste à obtenir un niveau d'accès plus élevé que celui initialement accordé à un compte ou un processus, en passant d'un accès limité à un accès admin, root ou SYSTEM. Sur Linux, les chemins d'escalade reposent sur les binaires SUID, les mauvaises configurations sudo, les tâches cron et les exploits noyau ; sur Windows, ils reposent sur des services mal configurés, des permissions de fichiers faibles et l'usurpation de jetons. Les attaquants automatisent la découverte avec des outils comme LinPEAS et WinPEAS, puis confirment l'exploitation manuellement. Les défenseurs ferment ces chemins avec le principe du moindre privilège, un rythme de correctifs sérieux et une revue de configuration, pas avec un seul outil miracle.

Qu'est-ce que l'escalade de privilèges ?

Qu'est-ce que l'escalade de privilèges ? L'escalade de privilèges consiste à obtenir l'accès à des ressources ou des capacités qu'un compte utilisateur, une application ou un processus n'a pas obtenu à l'origine, en passant généralement d'un contexte restreint à un contexte administratif. Dans une attaque, c'est l'étape entre "j'ai un certain accès" et "j'ai l'accès que je veux réellement".

Presque aucune intrusion ne commence avec les droits root. Un attaquant entre via un identifiant hameçonné, une application web vulnérable ou un service exposé, et cet accès initial arrive presque toujours avec des permissions limitées : un compte serveur web peu privilégié, un utilisateur de domaine standard, un compte de service limité à une seule tâche. L'escalade de privilèges transforme cet accès étroit en contrôle de la machine, et souvent en contrôle de tout le réseau une fois que cet accès permet un mouvement latéral.

MITRE ATT&CK en fait une tactique à part entière, TA0004, avec des dizaines de techniques documentées, ce qui montre à quel point cette étape est centrale dans presque toutes les chaînes d'intrusion réelles. Dans une mission professionnelle, elle intervient généralement pendant la phase de post-exploitation de la méthodologie de test d'intrusion, juste après l'accès initial et avant le mouvement latéral ou l'atteinte de l'objectif.

Escalade horizontale vs verticale

L'escalade de privilèges se divise en deux directions, et la distinction compte car elles exploitent des classes de failles différentes.

Escalade verticale

L'escalade verticale consiste à monter dans la hiérarchie des privilèges, d'un utilisateur standard vers un administrateur, d'un compte d'application web vers root, ou d'un utilisateur de domaine vers Domain Admin. C'est ce que la plupart des gens entendent par "privesc", et c'est le sujet principal de ce guide. Un utilisateur peu privilégié qui exploite un binaire SUID pour obtenir un shell root est un exemple classique d'escalade verticale.

Escalade horizontale

L'escalade horizontale consiste à accéder à un autre compte au même niveau de privilège, pas à un niveau supérieur. Un client qui modifie le paramètre d'URL de sa propre facture pour consulter celle d'un autre client a réalisé une escalade horizontale : il conserve un rôle utilisateur standard, mais accède aux données de quelqu'un d'autre. Cela recoupe fortement le contrôle d'accès défaillant et les failles de type Insecure Direct Object Reference côté web, tandis que l'escalade verticale se situe davantage au niveau du système d'exploitation, de la configuration des services et du noyau.

Comment fonctionnent les attaques d'escalade de privilèges

Une fois qu'un attaquant dispose d'un shell, le processus suit un schéma prévisible quel que soit le système d'exploitation : énumérer la machine, chercher une mauvaise configuration ou une vulnérabilité précise, l'exploiter, puis confirmer le nouveau niveau de privilège.

Les attaquants énumèrent rarement tout un système de fichiers à la main aujourd'hui. Ils lancent un script automatisé comme LinPEAS sur Linux ou WinPEAS sur Windows, qui vérifie la machine par rapport à une longue liste de mauvaises configurations connues en quelques minutes et met en évidence ce qu'il trouve dans une sortie colorée. Ces scripts n'exploitent rien par eux-mêmes. Ils indiquent la porte ; il reste à l'ouvrir.

En pratique, sur une machine CTF fraîchement compromise ou une cible de mission, lancer LinPEAS fait partie des trois premières commandes tapées après avoir obtenu un shell. Il ne donne rarement la réponse directement, mais il indique précisément où chercher ensuite, que ce soit un script cron accessible en écriture, un binaire SUID qui ne devrait pas être là, ou une version de noyau avec un exploit public.

  1. Établir le point de départ. Confirmez l'utilisateur actuel, ses groupes et les éventuels droits sudo ou capabilities déjà accordés avant de toucher à quoi que ce soit.
  2. Lancer l'énumération automatisée. LinPEAS ou WinPEAS révèle les mauvaises configurations évidentes en quelques minutes et indique où concentrer l'effort manuel.
  3. Vérifier manuellement les pistes signalées. Confirmez que chaque piste fonctionne réellement avant de vous y engager, car les outils automatisés signalent des possibilités, pas des garanties.
  4. Exploiter et vérifier. Lancez l'escalade et confirmez le nouveau niveau de privilège avec id ou whoami /priv avant de continuer.

Techniques d'escalade de privilèges sur Linux

L'escalade de privilèges sur Linux se ramène presque toujours à l'une d'une poignée de catégories de mauvaises configurations. Maîtrisez ces cinq-là et vous pourrez venir à bout de la plupart des machines Linux vulnérables rencontrées en labo ou en mission réelle.

Binaires SUID et SGID

Un binaire avec le bit SUID s'exécute avec les permissions de son propriétaire, pas celles de l'utilisateur qui le lance. Trouvez tous les binaires SUID de la machine avec find / -perm -4000 -type f 2>/dev/null. La plupart des résultats sont des binaires système légitimes comme passwd, mais toute entrée inattendue, ou un binaire légitime aux capacités dangereuses, mérite d'être vérifiée.

Une fois qu'un binaire SUID inconnu est trouvé, vérifiez-le sur GTFOBins, un projet qui documente comment des binaires Unix courants peuvent être détournés pour contourner des restrictions de sécurité locales. Si le binaire SUID trouvé y figure, GTFOBins donne la commande exacte pour obtenir un shell root. Exemple classique : si find lui-même possède le bit SUID, find . -exec /bin/sh -p \; -quit donne directement un shell root, car find exécute la commande avec ses propres privilèges élevés.

💻
Pratiquez maintenant : SUID Privilege Hunter vous place sur une vraie cible Linux et vous demande de trouver et d'exploiter un binaire SUID vulnérable pour obtenir root, avec exactement le flux d'énumération et GTFOBins de cette section. Dans le navigateur, sans installation, gratuit pour commencer.

Mauvaises configurations sudo

Lancez sudo -l pour voir ce que l'utilisateur courant peut exécuter en tant que root sans mot de passe. Une ligne comme (ALL) NOPASSWD: /usr/bin/vim paraît inoffensive jusqu'à ce que vous vérifiiez vim sur GTFOBins et découvriez que vim -c ':!/bin/sh' permet d'échapper directement vers un shell root, car vim hérite de la permission sudo et peut lancer n'importe quel processus. Toute règle sudo pour un interpréteur, un éditeur ou un gestionnaire de fichiers mérite cette vérification avant d'être considérée comme sûre.

Détournement de tâches cron

Les tâches cron qui s'exécutent en tant que root mais appellent un script accessible en écriture à l'utilisateur courant constituent un chemin direct vers root. Vérifiez /etc/crontab et /etc/cron.d/ pour les tâches planifiées, puis vérifiez les permissions du script ou binaire appelé par chacune. Si une tâche cron appartenant à root lance /opt/backup.sh et que ce fichier est accessible en écriture à tous, ajouter une ligne de reverse shell à ce fichier et attendre la prochaine exécution planifiée suffit. Pratiquez exactement ce scénario dans le lab Cronpocalypse, construit autour d'une configuration cron vulnérable.

Détournement du PATH

Quand un script ou une tâche cron appartenant à root appelle un binaire sans son chemin complet, comme tar au lieu de /bin/tar, le shell le résout en cherchant dans les répertoires listés dans $PATH, dans l'ordre. Si un répertoire accessible en écriture à l'attaquant se trouve plus tôt dans cet ordre de recherche, ou est ajouté en tête de $PATH, un binaire malveillant portant le même nom s'exécute à la place du vrai, héritant du privilège du script appelant.

Exploits noyau

Quand l'énumération ne révèle rien d'autre, la version du noyau elle-même devient le dernier recours. Dirty COW (CVE-2016-5195) en est l'exemple le plus connu, une condition de concurrence dans la gestion de la mémoire copy-on-write du noyau qui permettait à n'importe quel utilisateur local d'écrire dans des fichiers en lecture seule, y compris des binaires appartenant à root. Les exploits noyau fonctionnent de façon fiable contre des systèmes non corrigés, mais comportent un vrai risque de faire planter la cible : c'est donc une option de dernier recours en mission, à éviter totalement sans autorisation explicite de provoquer une instabilité.

Techniques d'escalade de privilèges sur Windows

L'escalade sur Windows repose moins sur un simple bit de permission et davantage sur la configuration des services, les permissions de fichiers, et la façon dont Windows résout les chemins et les jetons. Les techniques principales ci-dessous couvrent la plupart des hôtes Windows vulnérables.

Chemins de service non guillemetés

Quand le chemin de l'exécutable d'un service Windows contient des espaces et n'est pas entouré de guillemets, comme C:\Program Files\My App\service.exe, Windows essaie chaque segment délimité par un espace comme exécutable potentiel, dans l'ordre : C:\Program.exe, puis C:\Program Files\My.exe, avant d'essayer enfin le chemin complet prévu. Si un attaquant peut écrire dans l'un de ces répertoires parents, déposer un Program.exe malveillant fait qu'il s'exécute avec les privilèges du service, souvent SYSTEM, au prochain redémarrage du service.

Permissions de service faibles

Même avec un chemin correctement guillemeté, si l'utilisateur courant a un accès en écriture au binaire du service ou à sa configuration dans le registre, remplacer l'exécutable ou rediriger ImagePath vers un binaire malveillant produit le même résultat. Des outils comme accesschk ou WinPEAS énumèrent précisément quels services un utilisateur donné peut modifier.

AlwaysInstallElevated

Quand deux clés de registre, HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer\AlwaysInstallElevated et son équivalent HKCU, sont toutes deux réglées sur 1, n'importe quel utilisateur peut installer un package MSI avec les privilèges SYSTEM, quel que soit son propre niveau de permission. Un attaquant construit un MSI malveillant avec msfvenom, lance msiexec /quiet /qn /i malicious.msi, et obtient un shell SYSTEM. Notre aide-mémoire msfvenom explique comment construire ce type de charge utile.

Usurpation de jeton

Les comptes de service détiennent fréquemment le droit SeImpersonatePrivilege, qui permet à un processus d'usurper le jeton de sécurité d'un autre utilisateur qui s'y connecte. Les outils construits autour de cette technique, communément appelés attaques Potato, poussent un service au niveau SYSTEM à s'authentifier auprès d'un écouteur contrôlé par l'attaquant, puis réutilisent ce jeton capturé pour lancer un processus SYSTEM. C'est l'un des chemins d'escalade les plus fiables contre des services Windows modernes et bien corrigés, justement parce qu'il détourne une fonctionnalité prévue plutôt qu'un bug.

Linux vs Windows : référence rapide

Les deux systèmes échouent de façons différentes. L'escalade sur Linux repose surtout sur les permissions de fichiers et les scripts interprétés ; l'escalade sur Windows repose surtout sur la configuration des services et la gestion des jetons. Utilisez ce tableau pour aller directement au vecteur le plus probable sur votre cible.

VecteurLinuxWindows
Exécution privilégiéeBinaires SUID / SGIDChemins de service non guillemetés, ACL de service faibles
Détournement de commande de confianceMauvaises configurations sudo + GTFOBinsAlwaysInstallElevated + LOLBAS
Détournement de tâche planifiéeTâches cron accessibles en écritureTâches planifiées accessibles en écriture
Détournement d'ordre de rechercheDétournement du PATHDétournement de DLL
Détournement d'identitéClés SSH réutilisées, identifiants stockésUsurpation de jeton (attaques Potato)
Dernier recoursExploits noyau (ex. Dirty COW)Exploits noyau, pilotes non corrigés
Énumération automatiséeLinPEASWinPEAS

Vulnérabilités réelles d'escalade de privilèges

Ce ne sont pas de simples techniques de laboratoire. Chacune des suivantes a été présente dans des logiciels en production pendant des années avant d'être découverte, et a été activement exploitée une fois rendue publique.

PwnKit (CVE-2021-4034) est restée cachée dans l'utilitaire pkexec de Polkit pendant plus de douze ans avant sa divulgation par Qualys en janvier 2022. Elle fonctionnait immédiatement, sans configuration particulière, sur les installations par défaut d'Ubuntu, Debian, Fedora et CentOS, permettant à n'importe quel utilisateur local d'atteindre root avec un seul binaire spécialement conçu.

Dirty COW (CVE-2016-5195) exploitait une condition de concurrence dans la façon dont le noyau Linux gérait les mappings mémoire copy-on-write, permettant à un utilisateur local non privilégié d'écrire dans des fichiers mappés en mémoire et marqués en lecture seule. Elle affectait pratiquement toutes les versions de noyau Linux alors en usage et était présente depuis neuf ans avant qu'un correctif ne soit publié.

PrintNightmare (CVE-2021-34527) ciblait le service Windows Print Spooler, qui s'exécute en tant que SYSTEM et est activé par défaut sur la plupart des installations Windows. Une faille dans la validation des demandes d'installation de pilotes permettait à un utilisateur authentifié d'installer un pilote d'imprimante malveillant et d'exécuter du code en tant que SYSTEM. La Cybersecurity and Infrastructure Security Agency a publié une directive d'urgence à ce sujet, une mesure rare réservée aux vulnérabilités activement et largement exploitées ; consultez l'avis complet sur le site de la CISA.

Comment prévenir l'escalade de privilèges

Comment prévenir l'escalade de privilèges ? Aucun contrôle unique ne l'arrête. La prévention repose sur un empilement d'hygiène de configuration et de surveillance qui élimine les mauvaises configurations précises sur lesquelles s'appuient les attaquants.

  • Appliquer le moindre privilège. Les comptes de service et les utilisateurs d'application ne doivent détenir que les permissions requises par leur tâche, rien de plus "au cas où".
  • Auditer régulièrement les binaires SUID et les règles sudoers. Retirez le bit SUID de tout ce qui n'en a pas besoin, et n'accordez jamais d'accès sudo NOPASSWD à un interpréteur, un éditeur ou un binaire capable de lancer un shell.
  • Corriger selon un vrai rythme. PwnKit et Dirty COW étaient tous deux corrigeables par une mise à jour. La plupart des escalades réussies au niveau noyau se produisent sur des systèmes déjà en retard de plusieurs mois sur les correctifs.
  • Mettre des guillemets sur chaque chemin de service contenant des espaces, et verrouiller l'accès en écriture aux binaires de service et à leurs répertoires parents.
  • Désactiver AlwaysInstallElevated sauf raison métier précise et documentée, et vérifier ce point lors de toute revue de durcissement Windows.
  • Surveiller les schémas d'abus connus. Les produits EDR peuvent détecter les abus de type GTFOBins et les tentatives d'usurpation de jeton de type Potato, mais seulement s'ils sont réglés pour les surveiller spécifiquement.

Lors de tests sur des applications et des hôtes réels, le moyen le plus rapide de trouver ces failles avant un attaquant est de lancer la même énumération qu'un attaquant lancerait : LinPEAS ou WinPEAS, un audit sudoers, et une vérification des permissions de service, selon un calendrier régulier, pas seulement une fois au déploiement.

💻
Pratiquez maintenant : le cours Network Penetration Testing couvre toute la chaîne, de l'accès initial jusqu'à l'escalade de privilèges en post-exploitation sur de vraies machines vulnérables, dans le navigateur, sans VPN ni installation locale.

Questions fréquentes

Qu'est-ce que l'escalade de privilèges en cybersécurité ?

L'escalade de privilèges est la technique utilisée par les attaquants pour obtenir un niveau d'accès plus élevé que celui initialement accordé à un compte ou un processus, en passant d'un accès limité aux privilèges administrateur, root ou SYSTEM. C'est une tactique distincte dans le framework MITRE ATT&CK et une étape présente dans presque toute intrusion sérieuse, car l'accès initial arrive rarement avec un contrôle total déjà acquis.

Quelle est la différence entre escalade horizontale et verticale ?

L'escalade verticale fait monter un utilisateur vers un niveau de permission supérieur, comme un compte standard obtenant un accès root ou administrateur. L'escalade horizontale donne accès à un autre compte au même niveau de permission, comme consulter les données d'un autre client tout en restant un utilisateur standard. L'escalade verticale exploite généralement des failles du système d'exploitation et de configuration, tandis que l'escalade horizontale exploite généralement un contrôle d'accès défaillant au niveau applicatif.

Quels outils les attaquants utilisent-ils pour l'escalade de privilèges ?

LinPEAS et WinPEAS automatisent l'énumération sur Linux et Windows, en cherchant des mauvaises configurations connues et en signalant les chemins d'escalade probables. GTFOBins et LOLBAS répertorient des binaires précis pouvant être détournés pour l'escalade une fois trouvés. Les attaquants confirment et exploitent ensuite manuellement le chemin signalé, car ces outils identifient des candidats plutôt que d'exécuter eux-mêmes l'exploit.

L'escalade de privilèges est-elle illégale ?

Réaliser une escalade de privilèges sur un système que vous ne possédez pas, ou sans autorisation écrite explicite de son propriétaire, est illégal dans la plupart des juridictions, y compris au titre du Computer Fraud and Abuse Act américain et du Computer Misuse Act britannique. C'est légal uniquement dans le cadre d'un périmètre de bug bounty autorisé, d'une mission de test d'intrusion signée, ou d'un environnement de laboratoire isolé conçu pour la pratique.

Comment pratiquer légalement l'escalade de privilèges ?

Utilisez des plateformes de laboratoire volontairement vulnérables et des challenges CTF conçus pour cela, participez à des programmes de bug bounty dans leur périmètre publié, ou travaillez sous autorisation signée lors d'une mission de test d'intrusion rémunérée. Les labs de HackerDNA dans le navigateur, dont SUID Privilege Hunter, offrent de vraies cibles vulnérables sans aucun risque légal ni installation locale.

Quelle est la vulnérabilité d'escalade de privilèges la plus courante ?

Sur Linux, les règles sudo mal configurées et les binaires SUID exploitables sont les chemins les plus fréquemment rencontrés en mission réelle comme en CTF, en grande partie parce qu'ils ne demandent aucune compétence en corruption mémoire, juste une énumération soignée. Sur Windows, les chemins de service non guillemetés et les permissions de service faibles sont les vecteurs les plus accessibles aux débutants, tandis que l'usurpation de jeton domine face à des cibles plus durcies et bien corrigées.

Vos prochaines étapes

Lire sur les binaires SUID et les chemins de service non guillemetés donne le vocabulaire. Reconnaître une règle sudo vulnérable ou un script cron accessible en écriture sur une machine réelle, sous pression du temps, avec un document de périmètre sur l'autre écran, demande de la répétition contre de vraies cibles.

Commencez par le lab SUID Privilege Hunter pour pratiquer le chemin d'escalade Linux le plus courant, puis parcourez toute la chaîne d'attaque, de l'accès initial jusqu'à root, dans le cours Network Penetration Testing de HackerDNA. Si vous voulez d'abord voir l'étape d'énumération automatisée, notre guide LinPEAS détaille comment le lancer et l'interpréter.

Le niveau gratuit de HackerDNA offre des labs dans le navigateur, sans carte bancaire ni installation locale. Obtenez un shell, puis allez trouver le chemin vers le sommet.

Dernière relecture : juillet 2026.

HackerDNA Team

Équipe HackerDNA

Écrit par l'équipe HackerDNA - des professionnels de la cybersécurité qui créent des labs de hacking pratiques et du contenu éducatif pour vous aider à développer des compétences réelles en sécurité.

Rencontrer l'équipe

Prêt à mettre cela en pratique?

Arrêtez de lire, commencez à hacker. Obtenez une expérience pratique avec plus de 170 labs de cybersécurité réels.

Commencer à Hacker Gratuitement
15 000+ Hackers 100+ Labs & Cours Gratuit
Commencer Gratuitement