Skip to content

Sous Windows, une alerte montre une nouvelle tâche planifiée lançant PowerShell depuis %TEMP%. De quoi s'agit-il probablement et quelle est votre action ?

Réponse courte

Un logiciel légitime exécute rarement PowerShell depuis %TEMP% via une tâche planifiée fraîchement créée — c'est une technique courante de persistance et d'exécution. Examinez la définition de la tâche, le script invoqué, le processus créateur et la chronologie, confinez l'hôte, et balayez l'environnement à la recherche du même motif. Les mises à jour ne ressemblent pas à cela, faire confiance aveuglément aux tâches planifiées ignore une TTP connue, et supprimer System32 casse le système d'exploitation sans rien faire contre la menace. Les trois premières options reflètent toutes un jugement dangereusement faible.

%TEMP% est un répertoire temporaire qu'aucune application légitime et installée n'utilise comme emplacement permanent pour du code qu'elle planifie d'exécuter. Une tâche planifiée nouvellement créée qui lance powershell.exe contre un script dans %TEMP% combine deux favoris des attaquants : un mécanisme de démarrage automatique durable et un interpréteur de scripts qui vit sur le terrain. Considérez-la comme suspecte par défaut.

La bonne action : trier, puis confiner

Traitez les preuves dans l'ordre :

  • Lisez la définition de la tâche — son déclencheur, la ligne de commande exacte, le compte d'exécution et l'heure de création.
  • Récupérez le script dans %TEMP% et analysez-le ; attendez-vous à de l'obfuscation, du base64 ou un téléchargeur qui récupère une seconde étape.
  • Identifiez le processus créateur et son parent pour comprendre comment la tâche est arrivée (une macro ? un binaire déposé ? une création à distance ?).
  • Construisez une chronologie autour de l'heure de création pour voir ce qui s'est passé d'autre.
  • Confinez l'hôte (isolez-le du réseau via EDR, gardez-le sous tension pour préserver la mémoire).
  • Chassez la même TTP sur l'ensemble du parc — le même nom de tâche, hachage de script ou motif de ligne de commande a souvent atterri ailleurs.

Pourquoi les distracteurs sont dangereux

  • « Une mise à jour Windows de routine » — Windows Update ne dépose pas de scripts PowerShell dans le %TEMP% d'un utilisateur via une nouvelle tâche. La qualifier de routine est la manière dont de vraies intrusions sont clôturées en faux positifs.
  • « Les tâches planifiées sont toujours sûres » — c'est une technique de persistance documentée par MITRE ATT&CK (T1053.005) ; la confiance aveugle est précisément l'angle mort sur lequel comptent les attaquants.
  • « Supprimer le dossier System32 » — c'est la vieille blague déguisée en conseil ; elle paralyse le système d'exploitation et ne fait rien contre la menace. La choisir révèle une absence totale de compréhension du système.

Ce que l'examinateur cherche à évaluer

Si vous reconnaissez un motif de persistance classique, résistez à l'envie de l'expliquer comme bénin, et suivez une séquence disciplinée trier-puis-confiner-puis-chasser au lieu de réagir de façon destructrice.

Questions de suivi probables

  • Quels identifiants d'événements Windows enregistrent la création de tâches planifiées, et comment pivoter vers le processus créateur ?
  • Comment décoderiez-vous et analyseriez-vous en toute sécurité une ligne de commande PowerShell obfusquée ou encodée en base64 ?
  • Après le confinement, comment déterminez-vous si d'autres hôtes ont reçu la même tâche ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.