PAM 
L’administration et la gouvernance des identités (IGA) jouent un rôle important, en déterminant qui devrait avoir accès aux données sensibles et quand cet accès devrait être
publié le octobre 06, 2025
La plupart des solutions d’accès zero-trust au réseau (ZTNA) prétendent éliminer les risques de sécurité basés sur le périmètre, mais un grand nombre d’entre elles introduisent en réalité de nouvelles vulnérabilités. Lors de la conférence de piratage DEF CON qui s’est tenue en août 2025, des chercheurs ont révélé d’importantes failles dans plusieurs produits de ZTNA couramment utilisés, notamment des contournements d’authentification et des fuites d’identifiants. KeeperPAM® vous aide à remédier aux failles de sécurité que les solutions ZTNA classiques ne parviennent pas à corriger en appliquant une approche zero-trust et un chiffrement zero knowledge, un accès basé sur le coffre-fort et une connectivité uniquement sortante.
Lisez la suite de l’article pour découvrir les faiblesses de la plupart des solutions ZTNA existantes et savoir comment KeeperPAM y remédie pour vous offrir un accès sécurisé sans exposer vos données sensibles.
Les failles de sécurité dans les outils de ZTNA traditionnels
Bien qu’ils soient présentés comme une alternative sécurisée au réseau privé virtuel (VPN), de nombreux outils de ZTNA existants présentent des vulnérabilités qui peuvent être tout aussi néfastes que les cybermenaces qu’ils visent à prévenir. Les résultats présentés par AmberWolf lors de la DEF CON 33 ont mis en évidence une série de problèmes de sécurité dans les principaux produits de ZTNA, y compris des vulnérabilités qui peuvent permettre aux cybercriminels d’élever les privilèges sur les appareils des utilisateurs et d’accéder aux ressources critiques sans être détectés.
Contournement de l’authentification
Étant donné que de nombreuses plateformes ZTNA reposent sur des méthodes d’authentification obsolètes ou mal appliquées, des implémentations faibles de SAML peuvent permettre aux cybercriminels de rejouer des jetons, contournant ainsi complètement l’authentification. Dans certains cas, les flux d’inscription des appareils ne sont pas correctement appliqués, ce qui crée des vulnérabilités permettant à des appareils non authentifiés de se connecter à des systèmes critiques.
Exposition des identifiants
L’un des problèmes les plus importants avec les anciennes solutions de ZTNA est la mauvaise gestion fréquente des identifiants. Les secrets à longue durée de vie, tels que les clés API, les clés SSH ou les jetons d’accès, sont généralement stockés sur des terminaux ou en mémoire, où ils sont susceptibles d’être volés par des infections de malware ou lors d’une compromission locale. Une fois ces identifiants exposés, ils peuvent être réutilisés pour les déplacements latéraux ou pour augmenter les privilèges au sein d’un réseau.
Faiblesses dans l’architecture
Au lieu de limiter la confiance, de nombreuses solutions de ZTNA l’étendent à cause de faiblesses de l’architecture. Il s’agit par exemple d’exiger l’installation de certificats racine de confiance pour l’inspection du trafic, d’exposer les passerelles à Internet et d’acheminer le trafic via l’infrastructure d’un fournisseur. Ces faiblesses augmentent la surface d’attaque d’une organisation, ce qui va directement à l’encontre des piliers de la sécurité zero-trust.
Usurpation de posture
Certaines solutions de ZTNA s’appuient sur des vérifications de posture pour déterminer si un appareil est sécurisé en vérifiant les versions du système d’exploitation ou les certificats de l’appareil. Cependant, bon nombre de ces vérifications sont effectuées côté client et peuvent être facilement manipulées. Si la solution accepte des jetons ou des identifiants mis en cache sans revalider correctement l’appareil, les cybercriminels peuvent usurper la conformité de la posture. Cela permet à des appareils non autorisés d’accéder au système en trompant ce dernier pour qu’il les considère comme conformes, contournant ainsi les protections de l’organisation.
Comment la solution KeeperPAM élimine-t-elle ces faiblesses ?
La solution KeeperPAM est conçue pour éliminer les vulnérabilités courantes des solutions de ZTNA classiques. En combinant un chiffrement zero knowledge, un accès juste-à-temps (JIT) et une architecture uniquement sortante, KeeperPAM applique une véritable approche zero-trust sans exposer les identifiants ni augmenter la surface d’attaque. Voici les fonctionnalités essentielles de KeeperPAM :
- architecture zero knowledge: avec KeeperPAM, les identifiants ne sont jamais divulgués aux utilisateurs, stockés sur des appareils ou accessibles par Keeper. Cela garantit que les secrets sont chiffrés et déchiffrés au niveau de l’appareil et de l’entrée.
- Accès juste-à-temps (JIT): KeeperPAM permet aux administrateurs de n’accorder l’accès qu’en cas de besoin et uniquement pour la durée de la session. Une fois la session terminée, KeeperPAM procède automatiquement à la rotation des identifiants de connexion afin d’éviter qu’ils ne soient volés ou réutilisés.
- Architecture sortante uniquement : la passerelle Keeper établit des connexions chiffrées de bout en bout sans ouvrir de ports de pare-feu entrants ni exposer les terminaux.
- Suivi et enregistrement des sessions : KeeperPAM surveille et enregistre toutes les sessions privilégiées, y compris SSH, RDP et TLS, à des fins d’audit et de contrôle de la conformité. KeeperAI fournit une détection et une réponse aux menaces basées sur l’IA agentique, permettant de mettre fin automatiquement aux sessions à haut risque.
- Prise en charge native des outils avec sécurité zero-trust : en prenant en charge le tunneling sécurisé et l’accès à distance via des outils natifs tels que MySQL Workbench ou pgAdmin, KeeperPAM maintient la sécurité zero-trust en arrière-plan.
- Intégration fluide avec les fournisseurs d’identité existants (IdP) : KeeperPAM fonctionne avec les IdP existants, garantissant ainsi une authentification et un approvisionnement sécurisés sans compromettre le chiffrement zero knowledge.
KeeperPAM par rapport aux approches ZTNA classiques
Bien que la plupart des solutions ZTNA prétendent minimiser les risques, beaucoup dépendent encore d’architectures obsolètes qui présentent de graves failles de sécurité. KeeperPAM adopte une approche différente en éliminant l’exposition des identifiants, en réduisant les hypothèses de confiance et en appliquant des contrôles d’accès granulaires. Vous trouverez ci-dessous les principales différences architecturales et opérationnelles entre KeeperPAM et les outils ZTNA classiques :
| Category | KeeperPAM | Traditional ZTNA |
|---|---|---|
| Credential storage | Credentials are encrypted in a zero-knowledge vault and never exposed to users. | Secrets are often stored on devices or in memory, leaving them vulnerable to theft. |
| Gateway exposure | Outbound-only architecture eliminates the need to open inbound firewall ports. | Requires publicly exposed gateways, which expands the attack surface. |
| Token replay risk | Vault-initiated sessions with JIT access help prevent token replay. | Reusable tokens and weak authentication methods allow for token replay. |
| Root certificate installation | Encryption remains end-to-end, making it unnecessary to install trusted root certificates. | Trusted root certificates are often required for traffic inspection, expanding trust boundaries. |
| Traffic interception | No traffic interception is needed since sessions are recorded for SSH, RDP and TLS. | Relies on traffic interception and vendor infrastructure for monitoring. |
| Access control | Just-in-Time (JIT) access with automatic credential rotation. | Broad access policies expand standing access and allow for lateral movement. |
Pérennisez votre stratégie d’accès avec KeeperPAM
Étant donné que les cybercriminels exploitent les faiblesses des outils ZTNA conventionnels, il n’est pas prudent de se fier à des solutions d’accès obsolètes. Les organisations ont besoin d’une solution conçue pour appliquer une approche zero-trust sans compromettre la sécurité, et c’est exactement ce que propose KeeperPAM. En combinant un chiffrement zero knowledge, un accès par coffre-fort et des contrôles d’accès granulaires, KeeperPAM élimine l’exposition des identifiants et réduit la surface d’attaque.
Start your free trial of KeeperPAM today to close security gaps and future-proof your access strategy with a scalable and secure solution built for modern cyber threats.
