Methodologie

Comment nous collectons et analysons les menaces

Apercu General

TroyanosYVirus utilise un reseau de **honeypots** (systemes leurres) strategiquement distribues sur 5 continents pour attirer, detecter et analyser les cyberattaques en temps reel. Un honeypot est un systeme informatique configure pour apparaitre comme une cible legitime et attrayante pour les attaquants. Lorsqu'un attaquant interagit avec le honeypot, toutes ses actions sont enregistrees et analysees, fournissant des informations precieuses sur: - **Vecteurs d'attaque** actuellement utilises - **IPs malveillantes** et leur geolocalisation - **Identifiants** testes lors d'attaques par force brute - **Malware** deploye par les attaquants - **Commandes** executees apres avoir obtenu l'acces

Infrastructure

Notre reseau est compose de **5 serveurs honeypot T-Pot** situes dans:

🇫🇷

Paris

France

Europe occidentale

🇩🇪

Francfort

Allemagne

Europe centrale

🇵🇱

Varsovie

Pologne

Europe de l'Est

🇸🇬

Singapour

Asie-Pacifique

🇨🇦

Toronto

Canada

Amerique du Nord

Cette distribution geographique permet de capturer des attaques provenant de differentes regions du monde et d'obtenir une vision globale du paysage des menaces.

T-Pot: Plateforme Multi-Honeypot

Nous utilisons **T-Pot**, une plateforme honeypot tout-en-un developpee par Deutsche Telekom Security. T-Pot integre plusieurs honeypots specialises:

Cowrie

Honeypot SSH/Telnet a interaction moyenne/haute. Capture les identifiants, commandes et malwares.

Dionaea

Capture les malwares exploitant des vulnerabilites SMB, HTTP, FTP, MySQL, etc.

Honeytrap

Honeypot a faible interaction pour capturer les attaques reseau generiques.

Conpot

Simule des systemes de controle industriel (ICS/SCADA).

Mailoney

Honeypot SMTP pour capturer le spam et le phishing.

ADBHoney

Emule Android Debug Bridge pour detecter les attaques sur appareils Android.

Glutton

Proxy honeypot SSH qui redirige les connexions vers Cowrie.

Heralding

Capture les identifiants de multiples protocoles (FTP, SSH, Telnet, HTTP, etc.).

Flux de Donnees

Capture

Les honeypots enregistrent toutes les interactions: IPs, ports, identifiants, commandes, payloads.

→

Agregation

Les donnees sont envoyees a un serveur central ou elles sont normalisees et stockees dans Elasticsearch.

→

Enrichissement

Les IPs sont enrichies avec des donnees de geolocalisation, ASN/FAI et reputation de sources externes.

→

Analyse

Les scores de risque sont calcules, les patterns identifies et les menaces classifiees.

→

Visualisation

Les donnees traitees sont exposees via le web et l'API pour consultation publique.

Calcul du Score de Risque

Chaque IP detectee recoit un **score de risque** (0-100) base sur plusieurs facteurs:

Facteurs

25%

Volume d'attaques

Nombre total d'evenements malveillants

20%

Diversite d'attaques

Types differents d'attaques effectuees

15%

Honeypots affectes

Nombre de honeypots ayant detecte l'IP

20%

Malware associe

Si l'IP a deploye un malware connu

10%

Recence

Temps depuis la derniere activite

10%

Reputation externe

Donnees des listes noires et sources OSINT

Echelle

0-39

Faible

Activite minimale ou sporadique

40-59

Moyen

Activite moderee, scan possible

60-79

Eleve

Activite significative, attaques actives

80-100

Critique

Menace severe, multiples vecteurs d'attaque

Qualite des Donnees

Nous implementons plusieurs controles pour garantir la qualite des donnees: - **Deduplication**: Nous supprimons les evenements dupliques d'une meme attaque - **Validation IP**: Nous verifions que les IPs sont publiques et valides - **Filtrage du bruit**: Nous excluons les scans benins connus (Shodan, Censys, etc.) - **Verification malware**: Les hashes sont verifies avec VirusTotal - **Mise a jour continue**: Les donnees sont mises a jour chaque minute

Limitations

Il est important de comprendre les limitations des donnees honeypot: - **Biais geographique**: L'emplacement des honeypots affecte les attaques capturees - **Attaques ciblees**: Les attaques tres sophistiquees peuvent detecter les honeypots - **Volume vs. impact**: Un volume eleve d'attaques ne signifie pas toujours un danger accru - **Attribution**: Les IPs peuvent etre des proxys, VPNs ou machines compromises - **Faux positifs**: Certains scans legitimes peuvent etre classifies comme attaques

Considerations Ethiques

Nous suivons des principes ethiques dans notre recherche: - **Pas d'interaction offensive**: Nos systemes sont passifs, nous n'attaquons jamais en retour - **Donnees publiques**: Nous ne publions que les IPs ayant effectue une activite malveillante verifiable - **Vie privee**: Nous ne collectons pas de donnees personnelles des utilisateurs legitimes - **Responsabilite**: Les donnees sont fournies "en l'etat" sans garantie - **Usage legitime**: Les donnees sont destinees a la recherche et la defense, pas aux represailles

Questions Frequentes

Les donnees sont-elles en temps reel?

Les donnees sont mises a jour chaque minute. La carte en direct montre les attaques des dernieres secondes.

Puis-je utiliser les donnees pour bloquer des IPs?

Oui, mais nous recommandons de combiner avec d'autres sources. Considerez le contexte et le risque de faux positifs.

Proposez-vous une API pour acceder aux donnees?

Nous travaillons sur une API publique. Contactez-nous si vous avez besoin d'un acces anticipe pour la recherche.

Comment puis-je contribuer?

Vous pouvez signaler des faux positifs, partager des donnees de vos honeypots, ou collaborer au developpement du projet.

Vous avez des questions sur notre methodologie? Contactez-nous.

Contacter →