Methodologie
Comment nous collectons et analysons les menaces
Apercu General
TroyanosYVirus utilise un reseau distribue de capteurs **honeypot** (systemes leurres) deployes dans de multiples emplacements geographiques pour attirer, detecter et analyser les cyberattaques en temps reel.
Un honeypot est un systeme informatique configure pour apparaitre comme une cible legitime et attrayante pour les attaquants. Lorsqu'un attaquant interagit avec le honeypot, toutes ses actions sont enregistrees et analysees, fournissant des informations precieuses sur:
- **Vecteurs d'attaque** actuellement utilises
- **IPs malveillantes** et leur geolocalisation
- **Identifiants** testes lors d'attaques par force brute
- **Malware** deploye par les attaquants
- **Commandes** executees apres avoir obtenu l'acces
Infrastructure
Notre reseau est compose d'un **reseau distribue de capteurs honeypot T-Pot** deployes dans de multiples emplacements geographiques, couvrant differentes regions du monde.
Europe
Plusieurs pays
UE
Amerique du Nord
Plusieurs pays
NA
Asie-Pacifique
Plusieurs pays
APAC
La distribution geographique de nos capteurs permet de capturer des attaques provenant de differentes regions du monde. Pour des raisons de securite operationnelle, nous ne divulguons pas le nombre exact ni les emplacements specifiques de nos capteurs.
T-Pot: Plateforme Multi-Honeypot
Nous utilisons **T-Pot**, une plateforme honeypot tout-en-un developpee par Deutsche Telekom Security. T-Pot integre plusieurs honeypots specialises:
Cowrie
Honeypot SSH/Telnet a interaction moyenne/haute. Capture les identifiants, commandes et malwares.
Dionaea
Capture les malwares exploitant des vulnerabilites SMB, HTTP, FTP, MySQL, etc.
Honeytrap
Honeypot a faible interaction pour capturer les attaques reseau generiques.
Conpot
Simule des systemes de controle industriel (ICS/SCADA).
Mailoney
Honeypot SMTP pour capturer le spam et le phishing.
ADBHoney
Emule Android Debug Bridge pour detecter les attaques sur appareils Android.
Glutton
Proxy honeypot SSH qui redirige les connexions vers Cowrie.
Heralding
Capture les identifiants de multiples protocoles (FTP, SSH, Telnet, HTTP, etc.).
Flux de Donnees
01
Capture
Les honeypots enregistrent toutes les interactions: IPs, ports, identifiants, commandes, payloads.
→
02
Agregation
Les donnees sont envoyees a un serveur central ou elles sont normalisees et stockees dans Elasticsearch.
→
03
Enrichissement
Les IPs sont enrichies avec des donnees de geolocalisation, ASN/FAI et reputation de sources externes.
→
04
Analyse
Les scores de risque sont calcules, les patterns identifies et les menaces classifiees.
→
05
Visualisation
Les donnees traitees sont exposees via le web et l'API pour consultation publique.
Calcul du Score de Risque
Chaque IP detectee recoit un **score de risque** (0-100) base sur plusieurs facteurs:
Facteurs
25%
Volume d'attaques
Nombre total d'evenements malveillants
20%
Diversite d'attaques
Types differents d'attaques effectuees
15%
Honeypots affectes
Nombre de honeypots ayant detecte l'IP
20%
Malware associe
Si l'IP a deploye un malware connu
10%
Recence
Temps depuis la derniere activite
10%
Reputation externe
Donnees des listes noires et sources OSINT
Echelle
0-39
Faible
Activite minimale ou sporadique
40-59
Moyen
Activite moderee, scan possible
60-79
Eleve
Activite significative, attaques actives
80-100
Critique
Menace severe, multiples vecteurs d'attaque
Qualite des Donnees
Nous implementons plusieurs controles pour garantir la qualite des donnees:
- **Deduplication**: Nous supprimons les evenements dupliques d'une meme attaque
- **Validation IP**: Nous verifions que les IPs sont publiques et valides
- **Filtrage du bruit**: Nous excluons les scans benins connus (Shodan, Censys, etc.)
- **Verification malware**: Les hashes sont verifies avec VirusTotal
- **Mise a jour continue**: Les donnees sont mises a jour chaque minute
Limitations
Il est essentiel de comprendre les limitations inherentes aux donnees honeypot pour leur correcte interpretation:
- **Biais geographique**: L'emplacement des capteurs affecte les attaques capturees et celles hors portee de detection
- **Attaques ciblees**: Les attaques tres sophistiquees peuvent detecter et eviter les honeypots
- **Volume vs. impact**: Un volume eleve d'attaques ne signifie pas toujours un danger accru; il peut s'agir de scans automatises a faible impact
- **Attribution**: Les IPs peuvent etre des proxys, VPNs, noeuds Tor, machines compromises ou infrastructure CDN. La presence d'une IP n'implique pas que son titulaire est responsable de l'activite malveillante
- **Faux positifs**: Certains scans legitimes (chercheurs, moteurs de recherche, services de surveillance) peuvent etre classifies incorrectement comme attaques
- **Donnees automatisees**: L'ensemble du processus de collecte, enrichissement et notation est automatise, ce qui peut introduire des erreurs systematiques
- **Pas d'attribution definitive**: Les donnees de cette plateforme ne doivent pas etre utilisees comme seule source pour attribuer une activite criminelle
Considerations Ethiques
Nous suivons des principes ethiques dans notre recherche:
- **Pas d'interaction offensive**: Nos systemes sont passifs, nous n'attaquons jamais en retour
- **Donnees publiques**: Nous ne publions que les IPs ayant effectue une activite malveillante verifiable
- **Vie privee**: Nous ne collectons pas de donnees personnelles des utilisateurs legitimes
- **Responsabilite**: Les donnees sont fournies "en l'etat" sans garantie
- **Usage legitime**: Les donnees sont destinees a la recherche et la defense, pas aux represailles
Questions Frequentes
Les donnees sont-elles en temps reel?
Les donnees sont mises a jour chaque minute. La carte en direct montre les attaques des dernieres secondes.
Puis-je utiliser les donnees pour bloquer des IPs?
Oui, mais nous recommandons de combiner avec d'autres sources. Considerez le contexte et le risque de faux positifs.
Proposez-vous une API pour acceder aux donnees?
Nous travaillons sur une API publique. Contactez-nous si vous avez besoin d'un acces anticipe pour la recherche.
Comment puis-je contribuer?
Vous pouvez signaler des faux positifs, partager des donnees de vos honeypots, ou collaborer au developpement du projet.
Vous avez des questions sur notre methodologie? Contactez-nous.
Contacter →