Cette formation représente la première partie d’une suite de formation relative aux techniques essentiel pour un analyste SOC et bien plus encore. Elle permet d’avoir des compétences fonctionnelles pour tout analyste SOC qui souhaite commencer dans ce métier ou encore pour toute personne travaillante ou souhaitant travailler dans la sécurité défensive : les Blue teams. Les équipes bleues font référence à l'équipe de sécurité interne qui défend l’organisme contre les menaces et les cyberattaques. Le Blue Teaming peut englober beaucoup de métiers : Analyste SOC, Incident Responder, Threat Hunte et même administrateurs ! C’est d’abord une mentalité de vigilance constante contre les acteurs de menaces, qui consiste à défendre, de protéger les organismes mais aussi de durcir les mécanismes de défense et rendre la réponse aux incidents beaucoup plus efficace.

1. Formation
Techniques de Blue Teaming
L'Essentiel pour l'Analyste SOC (1/2)
Une formation
Hamza KONDAH

2. Le Blue Teaming
Les équipes bleues font référence à l'équipe de sécurité interne qui défend l’organisme contre les
menaces et les cyberattaques
Le but ici n'est pas de garder le contrôle totale, mais plutôt d'encourager la curiosité et un
mindset proactif
Le Blue Teaming peut englober beaucoup de métiers
Analyste SOC
Incident Responder
Threat Hunter
Et même administrateurs 

3. Tâches d’une Blue Team
La réalisation d'une analyse de l'empreinte numérique (test d’exposition) de
l’organisme
La mise en œuvre de solutions SIEM pour logger et analyser l'activité du réseau
Surveillance au niveau de l'hôte et du réseau
Prévenir les attaques de phishing
Analyse de risque
Threat Hunting
Durcissement reseaux et systèmes
Sensibilisation
Et bien plus encore …

4. Une formation
Plan de la formation
Introduction
1. Découvrir les normes et standards relatives au Blue
Teaming
2. Apprendre à identifier, catégoriser, analyser et bloquer
une attaque de phishing
3. Maitriser l'analyse de flux réseaux
4. Découvrir la Cyber Threat intelligence
Conclusion

5. Une formation
Public concerné
Administrateurs systèmes et réseaux
Architectes systèmes et réseaux
Analyste SOC
Analyste Cyberdéfense
Consultant cybersécurité
Blue Teams
Toute personne intéressé par l’IT 

6. Une formation
Connaissances requises
Avoir des connaissances de base en
systèmes et réseaux
Avoir des connaissances de base en
cybersécurité

8. Appréhender la relation
entre les Blue, Red et Purple Team
Une formation
Hamza KONDAH

9. Le Blue Teaming
Les équipes bleues font référence à l'équipe de sécurité interne qui défend l’organisme contre les
menaces et les cyberattaques
Le but ici n'est pas de garder le contrôle totale, mais plutôt d'encourager la curiosité et un
mindset proactif
Le Blue Teaming peut englober beaucoup de métiers
Analyste SOC
Incident Responder
Threat Hunter
Et même administrateurs 

10. Soft Skills
Autodidacte
Autonomie et organisation
Capacité d’analyse et de synthèse
Rigueur
Méthodologique
Qualité rédactionnelle
Communication
L’art du KISS (Keep It Simple Stupid)

11. Hard Skills
Il n'y a pas de poste de débutant en cybersécurité
Attention au portable skills

12. Les équipes Bleu et Rouge travaillent idéalement en parfaite harmonie les
unes avec les autres, comme deux mains qui forment la capacité d'applaudir
Blue Team et Red Team

13. Le Red Teaming
Les équipes rouges sont des entités internes ou externes dédiées à tester l'efficacité des mesures
de sécurités mis en place dans un organisme en émulant
les outils et techniques d'attaquants potentiels de la manière la plus réaliste possible (Les TTPs)
Cela peut aussi être considéré comme de l’adversary emulation
Utilisant des outils, des exploits, des méthodologies et des objectifs similaires d’acteurs de
menaces données
Plus d’informations : https://sh0ckfr.com/pages/les-differences-entre-red-team-et-pentest/

14. Red Team Vs Pentest
Source: https://sh0ckfr.com/pages/les-differences-entre-red-team-et-pentest/

15. Le Purple Teaming : Cauchemar en entreprise

16. Le Purple Teaming
Le Purple Teaming est un état d'esprit coopératif entre les attaquants et les défenseurs
travaillant du même côté
En tant que tel, il doit être considéré comme une fonction plutôt que comme une
équipe dédiée
Idéalement, Purple ne devrait pas du tout être une équipe, mais plutôt une
dynamique permanente entre le rouge et le bleu

17. Découvrir les métiers liés
au Blue Teaming
Une formation
Hamza KONDAH

18. Métiers liés au Blue Teaming
Analyste Sécurité
Consultant, Ingénieur et Architecte en cybersécurité
Administrateurs reseaux et systèmes
Analyste SOC (N1,N2 et N3)
Responsable du CSIRT
Threat Hunter
Cyber Threat Analyst
Analyste réponse aux incidents de sécurité
Gestionnaire de crise de cybersécurité
Analyste IAM
Analyste Forensique
Chef de projet cybersécurité

19. Une formation
Plus d’informations
https://www.cyberjobs.fr/metiers-cybersecurite
https://www.ssi.gouv.fr/guide/panorama-des-metiers-de-
la-cybersecurite/

20. Effectuer un focus
sur les métiers liés au SOC
Une formation
Hamza KONDAH

21. Un SOC, C'est la dure réalité qu'on ne peut pas arrêter toutes les attaques
À un moment donné, le système de sécurité le plus avancé échouera et à de
tels moments, la seul chose qui compte, c'est de limiter l'impact et
sécuriser le scope concerné
Introduction

22. Définition
SOC - Security Operations Center
Une fonction centralisée au sein d'un organisme (ou pas) employant des personnes, des processus
et des technologies (solutions) pour surveiller et améliorer en permanence la posture de sécurité
d'une organisation tout en prévenant, détectant, analysant et répondant aux incidents de
cybersécurité, représente un hub ou un poste de commandement central

24. Un analyste SOC ou analyste cyber SOC est un des postes des plus prisés aujourd'hui, il joue
unrôle essentiel dans la sécurité des organismes
L'analyste SOC gère également la coordination et le suivi des incidents, ainsi que le reporting
Les analystes SOC de niveau 1
Tirage, Surveillance, Configuration, Forwarding
Les analystes SOC de niveau 2
Investigation, Réponse à incident, Forensique, amélioration
Les analystes SOC de niveau 3
Threat Hunting, Threat intellgance et même pentest/red teaming
Le métier d’analyste SOC

25. Workflow de la data dans un SOC

26. Maitriser l'essentiel des composants
des infrastructures SOC
Une formation
Hamza KONDAH

27. Must Have pour un SOC
Récolte + Enrichissement
+ Corrélation + Compétence

28. Event Management

29. UTM SIEM IDS/IPS/IDPS EDR
Réponse à
incident
Analyse de
malware
Threat
intelligence
Analyse de
vulnérabilités
Honeypot
(internet et
externe)
Must Have pour un SOC

30. Temps de traitement d’incidents

31. Découvrir le processus
de Threat Hunting
Une formation
Hamza KONDAH

32. Introduction et definition
Le Threat Hunting est l’art de recherche itérative dans le données (brut ou structurées) afin de
pouvoir détecter des menaces (avancées principalement) qui passent entre les mailles du filet
Un contrastes avec les mesures de détection de menaces traditionnel
Firewalls
Systèmes de détection d’intrusion
Sandbox de détection de Malwares
SIEM (Intéressant ? Really ?)
Attention : Ce n’est pas de la réponse à incident

33. Approche proactive
Les différentes approches
Approche réactive
VS

34. Objectifs
Identification
de systèmes
et comptes
compromis
Identification
de systèmes
et comptes
compromis
Identification
d’APT
Identification
d’APT
Améliorer les
règles de
détection de
menaces
Améliorer les
règles de
détection de
menaces
Effectuer des
analyses
forensics
Effectuer des
analyses
forensics

35. Méthodologie de threat Hunting
Collecte et
traitement
de data
Création
d’hypothèse
Ou définition
des objectis
Investigation
via outils et
techniques
Découverte
de nouveaux
patterns et
TTPs
Transfert
d’informations
et
enrichissement
(Analyse)
Réponse à
incident et
amélioration
continue

36. Appréhender la différence
entre CERT et CSIRT
Une formation
Hamza KONDAH

37. CSIRT
Computer Security Incident Response Team
Généralement un CSIRT est une équipe de sécurité
opérationnelle, composée d’experts de différents
domaines
CERT
Computer emergency response
Marque déposé et il faut respecter les conditions de la
marque Carnegie Melon pour l’utiliser
CSIRT et CERT
Une formation

38. Un CERT et un CSIRT (Plus mature) sont des termes interchangeables et certaines
conditions les séparent (Droit d’utiliser la marque et Réponse à incident/Threat
Intelligence)
CERT

39. Fonctions d’un CSIRT
Centralisation des demandes d'assistance suite aux incidents de
sécurité (attaques) sur les réseaux et les systèmes d'informations
Traitement des alertes et réaction aux attaques informatiques
Etablissement et maintenance d'une base de données des
vulnérabilités
Prévention par diffusion d'informations sur les précautions à
prendre pour minimiser les risques d'incident ou au pire leurs
conséquences
Coordination éventuelle avec les autres entités (hors du domaine
d'action)
Une formation

40. Computer Security Incident Response Team
CSIRT
Détection Réaction Suivi Veille
SOC Limite des responsabilités
SOC/CSIRT
CSIRT

41. SOC vs CSIRT

42. Structurer sa prise de note
Une formation
Hamza KONDAH

43. Lab : Structurer sa prise de note

44. Déployer le Lab
de la formation
Une formation
Hamza KONDAH

45. Une formation
Configuration hôte conseillé
RAM : 16 Go
Disque Dur : 512 GB SSD
Processeur : i5 (8ème Gen) ou plus
OS : Windows 10
Hyperviseur : VMWare Workstation Pro 15 ou plus
OU
Serveur dédié
soyoustart & hetzner

46. Lab : Déployer son lab

47. Découvrir les standards
de gestion de vulnérabilités
Une formation
Hamza KONDAH

48. Une formation
L’organisme MITRE
Mitre corporation : Le MITRE est une organisation à but
non lucratif américaine
Créé en 2013
Fond fédéral 
Le MITRE c’est d’abord un travail collaboratif avec des
organismes (R&D) gouvernementaux (DoD) et des
institutions industrielles et universitaires
Site web : https://www.mitre.org/

49. Une formation
CVE
CVE : Common Vulnerabilities and Exposures
Un standard qui permet de réencenser des vulnérabilités
avec une description
Un annuaire/dictionnaire en termes plus simple
Format
CVE-AAAA-NNNN

50. CVSS
CVSS : Common Vulnerability Scoring System
Système de scoring créé par le FIRST (Forum of Incident Response and Security Teams)
Objectifs
Calculer
Comparer
Comprendre la gravité des failles de sécurité
Trois métriques
Score de base
Temporel
Environnemental

51. Modèles d’exposition de vulnérabilités
Secret complet
(bug secrecy)
Divulgation
complète (full
disclosure)
Divulgation
responsable
(responsaible
disclosure)
Approche
hybride

52. CWE et CWSS
Common Weakness Enumeration (CWE-XXXX)
Liste d’informations contenant les failles et faiblesses dans la conception et l’architecture d’une application
Common Weakness scoring system
Le Common Weakness Scoring System (CWSS) fournit un mécanisme permettant de hiérarchiser les faiblesses
logicielles de manière cohérente, flexible et ouverte

53. Responsible disclosure

54. Full disclosure

55. Lab : Standards de gestion de vulnérabilités

56. Maitriser l'analyse
des leaks
Une formation
Hamza KONDAH

57. Une formation
Analyse des leaks
Les leaks représentent des fuites de données accessible sur
internet en public ou en vente libre
Exploitation des données dans un contexte de
social engineering, reconnaissance, password reuse ou
encore password spraying
Cela peut aussi concerner
des données personnelles et secrets industrielles
Un des points des plus importants pour une blue team est
de faire une veille continu sur les leaks des organismes

58. Data (Forums : Exploit.IN, Raidforums.com (RIP), XSS.IS, Groupes Telegrams,
plateformes darknet …)
Passwords (HaveIBeenPwned, Dehached…)
Sources

59. Appréhender la notion
de groupes APT
Une formation
Hamza KONDAH

60. Une formation
Définition d’un groupe APT
APT : Advanced Persistent Threat
Représentent des groupes hautement qualifiés, avec des
outils sophistiqués, et des objectifs précis
Leurs objectifs, généralement, ce n’est pas toujours de faire
des dégâts
En premier temps
Persister dans le temps (furtivité) et exfiltration de données
Très souvent assimilé à des gouvernements
Attention aux false flags (Attribution)

61. Schéma : Youness Zougar
Schéma

62. Les serveurs C&C

63. Appréhender
la Cyber Kill Chain
Une formation
Hamza KONDAH

64. Une formation
Notion de killchain
Kill chain est un terme utilisé à l'origine par les
militaires pour définir les étapes qu'un ennemi utilise
pour attaquer une cible
En 2011, Lockheed Martin a publié un article
définissant une Cyber Kill Chain
Similaire dans son concept au modèle militaire, il
définit les étapes utilisées par les cyber-attaquants
dans les cyber-attaques d'aujourd'hui

65. la Cyber Kill Chain

66. Découvrir la corrélation entre
OPSEC et Cyber Kill Chain
Une formation
Hamza KONDAH

67. Cyber Kill Chain et OPSEC

68. Appréhender la notion
de TTPs
Une formation
Hamza KONDAH

69. TTPs : Tactiques, Techniques et Procédures
La Tactique : L’objectif d’un attaquant
Pour atteindre ces objectifs tactiques, l’attaquant mettra en œuvre une ou plusieurs “techniques”
Sous-techniques
Elles décrivent les actions et le comportement de l'adversaire à un niveau inférieur et plus
technique
Procédures
Mises en œuvre spécifiques que les adversaires utilisent pour une technique ou une sous-
technique

70. Les attaquants changent, les modes opératoires NON …
Rappel

71. Maitriser le Framwork
Mitre ATT&CK
Une formation
Hamza KONDAH

72. Une formation
MITRE ATT&CK
Le MITRE ATT&CK est un des frameworks (Matrice) les plus connus
du MITRE
ATT&CK signifie Adversarial Tactics, Techniques, and Common
Knowledge
Documentation des TTPs courantes utilisées par les menaces
persistantes avancées (APT)
Le MITRE ATT&CK est un point de départ
Threat intelligence
Voir l’image en grand  (Des logs biensure)
Ligne défensive efficace
Analyse forensique

73. Apport du MITRE
Analyser et
suivre
l’évolution des
TTPs
Analyser et
suivre
l’évolution des
TTPs
Comparer les
TTPS des
différents
attaquants
Comparer les
TTPS des
différents
attaquants
Permettre de
hiérarchiser la
détection et
l'analyse
Permettre de
hiérarchiser la
détection et
l'analyse
Émulation des
menaces (Adver
sary Emulation)
Émulation des
menaces (Adver
sary Emulation)
Partager
Partager Capitaliser
Capitaliser

74. Adversary Emulation

75. Processus

76. https://mitre-evals.kb.europe-west1.gcp.cloud.es.io:9243/security/access_agreement?next=%2F

77. Maitriser le Framework
Mitre D3FEND
Une formation
Hamza KONDAH

78. D3FEND
La matrice D3FEND de Mitre explique la terminologie des techniques
défensives de cybersécurité et leur rapport avec les méthodes offensives
D3FEND est un schéma dont l’ambition est d'établir un langage commun pour
aider les cyberdéfenseurs à partager leurs stratégies et leurs méthodes

79. D3FEND « établit une terminologie des techniques de défense des réseaux
informatiques afin d’éclaircir les relations précédemment non spécifiées entre
les méthodes défensives et offensives »
NSA
Introduction

80. Schéma D3FEND

81. Les composants de D3FEND
D3FEND est composé de trois éléments essentiels
Un graphe de connaissances qui résume les méthodes défensives
Une série d'interfaces utilisateur pour accéder à ces données
Une façon de mettre en correspondance ces mesures défensives avec le modèle d'ATT&CK

82. Maitriser le Framework
DeTT&CT
Une formation
Hamza KONDAH

83. Introduction

84. Présentation
DeTTECT est un outil open source
https://github.com/rabobank-cdc/DeTTECT
Son objectif est d’aider les équipes SOC à comparer la qualité de leurs datasources aux matrices
MITRE ATTA&CK pour leur permettre de détecter les adversaires, en fonction des tactiques qu’ils
peuvent être
Ce qui rend DeTTECT si précieux, c’est qu’il le fait d’une manière facilement compréhensible

85. DETTECT
Le Framework DeTTECT utilise un outil Python, des fichiers d’administration YAML,
l’éditeur DeTTECT et plusieurs tables de scoring pour nous aider à évaluer notre
environement

86. Schéma DETTECT

87. Découvrir la notion
du Biais du survivant
Une formation
Hamza KONDAH

88. Biais du survivant

89. Biais du survivant

90. Découvrir les IoC
Indicateurs de Compromissions
Une formation
Hamza KONDAH

91. Exemples d’IoCs

92. Cycle de vie d’un IoC

93. IoCs vs IoAs
Source : https://www.crowdstrike.com/cybersecurity-101/indicators-of-compromise/ioa-vs-ioc/

94. IoCs vs IoAs
Source : https://www.crowdstrike.com/cybersecurity-101/indicators-of-compromise/ioa-vs-ioc/

95. Appréhender le cycle
Dépréciation des IoCs
Une formation
Hamza KONDAH

96. Le pipeline de dépréciation

97. Appréhender
la "Pyramid of Pain"
Une formation
Hamza KONDAH

98. The Pyramid of Pain

99. Découvrir le fonctionnement
des protocoles mails
Une formation
Hamza KONDAH

100. Architecture
Source : Itconnect.fr

101. Lab : Découvrir l’anatomie d’un mail

102. Appréhender les techniques
de Social Engineering et de phishing
Une formation
Hamza KONDAH

103. Définition du Social Engineering
Le Social Engineering est la pratique (l’art) d'obtention d'informations critiques en exploitant la faille humaine
Art Of Deception
Vecteurs d’intrusion par prédilection!
L‘être humain = Le maillon faible dans la ligne de défense de l'entreprise/cible (le maillon fort aussi)
En tant qu‘être social, cela nous rend automatiquement vulnérable à des attaques de Social Engineering
Plusieurs vecteurs d'attaque

104. Définition du phishing

105. Le Spear Phishing

106. Catégories de phishing
Fraude au
président
Whaling
Vishing
Smishing
Pharming
Vol
d’informations
de session
*Déploiement
de malware

107. Découvrir le rôle
de la reconnaissance dans le phishing
Une formation
Hamza KONDAH

108. Définition d’un groupe APT

109. Lab : Reconnaissance dans le phishing

110. Mettre en place une campagne
de phishing avec gophish
Une formation
Hamza KONDAH

111. Objectifs d’une campagne de phishing
Identifier les
maillons faibles
Sensibiliser
ses utilisateurs
Sécuriser les surfaces
d’attaque
Se protéger contre
les futurs attaques

112. Lab : Mise en place d’une campagne de phishing avec gophish

113. Analyser les URL et les pièces jointes
des mails de phishing dans des sandbox
Une formation
Hamza KONDAH

114. Définition d’une sandbox

115. Lab : Sandbox et mails

116. Apprendre à utiliser l'outil Phishtool
dans l'analyse de mails de phishing
Une formation
Hamza KONDAH

117. Phishtool

118. Maitriser l'outil URLScan
Une formation
Hamza KONDAH

119. Maitriser l'outil URLScan

120. Apprendre à réagir face
à une campagne de phishing
Une formation
Hamza KONDAH

121. Réagir face aux phishing
Mesures préventives
Sensibilisation
Campagne de phishing
Sécurisation des serveurs mails
Mesures réactives
Effecteur une sauvegarde/exportation du mail
Effectuer une analyse du mail
Communiquer !
Application des contremesures (Stratégie de blocage de mails)
Amélioration continue

122. Découvrir les mesures
de sécurisation des serveurs Mail
Une formation
Hamza KONDAH

123. AntiSPAM

124. SPF : Sender Policy Framework, est un protocole de validation de courrier électronique conçu pour détecter et
bloquer l’usurpation de courrier électronique qui permet aux échangeurs de courrier de vérifier que le courrier
entrant d’un domaine provient d’une adresse IP autorisée par les administrateurs de ce domaine
SPF

125. DKIM : DomainKeys Identified Mail, permet à une organisation (ou à un gestionnaire du message) d’assumer la
responsabilité d’un message en transit
DKIM

126. DMARC : DMARC, ou Domain-based Message Authentication, Reporting and Conformance est une méthode
d’authentification supplémentaire utilisant SPF et DKIM
Elle permet de vérifier si un courrier électronique a effectivement été envoyé par le propriétaire du domaine
«Friendly-From»
DMARC

127. Découvrir la technique
du Phishing Browser In the Browser
Une formation
Hamza KONDAH

128. Browser In The Browser

129. LAB : Phishing In The Browser

130. Découvrir les extensions malicieuses
et leurs rôles dans les campagnes de phishing
Une formation
Hamza KONDAH

131. Les extensions malicieuses
Les extensions malicieuses ne sont pas forcément des document word (docx), document excel (xls)
ou encore des binaires (exe)
Plusieurs autres extensions peuvent êtres utilisés

132. Découvrir l'interception
réseaux avec Wireshark
Une formation
Hamza KONDAH

133. Introduction à Wireshark
Analyseur de paquets
Le dépannage et l'analyse de réseaux informatiques
Le développement de protocoles
L'éducation et la rétro-ingénierie
Gère plus de 1500 protocoles
Interface GUI & CLI

136. Les filtres au niveau de Wireshark
Filtres
d’affichage
Filtres de
captures

137. Lab : Interception avec wireshark

138. Effectuer des analyses
réseaux avec Wireshark
Une formation
Hamza KONDAH

139. Rappel protocole ARP

140. Rappel protocole DHCP

141. Rappel protocole DNS

142. Rappel protocole HTTP

143. Rappel protocole FTP

144. LAB : Wireshark

145. Extraire un exécutable malicieux
d’une capture réseaux
Une formation
Hamza KONDAH

146. Effectuer l'analyse à distance avec Wireshark

147. Découvrir le concept
de threat intelligence
Une formation
Hamza KONDAH

148. Threat Intelligence
La Threat Intelligence est une pratique qui permet d’identifier et d’analyser des cybermenaces
Analyse  Exploration + Identification + Réponse
Threat Intelligence # Threat Data
Equivalent de l’OSINT et l’OSINFO
La CTI permet de connaître, de mieux se défendre et d’anticiper pour détecter les prémices d’une
attaque
Empêcher la perte
de données
Faciliter la mise en
œuvre de mesures
de sécurité
Partager des
informations

149. Une formation
Informations collectées
Les informations collectées peuvent être de différentes natures
Campagnes d’attaques,
IOC (indicateurs de compromissions tels que des hash, des noms
de domaines ou des adresses IP),
historiques d’attaques,
réutilisation d’architecture ou de plateforme ayant servies
antérieurement, utilisation de services, techniques et méthodes
spécifiques (signatures communes, registrant identique)

150. FW: != CTI

151. Appréhender les types
de threat intelligence
Une formation
Hamza KONDAH

152. Les différents types de CTI
CTI
Technique
CTI
Stratégique
CTI
Tactique

153. Appréhender les pratiques
de la threat intelligence
Une formation
Hamza KONDAH

154. Effectuer la threat intelligence
avec Maltego
Une formation
Hamza KONDAH

155. Déployer et manipuler
la plateforme MISP
Une formation
Hamza KONDAH

156. MISP
Open Source Threat Intelligence and Sharing Plateforme
Recueillir et utiliser des informations liées aux menaces informatiques n'est pas une chose aisée ;
les standardiser et les partager est encore plus difficile
L'outil libre de renseignements sur les menaces
MISP a été conçu afin de faciliter ces aspects complexes et pourtant si essentiels de nos jours

157. Déployer et manipuler
la solution OPENCTI
Une formation
Hamza KONDAH

158. Plateforme ouverte d’analyse de cybermenace, opensource, modulaire et bien documenté
API ++
Parmi les plateformes les plus intéressantes et efficaces
Une panoplie de fonctionnalités
Graph de connaissance
Modèle de données unifié
Sourcing de l’origine de données
Exploration et corrélation
Raisonnement automatique
Gestion des accès
Une panoplie de connecteurs
OpenCTI

159. Architecture

160. Déployer et manipuler
honeypot
Une formation
Hamza KONDAH

161. Honeypot

162. Lab : Honeypot

163. Découvrir la différence entre
HoneyNets et la Deceptive Security
Une formation
Hamza KONDAH

164. Honeynets
Un honeynet est un réseau de honeypots interconnectés qui simule un véritable réseau et est
configuré pour surveiller et enregistrer discrètement toutes les données.

165. Deceptive Security
En général, la deception security consiste en un système d'information comprenant de vrais et de
faux actifs associés à des données et des accès fictifs. Ceux-ci sont communément appelés
“breadcrumbs”, qui veut dire “miettes de pain” en français.

166. Deceptive Security
En général, la deception security consiste en un système d'information comprenant de vrais et de
faux actifs associés à des données et des accès fictifs. Ceux-ci sont communément appelés
“breadcrumbs”, qui veut dire “miettes de pain” en français.

167. Découvrir le darknet
Une formation
Hamza KONDAH

169. Introduction

170. Ce qu’il faut retenir
Le Darkweb est un sous réseau logique d’internet
IL FAIT PARTIE D’INTERNET (dépendance)
L’avantage des darknets
Intégration de protocole d’anonymisation
Intégration de protocole de chiffrement
Architecture décentralisé P2P
Anonyme, mais pas totalement !
Il existe pas un mais « des » darknet (networks)
Généralement un accès via un navigateur ou bien un service/application
Aujourd’hui même la blochchain s’en mêle
Réseau ZeroNet pour l’exemple (dépendance Tor, reprend le principe du darkweb)

171. Les principaux darknets
Quand ont parlent de darknet, on parle principalement de
L’accès se fait principalement via un navigateur ou bien application/service
Au niveau de Tor, la communauté est beaucoup plus active, c’est plus sécurisé,
démocratisé et fiable !

172. Une formation
Le réseau Tor
D’abord le US Naval Research Laboratory, puis l’EFF et maintenant le Tor
Project
http://www.torproject.org/
Pourquoi ?
« Tor est un logiciel gratuit et un réseau ouvert qui vous aide à vous
défendre contre toutes forme de surveillance de réseau qui menace la
liberté personnelle et la vie privée, les activités et relations commerciales
confidentielles, et la sécurité de l’Etat connue sous le nom d’analyse du
trafic » - Tel
Quoi ?
Accéder anonymement aux sites Internet normaux et aux services cachés
de Tor
Comment ?
Exécuter localement le proxy SOCKS qui se connecte au réseau Tor

173. Archiecture Tor
Internet Server
Directory Server
Nœud
d’entrée
Nœuds
intermédiaire
Nœud de
sortie
V2 : http://nr6juudpp4as4gjg.onion/
V3 : http://danielas3rtn54uwmofdo3x2bsdifr47huasnmbgqzfrec5ubupvtpid.onion/

175. Pros/Cons de Tor
Avantages Inconvénients
• Si vous pouvez le tunneler via un
proxy SOCKS, vous pouvez faire
fonctionner à peu près n’importe
quel protocole
• Trois niveaux de proxy, chaque
nœud ne connaissant pas l’avant-
dernier, rend les choses très
anonymes
• Lent
• Infrastructure semi @static
• Il est assez facile de dire que
quelqu'un l’utilise du côté serveur

176. Une formation
OSINT Darknet
En vue de la nature complexe du darknet, il est très complexe de
récupérer des données
L’identification d’informations/suspects est très difficile
La clé de voute : Combiner les techniques d’osint traditionnel avec
les données et informations récupéré sur le darkweb
Nom d’utilisateurs
Avatar
Informations de contact
Headers
Images
…

177. Use case par le passé
Identifiants en ligne
Exploitation PGP
Gpg – import XX.gpg
Empreinte digitaux
Erreurs de configuration
Serveur intermédiaire
Expositions d’informations

178. Monitorer les groupes
de ransomware
Une formation
Hamza KONDAH

181. Définition des Ransomwares
Ransomware, Crypto Locker… par abus de langage, on
peut tout dire
A la base, c’est une catégorie de Malware qui vise à chiffrer
vos données et demander une rançon en échange de la clé
déchiffrement
De nos jours, c’est des groupes de cybercriminelles
structurés, encadré, avec des techniques sophistiqués
exploitant des CVEs connues et des 0-day
Une formation

182. Le format traditionnel

183. Le format RaaS (Ransomware As A Service)
Dit système d’affiliation

184. Les Ransomwares
LockBIT
LA PSUS$
Il ne faut pas confondre groupe de ransoming et groupe d’extorion
Exemple
vs

186. Conclusion
Une formation
Hamza KONDAH

188. Une formation
Bilan de la formation
Découvrir les normes et standards relatifs au Blue
Teaming
Apprendre à identifier, catégoriser, analyser et
bloquer une attaque de phishing
Maitriser l'analyse de flux réseaux
Découvrir la Cyber Threat Intelligence

189. Perspectives

190. Keep Calm and let’s « exploit »
some data 