[{"data":1,"prerenderedAt":636},["ShallowReactive",2],{"featured-project":3,"last-article":75,"$fq8c_QRAu_Dlt671c50nFU5xWmtqUvQGhuMiSnlzoaEY":573},{"id":4,"title":5,"body":6,"category":51,"context":52,"cover":53,"date":52,"demo":52,"description":54,"duration":52,"extension":55,"featured":56,"github":57,"meta":58,"navigation":56,"objective":59,"order":60,"path":61,"result":62,"seo":63,"stack":64,"status":72,"stem":73,"__hash__":74},"projects\u002Fprojects\u002Fsoc-bancaire-elk.md","Lab SOC — Honeypot SSH, Pipeline ELK & NIST 800-53",{"type":7,"value":8,"toc":44},"minimark",[9,14,18,22,25,28,31,35,38,41],[10,11,13],"h2",{"id":12},"_01-le-contexte","01 | Le contexte",[15,16,17],"p",{},"Le secteur bancaire subit une pression cyber sans précédent avec une explosion des attaques ciblées et des enjeux de conformité majeurs. Face à ce constat, l'objectif de ce projet était de concevoir une infrastructure de défense capable de capturer et d'analyser ces menaces en conditions réelles. L'enjeu principal consistait à s'aligner sur les exigences très strictes des institutions financières américaines, notamment la norme NIST 800-53, pour proposer une solution ancrée dans la réalité métier.",[10,19,21],{"id":20},"_02-le-projet","02 | Le projet",[15,23,24],{},"J'ai architecturé et déployé de A à Z un laboratoire SOC complet simulant une infrastructure bancaire. La première étape a consisté à déployer un leurre (Honeypot Cowrie) exposé mondialement sur un VPS distant. Cela m'a permis d'attirer les botnets et de capturer les méthodes des attaquants en direct, sans faire courir de risque à un système réel.",[15,26,27],{},"Pour traiter ces événements, j'ai construit un pipeline de données complet avec Filebeat et Logstash. Ce système collecte les logs bruts, les nettoie et les enrichit en temps réel, par exemple en géolocalisant les adresses IP malveillantes. L'intégralité de cette architecture a été conteneurisée avec Docker pour garantir une scalabilité parfaite et s'appuie sur la stack ELK, une référence incontournable sur le marché des SIEM bancaires.",[15,29,30],{},"Enfin, j'ai conçu l'interface d'analyse sur Kibana. Plutôt que de multiplier les graphiques inutiles, j'ai pris le parti de mapper chaque visualisation à un contrôle de sécurité précis exigé par le framework NIST 800-53. Ainsi, chaque tableau de bord répond à une problématique légale ou opérationnelle concrète, comme la surveillance réseau ou l'audit des comptes privilégiés ciblés.",[10,32,34],{"id":33},"_03-les-apprentissages","03 | Les apprentissages",[15,36,37],{},"Ce projet m'a permis d'acquérir une maîtrise approfondie du cycle de vie de la donnée de sécurité (SIEM Engineering). J'ai pu expérimenter le cheminement complet d'un indicateur de compromission, de sa collecte à l'état brut lors d'une attaque jusqu'à sa restitution visuelle et son interprétation.",[15,39,40],{},"Sur le plan stratégique, j'ai assimilé le fait qu'une architecture technique n'a de véritable valeur que si elle sert les enjeux légaux d'une entreprise. Devoir justifier mes choix techniques par le prisme d'une norme internationale stricte (NIST\u002FFFIEC) m'a donné une vision beaucoup plus mature et \"business\" de la cybersécurité.",[15,42,43],{},"Enfin, j'ai considérablement renforcé mon autonomie et ma capacité d'adaptation. J'ai piloté l'ensemble de la chaîne, de l'administration serveur Linux à la configuration DNS, en passant par le debugging complexe des pipelines de données, tout en gérant le stress lié à l'exposition d'un serveur face à de véritables attaques du web.",{"title":45,"searchDepth":46,"depth":46,"links":47},"",2,[48,49,50],{"id":12,"depth":46,"text":13},{"id":20,"depth":46,"text":21},{"id":33,"depth":46,"text":34},"Cyber \u002F Blue Team",null,"\u002Fimg\u002Fdashboard-soc-conformite-nist-cybersecurite.png","Honeypot Cowrie exposé sur VPS réel. Pipeline ELK complet (Filebeat → Logstash → Kibana) avec dashboards mappés sur les contrôles NIST 800-53. Données d'attaques réelles collectées et analysées.","md",true,"https:\u002F\u002Fgithub.com\u002Faant-code\u002FSOC-Honeypot-Threat-Intelligence-ELK-Stack-",{},"Exposer un honeypot SSH réel et construire un pipeline de détection conforme NIST 800-53.",1,"\u002Fprojects\u002Fsoc-bancaire-elk","63 000 événements capturés, dashboards Kibana opérationnels, campagne de credential harvesting Solana identifiée.",{"title":5,"description":54},[65,66,67,68,69,70,71],"ELK Stack","Honeypot Cowrie","Docker","Filebeat","Logstash","Kibana","NIST 800-53","Terminé","projects\u002Fsoc-bancaire-elk","E0vnPPig4VBDOooIkcGxzDdz-_afydGU8BuQL4L5f7Y",{"id":76,"title":77,"body":78,"category":51,"cover":561,"date":562,"description":563,"extension":55,"meta":564,"navigation":56,"path":565,"seo":566,"stem":567,"tools":568,"__hash__":572},"blog\u002Fblog\u002Fanalyse-honeypot-ssh.md","Analyse d'un honeypot SSH — 4 jours d'exposition",{"type":7,"value":79,"toc":548},[80,84,87,90,94,101,108,115,120,126,132,254,257,259,263,268,271,277,314,317,321,328,331,335,341,348,432,451,457,473,476,478,482,485,491,497,499,503,509,515,521,527,533,535,539,542,545],[10,81,83],{"id":82},"_1-setup","1. Setup",[15,85,86],{},"Un VPS Linux exposé sur Internet avec Cowrie, honeypot SSH qui simule un serveur accessible sur le port 22. Les logs sont collectés, parsés et enrichis (GeoIP) par une stack ELK déployée via Docker. Période d'observation : du 19 au 23 mars 2026, soit 4 jours d'exposition complète.",[88,89],"hr",{},[10,91,93],{"id":92},"_2-vue-densemble","2. Vue d'ensemble",[15,95,96,100],{},[97,98,99],"strong",{},"63 061 événements"," collectés sur la période, dont 10 143 tentatives d'authentification et 1 910 connexions réussies. 480 téléchargements ont été enregistrés après authentification.",[15,102,103],{},[104,105],"img",{"alt":106,"src":107},"Distribution temporelle des événements — spike visible le 20 mars","\u002Fimg\u002Fintel-log\u002Fhoneypot-timeline.png",[15,109,110,111,114],{},"Le 20 mars concentre ",[97,112,113],{},"18 511 hits",", soit près de 29% du trafic total en une seule journée. Ce spike reste inexpliqué avec les données disponibles — pas d'IP dominante identifiable, plutôt un groupe d'adresses ponctuellement actives ce jour-là. Une fenêtre de 4 jours est insuffisante pour distinguer un événement coordonné du bruit de fond normal.",[15,116,117],{},[97,118,119],{},"Géographie des sources",[15,121,122],{},[104,123],{"alt":124,"src":125},"Carte GeoIP des sources d'attaque","\u002Fimg\u002Fintel-log\u002Fhoneypot-geoip-map.png",[15,127,128],{},[104,129],{"alt":130,"src":131},"Top 10 pays par volume d'événements","\u002Fimg\u002Fintel-log\u002Fhoneypot-top-countries.png",[133,134,135,151],"table",{},[136,137,138],"thead",{},[139,140,141,145,148],"tr",{},[142,143,144],"th",{},"Pays",[142,146,147],{},"Événements",[142,149,150],{},"%",[152,153,154,166,177,188,199,210,221,232,243],"tbody",{},[139,155,156,160,163],{},[157,158,159],"td",{},"États-Unis",[157,161,162],{},"13 938",[157,164,165],{},"22,1%",[139,167,168,171,174],{},[157,169,170],{},"Chine",[157,172,173],{},"7 850",[157,175,176],{},"12,4%",[139,178,179,182,185],{},[157,180,181],{},"Indonésie",[157,183,184],{},"3 912",[157,186,187],{},"6,2%",[139,189,190,193,196],{},[157,191,192],{},"Vietnam",[157,194,195],{},"3 659",[157,197,198],{},"5,8%",[139,200,201,204,207],{},[157,202,203],{},"Hong Kong",[157,205,206],{},"3 161",[157,208,209],{},"5,0%",[139,211,212,215,218],{},[157,213,214],{},"Roumanie",[157,216,217],{},"2 296",[157,219,220],{},"3,6%",[139,222,223,226,229],{},[157,224,225],{},"Inde",[157,227,228],{},"1 926",[157,230,231],{},"3,1%",[139,233,234,237,240],{},[157,235,236],{},"Thaïlande",[157,238,239],{},"1 823",[157,241,242],{},"2,9%",[139,244,245,248,251],{},[157,246,247],{},"Allemagne",[157,249,250],{},"1 641",[157,252,253],{},"2,6%",[15,255,256],{},"Précision importante : une IP américaine ne signifie pas un attaquant américain. Les fournisseurs cloud américains hébergent une part massive de l'internet mondial et leurs plages IP servent régulièrement de relais. La précision du GeoIP sur des IPs de datacenter reste imparfaite — ces chiffres sont indicatifs, pas attributifs.",[88,258],{},[10,260,262],{"id":261},"_3-profil-des-attaquants","3. Profil des attaquants",[264,265,267],"h3",{"id":266},"outils-utilisés","Outils utilisés",[15,269,270],{},"Cowrie capture le SSH client version string à chaque connexion — information bien plus précise qu'une analyse comportementale.",[15,272,273],{},[104,274],{"alt":275,"src":276},"Répartition des SSH client version strings","\u002Fimg\u002Fintel-log\u002Fhoneypot-ssh-client-versions.png",[133,278,279,288],{},[136,280,281],{},[139,282,283,286],{},[142,284,285],{},"Client",[142,287,150],{},[152,289,290,298,306],{},[139,291,292,295],{},[157,293,294],{},"SSH-2.0-libssh_0.11.1",[157,296,297],{},"54,96%",[139,299,300,303],{},[157,301,302],{},"SSH-2.0-Go",[157,304,305],{},"41,84%",[139,307,308,311],{},[157,309,310],{},"Autres (libssh 0.8.6, AsyncSSH, etc.)",[157,312,313],{},"3,20%",[15,315,316],{},"Ces deux familles représentent 96,8% des connexions. Deux outils distincts, ou un même outil qui alterne ses signatures — impossible à trancher avec ces seules données. En faible volume : une signature Mirai, ZGrab (outil de cartographie de Censys — confirmant que le honeypot est indexé publiquement), et 64 connexions envoyant une requête HTTP sur le port 22, signal d'un scanner de masse qui sonde tous les ports sans vérifier le protocole.",[264,318,320],{"id":319},"ce-que-les-attaquants-ont-réellement-fait","Ce que les attaquants ont réellement fait",[15,322,323,324,327],{},"Sur 1 910 connexions réussies, ",[97,325,326],{},"zéro commande exécutée",". Les attaquants se connectent et raccrochent immédiatement. Ce comportement indique des credential harvesters : ils testent si un mot de passe fonctionne, l'enregistrent si oui, et passent à la cible suivante. Ils ne cherchent pas à compromettre ce serveur — ils construisent des listes de credentials valides pour un usage ultérieur.",[15,329,330],{},"Les 480 téléchargements représentent une couche supplémentaire : une fraction des connexions réussies a déclenché des téléchargements automatisés. Cowrie n'a pas capturé les noms ou hashes de fichiers dans ces logs — impossible de confirmer la nature exacte des payloads.",[264,332,334],{"id":333},"les-credentials-la-découverte-inattendue","Les credentials : la découverte inattendue",[15,336,337],{},[104,338],{"alt":339,"src":340},"Top usernames testés","\u002Fimg\u002Fintel-log\u002Fhoneypot-top-usernames.png",[15,342,343,347],{},[344,345,346],"code",{},"root"," domine sans surprise (1 959 occurrences). Mais le reste du top 10 est révélateur :",[133,349,350,360],{},[136,351,352],{},[139,353,354,357],{},[142,355,356],{},"Username",[142,358,359],{},"Occurrences",[152,361,362,369,377,384,392,400,408,416,424],{},[139,363,364,366],{},[157,365,346],{},[157,367,368],{},"1 959",[139,370,371,374],{},[157,372,373],{},"345gs5662d34",[157,375,376],{},"438",[139,378,379,382],{},[157,380,381],{},"admin",[157,383,376],{},[139,385,386,389],{},[157,387,388],{},"sol",[157,390,391],{},"371",[139,393,394,397],{},[157,395,396],{},"ubuntu",[157,398,399],{},"249",[139,401,402,405],{},[157,403,404],{},"solana",[157,406,407],{},"216",[139,409,410,413],{},[157,411,412],{},"solv",[157,414,415],{},"136",[139,417,418,421],{},[157,419,420],{},"user",[157,422,423],{},"101",[139,425,426,429],{},[157,427,428],{},"node",[157,430,431],{},"77",[15,433,434,436,437,436,439,436,441,436,444,446,447,450],{},[344,435,388],{},", ",[344,438,404],{},[344,440,412],{},[344,442,443],{},"validator",[344,445,428],{}," — ce sont des noms d'utilisateurs typiques des configurations de ",[97,448,449],{},"nœuds Solana",". Ce n'est pas du brute-force générique.",[15,452,453],{},[104,454],{"alt":455,"src":456},"Top paires username → password testées","\u002Fimg\u002Fintel-log\u002Fhoneypot-credentials-pairs.png",[15,458,459,460,436,463,436,466,436,469,472],{},"Les paires confirment le pattern : ",[344,461,462],{},"solana > solana",[344,464,465],{},"sol > sol",[344,467,468],{},"validator > validator",[344,470,471],{},"node > node",". Ces listes de credentials correspondent à des configurations par défaut de nœuds blockchain — des serveurs qui font tourner des validateurs ou des RPC nodes, souvent configurés rapidement sans durcissement.",[15,474,475],{},"Une nuance : je n'ai pas vérifié si ces couples username+password proviennent de fuites connues ou de configurations par défaut documentées. Les conclusions sur l'origine exacte de ces listes restent des hypothèses.",[88,477],{},[10,479,481],{"id":480},"_4-deux-profils-dattaquants","4. Deux profils d'attaquants",[15,483,484],{},"En croisant les listes d'IPs qui échouent et d'IPs qui réussissent, deux comportements distincts émergent :",[15,486,487,490],{},[97,488,489],{},"Le scanner pur"," — L'IP 92.118.39.87 (719 tentatives échouées, active tous les jours avec un pattern régulier de 3-4 minutes entre tentatives) n'apparaît jamais dans les connexions réussies. Elle teste des credentials, aucun ne passe. Totalement automatisé, méthodique.",[15,492,493,496],{},[97,494,495],{},"Les harvesters ciblés"," — Deux IPs n'apparaissent que dans les succès, jamais dans les échecs. Elles ne ratent pas. Elles semblent utiliser des listes pré-filtrées, plus précises — cohérent avec l'hypothèse de credentials blockchain déjà validés ailleurs.",[88,498],{},[10,500,502],{"id":501},"_5-limites","5. Limites",[15,504,505,508],{},[97,506,507],{},"Ce que Cowrie ne voit pas."," Aucune donnée sur les vulnérabilités applicatives, aucune visibilité sur les autres protocoles (HTTP, RDP, DNS). Cowrie simule SSH uniquement.",[15,510,511,514],{},[97,512,513],{},"Le biais de sélection."," Cowrie est connu dans la communauté. Certains outils avancés détectent les honeypots via fingerprinting SSH. Ce qui a été capturé représente peut-être sélectivement les outils les moins sophistiqués.",[15,516,517,520],{},[97,518,519],{},"L'absence de baseline."," 63 061 événements en 4 jours — sans comparaison avec d'autres honeypots publics (DShield, T-Pot), ce volume flotte dans le vide.",[15,522,523,526],{},[97,524,525],{},"4 jours, c'est court."," Insuffisant pour détecter des campagnes furtives sur plusieurs semaines ou observer des tendances saisonnières.",[15,528,529,532],{},[97,530,531],{},"Sur \"aucun humain dans la boucle\"."," L'absence de commandes exécutées prouve que personne n'a eu de session interactive. Ça ne prouve pas l'absence d'humain derrière les outils — un opérateur qui orchestre des scans automatisés et consulte les résultats ne laisse aucune trace dans ces logs.",[88,534],{},[10,536,538],{"id":537},"_6-conclusion","6. Conclusion",[15,540,541],{},"Sur 4 jours, ce honeypot a capturé quelque chose de plus précis qu'un simple bruit de fond : une campagne de credential harvesting distribuée, avec une composante inattendue ciblant spécifiquement des configurations de nœuds blockchain.",[15,543,544],{},"1 910 connexions réussies, zéro commande exécutée, 480 téléchargements automatisés. Les attaquants n'essayaient pas d'entrer — ils testaient des clés pour en garder les copies qui fonctionnent, avec un intérêt particulier pour l'infrastructure Solana.",[15,546,547],{},"Ce que ça dit du paysage des menaces automatisées : l'exposition d'un serveur SSH est quasi-immédiate, les outils sont distribués sur des centaines d'IPs, et les listes de credentials sont de plus en plus spécialisées par type de cible.",{"title":45,"searchDepth":46,"depth":46,"links":549},[550,551,552,558,559,560],{"id":82,"depth":46,"text":83},{"id":92,"depth":46,"text":93},{"id":261,"depth":46,"text":262,"children":553},[554,556,557],{"id":266,"depth":555,"text":267},3,{"id":319,"depth":555,"text":320},{"id":333,"depth":555,"text":334},{"id":480,"depth":46,"text":481},{"id":501,"depth":46,"text":502},{"id":537,"depth":46,"text":538},"\u002Fimg\u002Fintel-log\u002Fhoneypot-cover.png","2026-03-23","62 000 événements, 1 910 connexions réussies, zéro commande exécutée, et une découverte inattendue : les attaquants ne cherchaient pas root, ils cherchaient des nœuds Solana.",{},"\u002Fblog\u002Fanalyse-honeypot-ssh",{"title":77,"description":563},"blog\u002Fanalyse-honeypot-ssh",[569,65,67,570,571],"Cowrie","GeoIP","VPS Linux","DU99S38WXvKrMjznpqWGOOEiGIU71RVaIBljtQQl_6w",[574,592,602,614,624],{"id":575,"type":576,"actor":577,"repo":582,"payload":586,"public":56,"created_at":591},"9790367127","PushEvent",{"id":578,"login":579,"display_login":579,"gravatar_id":45,"url":580,"avatar_url":581},190128533,"aant-code","https:\u002F\u002Fapi.github.com\u002Fusers\u002Faant-code","https:\u002F\u002Favatars.githubusercontent.com\u002Fu\u002F190128533?",{"id":583,"name":584,"url":585},1191442886,"aant-code\u002FSOC-Honeypot-Threat-Intelligence-ELK-Stack-","https:\u002F\u002Fapi.github.com\u002Frepos\u002Faant-code\u002FSOC-Honeypot-Threat-Intelligence-ELK-Stack-",{"repository_id":583,"push_id":587,"ref":588,"head":589,"before":590},32083714224,"refs\u002Fheads\u002Fmain","e507e73d807adacfcddba8c1e694a8de19162217","7836ecd45ed7551531aecb6c875e1c44e4cce3bc","2026-03-25T08:58:33Z",{"id":593,"type":594,"actor":595,"repo":596,"payload":597,"public":56,"created_at":601},"9790199813","CreateEvent",{"id":578,"login":579,"display_login":579,"gravatar_id":45,"url":580,"avatar_url":581},{"id":583,"name":584,"url":585},{"ref":598,"ref_type":599,"full_ref":588,"master_branch":598,"description":600,"pusher_type":420},"main","branch","Infrastructure SOC basée sur la stack ELK, capture et cartographie en temps réel des attaques SSH brute-force via un honeypot Cowrie conteneurisé.","2026-03-25T08:53:43Z",{"id":603,"type":594,"actor":604,"repo":605,"payload":609,"public":56,"created_at":613},"9639208065",{"id":578,"login":579,"display_login":579,"gravatar_id":45,"url":580,"avatar_url":581},{"id":606,"name":607,"url":608},1187553765,"aant-code\u002FcoachPro-integration-wp","https:\u002F\u002Fapi.github.com\u002Frepos\u002Faant-code\u002FcoachPro-integration-wp",{"ref":610,"ref_type":599,"full_ref":611,"master_branch":610,"description":612,"pusher_type":420},"master","refs\u002Fheads\u002Fmaster","Projet académique : intégration \"Pixel Perfect\" d'une maquette Figma sous WordPress à l'aide d'un thème enfant Astra (PHP\u002FSCSS).","2026-03-20T21:33:31Z",{"id":615,"type":594,"actor":616,"repo":617,"payload":621,"public":56,"created_at":623},"9637765239",{"id":578,"login":579,"display_login":579,"gravatar_id":45,"url":580,"avatar_url":581},{"id":618,"name":619,"url":620},1187523616,"aant-code\u002Fsite-vitrine-photo","https:\u002F\u002Fapi.github.com\u002Frepos\u002Faant-code\u002Fsite-vitrine-photo",{"ref":598,"ref_type":599,"full_ref":588,"master_branch":598,"description":622,"pusher_type":420},"Site vitrine sur-mesure (SPA) pour une photographe professionnelle, développé avec React et Vite. Axé sur la performance, l'optimisation des médias et le SEO.","2026-03-20T20:35:27Z",{"id":625,"type":576,"actor":626,"repo":627,"payload":631,"public":56,"created_at":635},"9636867231",{"id":578,"login":579,"display_login":579,"gravatar_id":45,"url":580,"avatar_url":581},{"id":628,"name":629,"url":630},1187321802,"aant-code\u002FBase-de-donnees-plateforme-de-streaming","https:\u002F\u002Fapi.github.com\u002Frepos\u002Faant-code\u002FBase-de-donnees-plateforme-de-streaming",{"repository_id":628,"push_id":632,"ref":588,"head":633,"before":634},31930215366,"f3257766f34df178fdd0f903643d896bed4079c8","03c144c070ded9175e2b7cefdfef77c9193e1f99","2026-03-20T20:01:54Z",1774549537905]