Teknik - Panel nsec 2026
14 mai 2026
Parce que... c'est l'épisode 0x30D!
Spécial - L'IA au service de la cybersécurité - de l'optimisation à la transformation (Cybereco)
29 avril 2026
Parce que... c'est l'épisode 0x30C!
Le marché dérégulé selon Cyber Citoyen et Polysécure
11 juin 2026
Parce que... c'est l'épisode 0x30B!
Actu - 14 juin 2026
14 juin 2026
Parce que... c'est l'épisode 0x30A!
PME - Reconnaitre le bias cognitif pour mieux se protéger
07 mai 2026
Parce que... c'est l'épisode 0x309!
Teknik - Doxxing-proof authentic digital media - trust the asset, protect the source (nsec)
14 mai 2026
Parce que... c'est l'épisode 0x308!
H'umain - Horizon 2030 - Le cerveau humain, nouvelle infrastructure critique de la cybersécurité (Cybereco)
29 avril 2026
Parce que... c'est l'épisode 0x307!
Actu - 7 juin 2026
07 juin 2026
Parce que... c'est l'épisode 0x306!
PME - Mythos ou pas mythos
11 mai 2026
Parce que... c'est l'épisode 0x305!
Teknik - A systematic approach to evading antivirus software
14 mai 2026
Parce que... c'est l'épisode 0x304!
Teknik - GenAI en cybersécurité - cas concret d'utilisation et retour d'expérience (Cybereco)
29 avril 2026
Parce que... c'est l'épisode 0x303!
Actu - 31 mai 2026
31 mai 2026
Parce que... c'est l'épisode 0x302!
Teknik - Sécurité des sous-stations électriques
09 avril 2026
Parce que... c'est l'épisode 0x301!
Teknik - Private Key Leaks in the Wild - Insights from Certificate Transparency (nsec)
14 mai 2026
Parce que... c'est l'épisode 0x300!
Teknik - Stratégie de sécurité applicative adaptée à l'IA (Cybereco)
29 avril 2026
Parce que... c'est l'épisode 0x2FF!
Actu - 24 mai 2026
24 mai 2026
Parce que... c'est l'épisode 0x2FE!
Spécial - Retour sur Google Next 2026
02 mai 2026
Parce que... c'est l'épisode 0x2FD!
Teknik - État de la menace en 2026 (Cybereco)
28 avril 2026
Parce que... c'est l'épisode 0x2FC!
Ah ben Flock! Selon Cyber Citoyen et Polysecure.
12 mai 2026
Parce que... c'est l'épisode 0x2FB!
Actu - 17 mai 2026
17 mai 2026
Parce que... c'est l'épisode 0x2FA!
Teknik - Mythos no hype
02 mai 2026
Parce que... c'est l'épisode 0x2F9!
Spécial - Naviguer à travers les sept îles (7 islands)
28 avril 2026
Parce que... c'est l'épisode 0x2F8!
Spécial - Rebondissement dans l'univers WordPress
05 mai 2026
Parce que... c'est l'épisode 0x2F7!
Actu - 10 mai 2026
10 mai 2026
Parce que... c'est l'épisode 0x2F6!
Spécial - RETEX conférence S3NS 2026 aka part 2
02 mai 2026
Parce que... c'est l'épisode 0x2F5!
Spécial - Vraust.ai ou comment protéger les personnes vulnérables de la fraude (Propolys)
28 avril 2026
Parce que... c'est l'épisode 0x2F4!
Teknik - La place du tooling dans le threat intelligence (CTI)
30 avril 2026
Parce que... c'est l'épisode 0x2F3!
Parce que… c’est l’épisode 0x2F3!
Shameless plug
- 9 au 17 mai 2026 - NorthSec 2026
- 3 au 5 juin 2026 - SSTIC 2026
- 24 et 25 juin 2026 - Troopers
- 26 et 27 juin 2026 - leHACK
- 19 septembre 2026 - Bsides Montréal
- 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026
- 24 et 25 février 2027 - SéQCure 2027
Description
Présentation des invités
Dans cet épisode technique de Polysécure, l’animateur reçoit deux analystes de l’équipe TDR (Threat Detection and Research) de Sekoya. Charles Meslay se spécialise en reverse engineering et en analyse de malware, tandis que Félix Aimé se concentre sur l’étude de campagnes liées à des États — cyberespionnage, sabotage — et joue un rôle central dans le développement d’outils internes pour mener les investigations. L’épisode prend appui sur un billet de blog récemment publié par l’équipe portant sur une campagne d’APT28, groupe étatique lié à la Russie, pour élargir la discussion à l’ensemble du tooling utilisé en CTI.
Du reverse engineering manuel à l’automatisation
Le point de départ concret est l’analyse d’un malware écrit en .NET, attribué à APT28 et découvert début 2025. Initialement, le travail reposait sur des outils classiques comme dnSpy : une interface graphique permettant de décompiler le code, de renommer les fonctions et de comprendre progressivement leur logique. Ce processus, bien que relativement accessible, est extrêmement chronophage — de une à trois semaines par binaire et par analyste.
Avec l’émergence des LLM, Charles a d’abord commencé à copier-coller manuellement des portions de code dans ChatGPT pour accélérer l’analyse. Cette pratique l’a conduit à une idée d’automatisation : la création d’un serveur MCP (Model Context Protocol), un protocole permettant à un LLM d’interagir avec des outils externes via une interface de type API. Ce serveur, mis en open source, est en réalité une brique d’un outil plus large développé en interne : Sara.
sarA : un orchestrateur d’analyse automatisée
Sara est présentée comme le cœur de l’écosystème d’analyse de Sekoya. Son fonctionnement est le suivant : on lui soumet un fichier, le LLM identifie le type de fichier et sélectionne les outils adaptés — qu’il s’agisse de Ghidra, d’IDA Pro ou d’outils maison en ligne de commande — pour procéder à l’analyse. À l’issue du processus, Sara génère un rapport structuré comprenant la description du comportement du binaire, les différentes couches d’obfuscation détectées, des scripts de désobfuscation si nécessaire, et une liste explicite des angles morts de l’analyse, notamment en cas de limitations liées aux tokens ou au nombre de passes effectuées.
Le gain est spectaculaire : le temps d’analyse est passé de plusieurs semaines à quelques minutes. Au-delà du gain de vitesse, Sara a également élargi le cercle des analystes capables de contribuer au reverse engineering, y compris ceux qui n’avaient pas de formation approfondie dans ce domaine. Les analystes spécialisés, comme Charles, continuent quant à eux à intervenir sur les cas complexes que l’outil ne résout pas seul.
Un écosystème d’outils progressivement construit
Félix retrace l’histoire du tooling interne, développé de façon itérative au fil des années. Au départ, l’équipe disposait d’un simple serveur de cache connecté à des API tierces comme VirusTotal, permettant de limiter la consommation de quotas. Ce serveur a ensuite été refondu pour gérer de manière transparente les clés d’API, simplifiant ainsi la vie des développeurs internes.
L’équipe a ensuite créé un ensemble d’API maison pour automatiser des tâches courantes : requêtes DNS, récupération de plages d’IP sur des AS, etc. Ces briques ont permis de construire 150 transformes pour Maltego, un logiciel d’analyse permettant d’appliquer des micro-opérations sur des entités (adresses IP, noms de domaine, etc.) afin d’enrichir les investigations. Aujourd’hui, l’équipe envisage de migrer vers Flosint, une solution open source française au fonctionnement similaire.
Pour le suivi dans le temps des infrastructures malveillantes, deux outils ont été développés. Tracker interroge des services comme Shodan, Censys ou VirusTotal avec des règles précises pour surveiller en quasi-temps réel des infrastructures ou des malwares. Irma, plus orientée vers le hunting, permet d’initier des investigations à partir d’heuristiques poussées — par exemple, détecter un nom de domaine enregistré chez un registraire douteux qui résout vers un routeur potentiellement compromis en France.
L’ergonomie au cœur du développement
Un principe philosophique fort ressort de l’échange : l’ergonomie prime sur la complexité technique. Félix insiste sur le fait que les outils en ligne de commande, aussi puissants soient-ils, finissent par être abandonnés si leur utilisation requiert de consulter le manuel à chaque fois. L’objectif est que l’intégralité des outils soit accessible depuis un navigateur web, via des sous-domaines dédiés, avec une interface de recherche permettant de trouver un outil par mot-clé (par exemple, taper « LLM » pour lister tous les outils liés à l’intelligence artificielle).
Cette centralisation présente plusieurs avantages : harmonisation des dépendances, déploiement automatisé via des pipelines CI/CD, et adoption effective par l’ensemble de l’équipe. Comme le résument les deux invités, un outil que personne n’utilise ne vaut rien — peu importe ses capacités techniques.
L’IA comme accélérateur transversal
L’arrivée des LLM a transformé deux autres facettes du travail. D’abord, le prototypage : là où il fallait parfois des semaines pour valider une preuve de concept, quelques heures suffisent aujourd’hui pour déterminer si une idée mérite d’être poursuivie ou abandonnée.
Ensuite, la capitalisation du renseignement. L’équipe ingère des rapports publics d’éditeurs tiers, les modélise au format STIX — un standard structuré d’objets liés (campagnes, groupes d’attaquants, indicateurs de compromission) — et enrichit sa base de connaissance. Ce travail, autrefois fastidieux et manuel, est aujourd’hui en grande partie automatisé grâce aux LLM, avec une revue humaine finale. L’analyste se retrouve alors libéré des tâches répétitives pour se concentrer sur ce qui reste hors de portée de l’IA : la création de règles YARA, le développement de trackers d’infrastructure, et l’identification de détails techniques fins qui nécessitent encore un vrai jus de cerveau.
Conclusion
Cet épisode offre un regard rare et concret sur le quotidien d’une équipe CTI de pointe. Entre automatisation intelligente, philosophie d’ergonomie et intégration progressive de l’IA, Charles et Félix décrivent un métier en pleine mutation — où l’analyste humain reste indispensable, mais se concentre désormais sur ce qu’il fait le mieux.
Notes
Collaborateurs
Crédits
- Montage par Intrasecure inc
- Locaux virtuels par Riverside.fm
Tag: cti
Tweet
