mlab mlab Academy
Fondamentaux

C'est quoi un IOC ?

Les indices d'une cyberattaque : apprendre à reconnaître les indicateurs de compromission.

1 Introduction

Un IOC (Indicator of Compromise), c'est comme un indice sur une scene de crime. Quand un cambrioleur entre chez vous, il laisse des traces : empreintes, outils oublies, serrure forcee. En cybersecurite, c'est pareil. Quand un attaquant penetre un systeme, il laisse des indices numeriques : une adresse IP suspecte, un nom de domaine malveillant, le hash d'un fichier infecte. Ces indices, ce sont les IOC, et ils permettent aux analystes de detecter, comprendre et bloquer les attaques.

5+

Types principaux d'IOC

Millions

D'IOC partages chaque jour dans le monde

24/7

Surveillance continue des menaces

2 Comment ca marche

Testez l'outil ci-dessous pour identifier automatiquement un IOC. Entrez une adresse IP, un domaine, un hash de fichier ou une URL, et l'outil determinera son type et fournira des informations de menace.

Les 5 types principaux d'IOC

Adresse IP

L'adresse d'un serveur malveillant ou d'un attaquant. Ex : un serveur de commande et controle (C2).

185.220.101.34

Nom de domaine

Un domaine utilise pour du phishing, la distribution de malware ou le controle a distance.

evil-update.com

Hash de fichier

L'empreinte unique d'un fichier malveillant. Permet d'identifier un malware specifique.

d41d8cd98f00b204...

URL

Un lien precis vers une page de phishing, un telechargement malveillant ou un exploit kit.

https://evil.com/payload.exe

Adresse email

L'expediteur d'une campagne de phishing ou l'email associe a un compte malveillant.

[email protected]

3 Analyse detaillee

La Threat Intelligence : le renseignement sur les menaces

Les IOC ne sont vraiment utiles que lorsqu'ils sont partages et enrichis. C'est le role de la Threat Intelligence (renseignement sur les menaces). Des organisations du monde entier collectent, analysent et partagent des IOC pour que tout le monde puisse se proteger plus vite.

Le cycle de vie d'un IOC

1

Detection

Un analyste repere une activite suspecte et isole les indicateurs : IP source, fichier depose, domaine contacte.

2

Analyse et enrichissement

L'IOC est verifie, croise avec d'autres sources, et associe a une campagne ou un groupe d'attaquants connu.

3

Partage

L'IOC est diffuse via des plateformes comme MISP, OTX ou des flux STIX/TAXII pour alerter la communaute.

4

Action

L'IOC est integre dans les outils de securite (pare-feu, antivirus, SIEM) pour bloquer automatiquement la menace.

La pyramide de la douleur

Tous les IOC ne sont pas egaux. David Bianco a cree la "Pyramide de la Douleur" pour classer les indicateurs par difficulte de changement pour l'attaquant. Un hash de fichier est facile a modifier (il suffit de recompiler). Une adresse IP aussi (il suffit de changer de serveur). Mais les TTP (Tactiques, Techniques et Procedures) sont beaucoup plus dures a changer car elles representent le comportement profond de l'attaquant.

Essayez sur mlab.sh

Collez un texte, un log ou un rapport et l'extracteur d'IOC identifie automatiquement les adresses IP, domaines, hashs et URLs. Un gain de temps considerable pour les analystes.

Extraire des IOC sur mlab.sh

4 Red Flags

Votre antivirus detecte un hash connu

Si votre logiciel de securite bloque un fichier dont le hash correspond a un IOC connu, ne tentez pas de contourner l'alerte.

Trafic reseau vers des domaines suspects

Si vos logs montrent des connexions regulieres vers des domaines recemment crees ou aux noms aleatoires, un malware communique peut-etre avec son serveur de controle.

Un email contient des IOC repertories

L'adresse de l'expediteur, les liens ou les pieces jointes correspondent a des indicateurs de compromission connus ? Ne cliquez sur rien.

Plusieurs IOC differents convergent

Un seul indicateur peut etre un faux positif. Mais quand une IP suspecte, un domaine malveillant et un hash connu apparaissent ensemble, la menace est quasi certaine.

IOC lies a un groupe APT connu

Si les indicateurs trouvees correspondent a un groupe de menace avance (APT28, Lazarus...), l'incident doit etre escalade immediatement.

Propulsé par mlab.sh

Modules connexes

C'est quoi un hash de fichier ?

Comprendre les empreintes numériques : comment un hash permet d'identifier un fichier de manière unique.

Lire une réputation IP

Évaluer la dangerosité d'une adresse IP grâce aux bases de réputation et de threat intelligence.

C'est quoi un feed de threat intel ?

Les flux de renseignement sur les menaces : comment ils fonctionnent et pourquoi ils sont essentiels.