GitHub Arsenal : des outils open source pour lutter contre la cybercriminalité
Dans un contexte où les cybermenaces ne cessent d'évoluer, les outils open source disponibles sur GitHub constituent un moyen de défense puissant.
La lutte contre la cybercriminalité est un effort mondial, et la communauté open source y joue un rôle crucial. GitHub, en tant que première plateforme mondiale de développement logiciel, héberge une vaste gamme d'outils conçus pour détecter, analyser et combattre diverses cybermenaces, notamment celle, omniprésente, du phishing.
Le pouvoir de l'open source dans la cybersécurité
Les projets open source offrent une transparence sans pareille, permettant aux chercheurs en sécurité et aux développeurs du monde entier d'examiner minutieusement le code, d'identifier les vulnérabilités et de contribuer à son amélioration. Ce modèle collaboratif favorise une innovation rapide et permet de mettre au point des solutions robustes, validées par la communauté, pour lutter contre les cyberattaques sophistiquées.
Ressources essentielles pour lutter contre le hameçonnage
Au-delà des outils généraux de cybersécurité, plusieurs ressources spécialisées s'avèrent précieuses pour lutter directement contre les tentatives d'hameçonnage. Ces outils vont des flux d'informations sur les menaces en temps réel aux services d'analyse d'URL, en passant par les listes de blocage alimentées par la communauté :
- TweetFeed.live: Fournit un flux en temps réel d'informations sur les cybermenaces, comprenant souvent des alertes précoces concernant des campagnes de hameçonnage relayées sur les réseaux sociaux.
- Phish.Report: Une plateforme permettant de signaler les sites de hameçonnage, qui alimente ainsi une base de données collective contribuant au blocage des URL malveillantes.
- URLQuery.net: Propose un service gratuit d'analyse des URL suspectes, fournissant des rapports détaillés sur leur comportement et les menaces potentielles qu'elles représentent.
- Tweets expérimentaux de ThreatView.io sur les indicateurs de compromission (IOC): Un flux de données brutes contenant des indicateurs de compromission (IOC) extraits de tweets, utile pour les systèmes automatisés de détection des menaces.
- Référentiel sur les tentatives d'hameçonnage liées à Polkadot-JS: Un dépôt GitHub dédié au suivi et à la détection des tentatives d'hameçonnage visant l'écosystème Polkadot.
- Données publiques d'URLAbuse.com: Fournit une liste publique d'URL signalées comme malveillantes, qui peut être utilisée pour mettre à jour les listes de blocage.
- MetaMask/détection-de-hameçonnage-sur-Ethereum: Un projet open source développé par MetaMask visant à détecter et à prévenir les tentatives d'hameçonnage liées à Ethereum.
- Liste noire de Phishing.Army: Une liste noire régulièrement mise à jour des URL de hameçonnage connues, gérée par la communauté Phishing.Army.
- Analyse d'URL par VirusTotal: Un service très répandu qui analyse les fichiers et les URL suspects, en fournissant des informations provenant de plusieurs moteurs antivirus et services de listes noires.
- Phish Guard Bleu: Une application web conçue pour aider les utilisateurs à repérer et à éviter les liens de hameçonnage.
- Rapport de Netcraft sur le phishing: La plateforme de Netcraft permettant de signaler les sites de hameçonnage, qui s'inscrit dans le cadre de ses efforts globaux de lutte contre le hameçonnage.
- Bot de phishing « Seal » (Telegram): Un bot Telegram qui aide les utilisateurs à vérifier si des liens sont des tentatives d'hameçonnage et à signaler toute activité suspecte.
- URLScan.io: Un service gratuit qui analyse et examine les sites web, fournissant des rapports détaillés sur leur contenu, les technologies utilisées et les activités malveillantes potentielles.
« Chez PhishDestroy, nous croyons fermement au pouvoir de la collaboration et de la transparence en matière de cybersécurité. Nos propres initiatives reposent sur des principes qui s'inscrivent dans la philosophie de l'open source. »
Boîte à outils de l'enquêteur OSINT
Au-delà des listes de blocage, une véritable enquête nécessite des moyens plus poussés. Les outils open source suivants constituent la colonne vertébrale de tout processus de lutte contre le hameçonnage : chacun d’entre eux est gratuit, programmable et a fait ses preuves au sein de la communauté :
- urlscan.io — Analyse d’URL en environnement isolé : instantané complet du DOM, captures d’écran, appels réseau, détails des certificats. Indispensable pour la conservation des preuves avant le retrait du contenu.
- VirusTotal — Recherche de réputation via plusieurs sources pour les URL, les fichiers, les adresses IP et les hachages. Le fait de signaler ici une URL de hameçonnage permet de transmettre cette détection à des dizaines de fournisseurs d’antivirus et de solutions EDR.
- Shodan — Moteur de recherche dédié à l'Internet des objets et aux services exposés. Utilisé pour cartographier les infrastructures des escrocs, identifier les clusters d'hébergement et détecter les panneaux de contrôle.
- Censys — recherche de certificats et de bannières ; passer d’un certificat TLS à une centaine de domaines associés est monnaie courante ici.
- crt.sh — Recherche gratuite dans le journal de Certificate Transparency, idéale pour détecter les certificats « sosies » récemment émis qui visent des marques protégées.
- Wayback Machine — conserve des instantanés qui subsistent même après la disparition du site d'origine.
- WHOIS & ViewDNS.info — recherche de titulaires de noms de domaine, recherche d'adresses IP inversée et pivoting DNS.
- Maltego CE — analyse des liens sous forme de graphes ; idéale pour visualiser les réseaux d'escrocs à travers les nœuds correspondant aux e-mails, aux domaines, aux adresses IP et aux réseaux sociaux.
- theHarvester — recueille des adresses e-mail, des sous-domaines, des noms d'hébergeurs et les noms des employés à partir de sources publiques.
- Kali Linux — une distribution préinstallée comprenant des centaines d'outils OSINT et de sécurité.
Mesures de protection côté navigateur
La plupart des victimes d'hameçonnage se font piéger dès le premier clic. Les mesures de protection au niveau du navigateur bloquent l'attaque avant même qu'elle n'atteigne le portefeuille :
- MetaMask : détection des tentatives d'hameçonnage sur Ethereum — une liste noire de domaines fournie avec MetaMask et de nombreux portefeuilles Web3, qui bloque les pages de hameçonnage connues avant même qu'elles ne s'affichent.
- PhishDestroy : liste des sites à supprimer — Plus de 130 000 domaines actifs liés à des escroqueries et au hameçonnage, triés et classés, disponibles dans plusieurs formats (DNS, fichiers hosts, JSON, CSV) et prêts à être intégrés à Pi-hole, AdGuard, des extensions de navigateur ou des pare-feu d'entreprise.
- Listes PhishFort — des listes de blocage de crypto-hameçonnage gérées par la communauté.
- uBlock Origin + Privacy Badger — filtrer les publicités et les traceurs, ce qui réduit considérablement l'exposition aux canaux de diffusion de publicités malveillantes.
- ScamSniffer — Extension de base de données sur les escroqueries Web3 qui signale directement sur la page les risques liés aux contrats « drainer ».
Flux d'informations sur les menaces
Si vous gérez un SOC, un CERT ou une infrastructure de sécurité, intégrez ces flux publics consacrés aux infrastructures de hameçonnage actives :
- liste à supprimer — mise à jour automatique, plus de 130 000 menaces, API gratuite, plusieurs formats.
- OpenPhish — flux communautaire sur le hameçonnage au format texte brut.
- PhishTank — URL de hameçonnage confirmées (Cisco/OpenDNS).
- URLhaus (abuse.ch) — URL servant à la diffusion de logiciels malveillants.
- TweetFeed — IOC extraits des réseaux sociaux consacrés à la sécurité de l'information.
- Base de données des arnaques de ScamSniffer — Listes noires du Web3.
YARA, les « honeypots » et la défense active
- Règles Yara pour PhishingKit — détecter les signatures connues des kits de hameçonnage dans les fichiers HTML/JS.
- Règles de Yara — bibliothèque de règles gérée par la communauté.
- Pièges à cybercriminels & jetons Canary — canarytokens.org, MazeRunner Édition Collector.
- Opération « Takedown » — notre propre collection de scripts destinés à perturber les campagnes de hameçonnage en cours.
Processus — De la signalisation à la suppression
Une enquête type combine ces outils les uns aux autres :
- Recevoir une piste — un rapport communautaire (Bot Telegram), un détecté par un analyseur de publicités payantes ou une alerte du journal CT.
- Confirmer l'hameçonnage — test en bac à sable via urlscan.io ; vérification croisée avec VirusTotal, OpenPhish et PhishTank.
- Infrastructure cartographique — effectuer une recherche via Censys/Shodan pour trouver les domaines, adresses IP et certificats associés.
- Conserver les éléments de preuve — Instantané Wayback, archive urlscan, capture HTML/JS complète, captures d'écran.
- Informer les partenaires — envoyer la signalisation à plus de 50 éditeurs de logiciels antivirus, signaler l'abus auprès du registraire/hébergeur, diffuser l'information sur les flux MetaMask et ScamSniffer.
- Moniteur — Confirmer la suppression ; surveiller toute réapparition sur des adresses IP voisines ou sur des sites similaires récemment enregistrés.
En savoir plus :Anatomie d'une mise au sol · Les bureaux d'enregistrement qui favorisent les escroqueries · Guide de sécurité des cryptomonnaies
En tirant parti de ces outils open source, les particuliers, les petites entreprises et les grandes sociétés peuvent considérablement renforcer leur sécurité informatique. L'intelligence collective et le développement continu au sein de la communauté open source constituent des atouts inestimables dans la lutte permanente contre la cybercriminalité. Restez vigilants, tenez-vous informés et exploitez la puissance de l'open source pour vous protéger et protéger votre communauté.
