Skip to content

LE MÉCANISME

Comment fonctionne l'opérateur.

Riposte exécute une seule boucle continue depuis votre terminal. Le côté attaque trouve et reproduit une vraie brèche ; le côté défense écrit une règle à partir de ces preuves exactes pour la détecter la prochaine fois. Vous gardez le commandement de chaque étape entre les deux.

LA BOUCLE DE L'OPÉRATEUR

Reconnaissance, sondage, exploitation, passage de main.

  1. 01recon

    Cartographier le périmètre.

    Il énumère la cible autorisée et enregistre chaque hôte, port et surface qui répond. Rien en dehors du périmètre que vous fixez n'est jamais touché.

  2. 02probe

    Tester les entrées.

    Il sollicite chaque surface comme le ferait une personne, en classant les entrées les plus susceptibles de céder et en les travaillant une à la fois.

  3. 03exploit

    Presser la brèche.

    Quand une surface cède, il ouvre la brèche contre une référence et capture exactement ce qui s'est passé, si bien que le constat repose sur ses propres preuves.

  4. 04hand-off

    À vous de décider.

    Chaque manœuvre conséquente s'arrête pour vous. Poursuivez, journalisez, ou arrêtez. L'opérateur ne s'escalade jamais de lui-même.

UN RUN, LIGNE PAR LIGNE

Regardez-le à l'œuvre.

Un run unique, diffusé comme vous le verriez dans le terminal : surface cartographiée, entrées testées, une brèche ouverte, puis il s'arrête et vous confie la décision.

LA BOUCLE DE DÉTECTION VÉRIFIÉE

L'attaque nourrit la défense.

Quand le côté attaque reproduit un constat, le côté défense rédige une détection à partir de ces preuves exactes : une règle Sigma calquée sur ce qui s'est réellement passé, pas sur une description vague. Ce brouillon n'est pas cru sur parole. Il est compilé, rejoué et mesuré contre un double de SIEM instrumenté avant que quoi que ce soit ne soit consigné.

Une règle n'est livrée que si elle franchit les quatre portes ci-dessous. Qu'elle en manque une et elle est retenue pour revue humaine. Les portes échouent en position fermée, si bien que le silence signifie toujours retenue, jamais livrée.

G1

Elle compile.

La règle rédigée se compile proprement dans le langage de requête propre à votre SIEM.

G2

Elle se déclenche.

La règle correspond à l'exploit exact qui l'a produite, rejoué contre un double instrumenté.

G3

Elle résiste à une variante.

Elle se déclenche encore après mutation de l'attaque, donc elle attrape la technique et pas un seul payload littéral.

G4

Elle reste discrète.

Elle reste sous un seuil de faux positifs sur du trafic bénin, pour ne pas noyer l'analyste qui la déploie.

À PROPOS DE LA DÉMO HORS LIGNE

La démo tourne sans réseau et sans clé. Dedans, la détection d'exemple est livrée depuis un modèle embarqué plutôt que par un modèle en direct, si bien que la démonstration est identique sur toute machine. La boucle et les quatre portes sont les vraies ; seules les preuves sont pré-enregistrées.

pré-alpha . apache-2.0 . aucune télémétrie . fonctionne hors ligne