Tester maintenant — sans compte →
Intelligence Infostealer — Exposition SI

Des employés de votre SI sont
peut-être compromis
en ce moment.

Votre EDR, votre SIEM, vos pare-feux — aucun ne surveille ce qui se passe hors de votre périmètre. Quand un employé est infecté chez lui, ses credentials corporate partent chez l'attaquant. CYBERCREDS vous le signale en moins de 72h.

10k+Machines / jour
5M+Profils en base
<72hFraîcheur signal
0CVE requis
FRLabel France Cybersecurity 2026
ACNAlliance pour la Confiance Numérique
UGAPÉditeur référencé UGAP-SCC
Hébergement FR · RGPD · DPA disponible
40+
Organisations surveillées
12
SOC & MSSP partenaires
97%
Alertes <72h
"

On a détecté en 48h une compromission que notre EDR n'avait pas vue. L'employé était infecté depuis 3 semaines sur son poste personnel.

RSSI · ESN française · 800 employés
Pour qui

Trois profils,
un seul signal.

La menace est identique — la façon de l'utiliser dépend de votre rôle.

🛡️

RSSI · Équipe sécurité interne

Vous voulez savoir si des credentials de vos employés circulent dans des logs infostealers actifs — et être alerté dès que c'est le cas.

  • Diagnostic ponctuel — résultats sous 72h
  • Monitoring continu — alerte dès qu'un employé est compromis
  • Rapport PDF pour notification RSSI / DPO
  • Root cause : malware, accès exposés, date d'infection
Voir les offres RSSI →
🔭

SOC externalisé · MSSP · CERT

Vous gérez la sécurité de plusieurs clients. Vous voulez être celui qui prévient — pas celui qui réagit. Chaque alerte = preuve de valeur facturable.

  • Monitoring multi-domaines — dashboard par client
  • Alertes webhook / Slack / email en temps réel
  • Signal revendable à vos clients — ROI direct
  • Tarifs dégressifs, white-label disponible
Voir les offres SOC / MSSP →
Le problème

Le vecteur que
personne ne surveille.

Un employé infecté chez lui — poste perso, hors périmètre, hors EDR. Ses credentials VPN, Microsoft 365, GitHub partent chez l'attaquant. Pendant en moyenne 30 jours, vous n'en savez rien.

Aucun outil périmétrique ne voit ça. Les scanners n'y sont pas. Les pare-feux non plus. Les EDR non plus — parce que la machine compromise n'est pas sur votre réseau.

Ce que vos outils ne voient pas — Scanners · Pare-feux · EDR : aucun ne surveille les logs infostealers hors périmètre. CYBERCREDS comble ce gap et vous donne une longueur d'avance sur l'attaquant.

⚠ Impacts typiques

  • Prise de compte Microsoft 365 / Google Workspace
  • Compromission VPN et accès réseau interne
  • Business Email Compromise (BEC)
  • Session hijacking via cookies potentiellement actifs
  • Accès aux repos Git, ERP, CRM critiques
~30j
avant détection
91%
découverts post-incident
Signal

Ce que CYBERCREDS détecte
et comment c'est actionnable

Pas des listes de credentials. Un signal structuré, enrichi, prêt à entrer dans votre workflow.

Input
Raw stealer log
Machine · credentials · cookies
CYBERCREDS
Enriched signal
Identity · date · access scoring
Output
Action-ready report
Reset · revoke · PDF
01 — Machine compromise

Hostname + OS + IP interne

Empreinte unique du poste infecté — savoir exactement quel endpoint est touché.

02 — Date d'infection précise

Horodatage de la compromission

Évaluez si le risque est encore actif et reconstituez la timeline d'incident.

03 — Identité de l'employé

Email + poste compromis

Vous savez exactement qui a été infecté dans l'organisation.

04 — Accès corporate exposés

M365 · VPN · GitHub · ERP

Tous les accès exfiltrés du poste, mappés par criticité.

05 — Sessions & cookies actifs

Risque session hijacking

Cookies potentiellement encore valides sur comptes SSO, cloud, Slack.

06 — Famille malware + C2

Lumma · RedLine · Vidar…

Famille identifiée, root cause et timeline probable de l'infection.

Sources & Méthodologie

Sources, méthode,
cadre légal.

La première question est légitime : "d'où vient cette data ?" Voici la réponse honnête, avant que vous ne regardiez les tarifs.

✓ Ce qu'on fait

  • Collecte passive sur sources publiques (canaux Telegram, forums underground) — aucun accès illicite à des systèmes tiers
  • Enrichissement : on identifie l'organisation, l'utilisateur, les accès — on ne teste jamais les credentials
  • Notification rapide : transmission dans les 72h au client légitime
  • Cadre légal : article L2321-3 CSI · Hébergement FR · RGPD · DPA disponible sur demande
10K+ machines/jour
5M+ profils
<72h source → détection

✕ Ce qu'on ne fait pas

  • Tester les credentials sur les systèmes cibles
  • Stocker de données exploitables (mots de passe en clair)
  • Accéder à des systèmes tiers sans autorisation
  • Revendre les données à des tiers non autorisés
RSSI — Sans monitoring
Vous découvrez l'incident
Anomalie constatée trop tard. L'attaquant avait 30 jours d'avance. Notification CNIL en urgence.
Avec CYBERCREDS
Vous anticipez
Alerte sous 72h dès qu'un employé est compromis. Vous révoquez — vous êtes en maîtrise.
SOC / MSSP
Vous arrivez avec des réponses
Credentials exposés identifiés avant l'incident. Preuve de valeur facturable à chaque client.
Use Cases

Comment utiliser
CYBERCREDS

Vérifiez l'exposition de votre organisation

CYBERCREDS analyse si des credentials de vos employés circulent dans des logs infostealers actifs. Vous savez en 72h si votre SI est exposé — sans attendre l'incident.

  • Soumettez votre domaine — résultats préliminaires sous 15 min
  • Identification des employés compromis + accès exposés
  • Rapport PDF structuré pour notification RSSI / DPO
  • Actions prioritaires : reset credentials, révocation sessions
  • Root cause : famille malware + vecteur probable
→ Option monitoring continu — alerté dès qu'un nouvel employé est détecté, fraîcheur <72h.
🔴 CRITIQUE2026-03-18 14:32 UTC
organisationvotre-si.fr
utilisateur[email protected]
machineLAPTOP-SALES-04
infection2026-03-15 <3 jours>
accès exposésM365 · VPN · Jira
sessionscookies potentiellement actifs
malwareLummaC2 v4

Alertez votre client avant l'attaque

CYBERCREDS vous envoie une alerte dès qu'un poste est détecté sur le périmètre d'un client. Vous prévenez votre client — vous ne lui annoncez pas un incident.

  • Reset credentials + invalider sessions M365 / IdP
  • Forcer MFA + vérifier Conditional Access
  • Analyser connexions à risque (impossible travel)
  • Rotation secrets VPN + durcissement accès
  • Triage endpoint via EDR si poste managé
🔴 CRITIQUE2026-03-18 14:32 UTC
entrepriseclient-cible.fr
utilisateur[email protected]
machineDESKTOP-PRD-092
infection2026-03-15 <3 jours>
accès exposésM365 · VPN · GitHub
sessionscookies potentiellement actifs
malwareLummaC2 v4
Recherche rapide — Audit
Domaine cible
target-audit.fr
Résultats — 47 entrées trouvées
! 12 machines compromises identifiées
! 8 accès VPN potentiellement actifs
! 3 comptes admin exposés
i Période : Jan 2025 → Mars 2026
Export PDF prêt — 1 crédit utilisé

Détectez la compromission avant exploitation

30 jours séparent l'infection de la détection en moyenne. CYBERCREDS réduit ça à 72h. La différence entre "incident évité" et "post-mortem".

Jour J
Machine infectée
Stealer installé silencieusement, log exfiltré
J + <72h
CYBERCREDS détecte
Alerte avec machine, employé, accès exposés
J + 72h
Vous agissez
Reset credentials, invalide sessions — incident évité
Sans CYBERCREDS : J + 30
Attaque réussie
BEC, ransomware, exfiltration
30 jours
durée moyenne avant détection sans monitoring CTI
<72h
fraîcheur CYBERCREDS — temps d'agir avant exploitation
0 CVE
aucun exploit nécessaire — juste des credentials volés

Identifiez précisément qui a été infecté et quand

Quelle machine, quel employé, quelle date, quels accès. Vous arrivez avec des réponses — pas des questions.

  • Recherche par domaine → liste des machines compromises
  • Identification de l'employé exact (email + poste)
  • Date précise d'infection pour la timeline légale
  • Cartographie des accès exposés par criticité
  • Root cause : famille malware + vecteur probable
  • Rapport PDF structuré pour notification RSSI / DPO
investigation — client.fr
$ investigate --domain client.fr
Searching 5M+ profiles…
[!] 2 machines found
 
── Machine 1 ──
host LAPTOP-SALES-04
access M365 · Salesforce · VPN
 
── Machine 2 ──
access Admin AD · GitHub · AWS
 
[✓] Report PDF → ready
Cas réel — CTI Résistez aux Hackeurs

28 minutes.
Accès complet. Sans exploit.

Basé sur des stealer logs réels. Aucun outil offensif. Aucune vulnérabilité exploitée.

Timeline d'attaque
INFECTION
Machine développeur compromise
Infostealer — log exfiltré silencieusement
DÉCOUVERTE
URL GitLab interne dans le log
Non indexée — visible dans le dump browser
CREDENTIAL
Pattern de réutilisation identifié
sangoku972! → échec
Sangoku972! → SUCCÈS
ACCÈS TOTAL — J+28min
Owner sur 47 dépôts internes
JWT secrets · clés SSH · credentials BDD
Ce qui a été exposé
! Credentials BDD PostgreSQL (prod)
! Clés API email, paiement, cloud
! JWT secrets → forge de tokens valides
! Clés SSH déploiement production
! .env supprimés → encore dans git log
Ce qui aurait évité ça
MFA obligatoire — le scénario s'arrête ici
Monitoring stealer logs — alerte avant exploitation
Rotation des credentials — pas de mdp 2021 valide en 2026
→ Lire l'article complet sur Substack
Ce qui nous distingue

Pas un credential dump.
Un signal actionnable complet.

✕ Détection générique

  • Un email + un mot de passe exposé, sans contexte
  • Pas de machine ni de date d'infection
  • Pas d'analyse des sessions potentiellement actives
  • Pas de root cause ni de famille malware
  • Engagement annuel minimum à 35 000€ (plateformes généralistes)

✓ CYBERCREDS

  • Machine + employé + date d'infection précise
  • Cookies & sessions potentiellement encore actifs
  • Root cause + famille malware + infra attaquant
  • Fraîcheur <72h — signal actif, pas historique
  • Signal infostealer actionnable — sans engagement annuel à six chiffres
Tarification

Votre offre,
selon votre profil.

Commencez par tester gratuitement. Vous verrez la valeur avant tout engagement.

Afficher les offres pour :
Voir tous les tarifs →
Les plateformes CTI généralistes (Flare, Recorded Future) démarrent à 35 000€/an minimum. CYBERCREDS propose une spécialisation infostealer spécialisation infostealer exclusive — signal plus riche, déploiement immédiat.
Offres RSSI · Équipe sécurité interne Par nombre de salariés
PME
< 100 salariés
490€
par mois
  • Jusqu'à 2 domaines surveillés
  • Alerte email <72h
  • Machines + identités + date
  • Sessions & cookies actifs
  • Root cause malware
  • Rapport PDF mensuel
Démarrer →
Recommandé
ETI
100 – 500 salariés
890€
par mois
  • Jusqu'à 5 domaines surveillés
  • Alerte email + webhook
  • Machines + identités + date
  • Sessions & cookies actifs
  • Root cause + contexte campagne
  • Rapport PDF mensuel
Demander une démo
Entreprise
500 – 2 000 salariés
1 690€
par mois
  • Jusqu'à 15 domaines surveillés
  • Email + webhook + API REST
  • Intégration SIEM (Splunk, Elastic…)
  • Dashboard dédié
  • Rapport PDF mensuel
  • Accompagnement mensuel
Nous contacter
Grand compte · OIV · OSE
2 000+ salariés
Sur devis
Domaines illimités · Full TI
  • Domaines illimités
  • Flux STIX/TAXII
  • Tracking panels C2
  • Watchlists personnalisées
  • SLA garanti · DPA signé
  • Accompagnement dédié
Nous contacter
Questions fréquentes

Les objections
qu'on entend le plus.

La meilleure réponse est de tester maintenant — sans créer de compte. Entrez votre domaine dans le moteur de recherche invité et vous voyez en quelques secondes ce qu'on trouve. Si on ne trouve rien, c'est aussi une information utile.
Collecte passive sur sources publiques (Telegram, forums underground) — aucun accès illicite. Activité encadrée par l'article L2321-3 CSI. Hébergement France. DPA disponible sur demande.
Ils sont généralistes (dark web, clear web, forums). Nous sommes spécialisés infostealer — ce qui permet un enrichissement beaucoup plus profond : machine, employé, sessions actives, root cause.
Non. Nous stockons uniquement les métadonnées structurées (machine, utilisateur, date, services exposés) — pas les credentials exploitables. Le but est de vous alerter, pas de constituer une base d'exploitation.
Alertes par webhook (compatible Splunk, Elastic, Microsoft Sentinel), email, ou Slack. Les plans Growth MSSP et au-dessus incluent une API REST documentée pour intégration native dans votre SIEM ou XDR.
Tester maintenant

Votre domaine est-il exposé ?

Entrez un domaine — n'importe lequel. Vous voyez les résultats en quelques secondes, sans créer de compte. Comme HaveIBeenPwned, mais pour les machines et les accès corporate.

CYBERCREDS — MODE INVITÉ Résultats en temps réel
Sans compte · Sans inscription · Aucun credential transmis
Exemple de résultats — exemple.fr
3 machines compromises trouvées
Mode invité
🔴 CRITIQUE
machineDESKTOP-***-092 🔒
utilisateurj.m***@exemple.fr 🔒
infection2026-03-15 · il y a 3 jours
accès exposésM365 · VPN · GitHub
sessionscookies potentiellement actifs
malwareLummaC2 v4
🟠 ÉLEVÉ
machineLAPTOP-***-04 🔒
utilisateurs.d***@exemple.fr 🔒
infection2026-03-09 · il y a 9 jours
accès exposésM365 · Salesforce
malwareVidar
🟠 ÉLEVÉ
machine●●●●●●●●● 🔒
utilisateur●●●●@exemple.fr 🔒
infection●●●●●●●● 🔒
accès exposés●●● · ●●●●●● 🔒
Voir les résultats complets — noms, hostnames, export PDF

Créez un compte pour identifier précisément qui a été infecté et agir.

Accès complet →

Ce que vous voyez
en mode invité

Suffisant pour comprendre si votre organisation est exposée. Pas suffisant pour agir seul — c'est voulu.

Nombre de machines compromises
Date d'infection précise
Types d'accès exposés (M365, VPN…)
Famille malware identifiée
Sessions / cookies potentiellement actifs
Créer un compte → Démo guidée par un expert
COMME HAVEIBEENPWNED

Vous pouvez chercher n'importe quel domaine — le vôtre, celui d'un client, d'une cible d'audit. Les noms d'utilisateurs sont partiellement masqués. Aucun credential exploitable n'est affiché.

Contact

Besoin d'une démo
guidée par un expert ?

Le mode invité vous donne un aperçu. Pour une analyse approfondie de votre périmètre ou de celui de vos clients, parlons-en. 30 minutes suffisent.

Cédric BERTRAND
CTO · OSCP · AWAE
[email protected]
chargement… =
Réponse sous 24h · Hébergement FR · Données confidentielles
FR EN