SOC & CERT Intelligence Feed

Vos accès M365, VPN, GitHub
sont peut-être déjà compromis.
On vous le montre en 15 minutes.

Vous détectez les attaques. Nous détectons les accès avant l'attaque.
Si un employé est infecté chez lui, votre SOC est aveugle. CYBERCREDS comble ce gap.

Pour SOC · CERT · MSSP · Équipes sécurité internes
Tester un domaine gratuitement — résultat en 15 min → Voir un cas réel
TEST GRATUIT — RÉSULTAT 15 MIN
Nous ne stockons aucun credential exploitable. Nous ne testons jamais les accès.
10 000 machines / jour
Fraîcheur < 72h
500 000 profils en base
cybercreds — live detection
$ scan --domain client-cible.fr --deep
[*] Scanning stealer log channels...
[*] Parsing 10k+ machines/day...
[!] 3 compromised workstations found
───────────────────────────
machine : DESKTOP-PRD-092
user : dev@client-cible.fr
date : 2026-03-18 <3 days ago>
risk : CRITICAL
access : M365, VPN, GitHub
───────────────────────────
[✓] Report generated → PDF + webhook
───────────────────────────
[i] Cas réel : 28 minutes, zéro CVE, accès total →
$
Reconnu par
FR
Label France Cybersecurity 2026
ACN
Alliance pour la Confiance Numérique
UG
Éditeur référencé UGAP-SCC
CYBERESIST — 15 ans d'expertise offensive & CTI
Cas réel — CTI CYBERESIST

28 minutes.
Accès complet. Sans exploit.

Basé sur des données issues de stealer logs réels analysés dans le cadre de nos activités CTI. Aucun outil offensif. Aucune vulnérabilité exploitée.

TIMELINE D'ATTAQUE
INFECTION
Machine développeur compromise
Infostealer — log exfiltré silencieusement
DÉCOUVERTE
URL GitLab interne dans le log
Non indexée, non publique — visible dans le dump browser
CREDENTIAL
Pattern de réutilisation identifié
sangoku972! → échec
Sangoku972! → SUCCÈS
Mot de passe Outlook 2021 — valide sur GitLab 2026
ACCÈS TOTAL — J+28min
Owner sur 47 dépôts internes
JWT secrets · clés SSH · credentials BDD · .env production
CE QUI A ÉTÉ EXPOSÉ
! Credentials BDD PostgreSQL (prod)
! Clés API email, paiement, cloud
! JWT secrets → forge de tokens valides
! Clés SSH déploiement production
! .env supprimés → encore dans git log
BILAN
28min
durée totale
0
exploit / CVE
47
repos exposés
ACTION IMMÉDIATE SOC
→ Reset password + invalider toutes les sessions
→ Forcer MFA sur GitLab et tous les outils internes
→ Rotation des secrets exposés (JWT, SSH, API keys)
→ Audit git history pour .env et secrets supprimés
→ Triage endpoint compromis via EDR
Lire le cas complet → substack →
CYBERCREDS dans ce scénario : le credential était disponible dans nos sources 4 jours avant cet accès. Une alerte à J-4 aurait suffi à invalider la session et forcer la rotation.
Cas réel #2 — Reconnaissance passive

Un log.
Toute l'entreprise cartographiée.

Un attaquant n'a pas besoin d'interagir avec votre SI pour le connaître. Les logs d'infostealers de vos employés suffisent à reconstituer votre surface d'attaque complète — silencieusement.

CE QU'ON EXTRAIT D'UN SEUL DOMAINE
ÉTAPE 1
Identités corporate compromises
47 adresses @entreprise.fr · 83 machines infectées
12 accès critiques exposés (VPN, SSO, M365)
ÉTAPE 2
Surface d'attaque reconstituée
VPN, SSO, M365 — mais aussi outils internes non publics : Jenkins, Grafana, portails RH
ÉTAPE 3
Architecture interne révélée
Sous-domaines internes jamais publiés : vpn.corp.fr, jenkins.dev.fr, kibana.ops.fr — visibles dans les logs navigateur des employés
RÉSULTAT
Reconnaissance complète — zéro interaction
Zéro requête vers vos serveurs. Zéro alerte déclenchée. Zéro trace dans vos logs.
CHIFFRES OBSERVÉS SUR NOS ANALYSES
! 73% des orgas ont ≥1 mot de passe réutilisé sur un accès critique
! 1 compte / 4 contient le nom de l'entreprise ou l'année
! Réutilisation inter-services × 3 la surface d'attaque effective
PATTERN LE PLUS DANGEREUX

Mot de passe basé sur le nom de l'entreprise + année (Entreprise2024!) — très fréquent, très prévisible, souvent utilisé sur les accès les plus critiques.

CE QUE CYBERCREDS FAIT

Surveiller votre domaine avant qu'un attaquant ne le fasse. Identifier les identités exposées, cartographier votre surface d'attaque réelle, et alerter avant l'exploitation.

Lire le cas complet → substack →
CYBERCREDS dans ce scénario : les 47 identités exposées et les sous-domaines internes étaient disponibles dans nos sources. Une alerte permet de forcer la rotation des comptes critiques et d'auditer les accès VPN/SSO avant toute tentative d'intrusion.
10K+
Machines analysées / jour
500K+
Profils en base
<72h
Fraîcheur moyenne
6
Niveaux d'analyse
On ne vend pas des logs. On vend des décisions.
What we found last week (real data):
! 3 accès exploitables détectés sur des SaaS mid-market
! 1 accès admin M365 — session potentiellement active, credential valide
! 1 accès VPN potentiellement opérationnel — credential non révoqué
If you don't check:
→ attackers already have access
→ sessions are still active
→ you will only know after the damage
Vérifier vos clients →
Le problème

91% des compromissions détectées
après l'incident — jamais avant.

Un employé infecté chez lui = credentials VPN, Microsoft 365, GitHub de votre client exposés. Pendant en moyenne 30 jours avant détection. Aucun scanner, aucun EDR ne voit ça — c'est hors périmètre.

CE QUE VOTRE SOC NE VOIT PAS

Scanners · Pare-feux · EDR — aucun ne surveille les logs infostealers hors SI. CYBERCREDS comble ce gap.

⚠ Impacts typiques

  • Prise de compte Microsoft 365 / Google Workspace
  • Compromission VPN et accès réseau interne
  • Business Email Compromise (BEC)
  • Session hijacking via cookies potentiellement actifs
  • Accès aux repos Git, ERP, CRM critiques
~30j
AVANT DÉTECTION
91%
POST-INCIDENT
Signal

Ce que CYBERCREDS détecte
pour chaque client

Pas des listes de credentials. Un signal structuré, actionnable, prêt à entrer dans votre workflow SOC.

INPUT
Raw stealer log
Machine · credentials · cookies · tokens · autofill
CYBERCREDS
Enriched signal
Company match · user identity · date · access scoring · confidence level
OUTPUT
SOC-ready action
Reset · revoke · triage endpoint · incident report
01

Machine compromise

Hostname, OS, IP interne — empreinte unique du poste infecté. Savoir exactement quel endpoint est touché.

02

Date d'infection précise

Horodatage de la compromission. Évaluez si le risque est encore actif et reconstituez la timeline d'incident.

03

Identité de l'employé

Email corporate, compte compromis — vous savez qui a été infecté dans l'organisation de votre client.

04

Accès corporate exposés

M365, VPN, GitHub, ERP, apps internes — tous les accès exfiltrés du poste, mappés par criticité.

05

Sessions & cookies potentiellement actifs

Cookies de session potentiellement encore valides, risque de session hijacking sur comptes SSO, cloud, Slack.

06

Famille malware + panel C2

Lumma, RedLine, Vidar... + malware family & campaign context identified. Root cause et timeline probable.

Use Cases

Comment votre SOC
utilise CYBERCREDS

Alertez votre client avant l'attaque

CYBERCREDS vous envoie une alerte dès qu'un poste est détecté. Vous agissez avant que l'attaquant ne rejoue les sessions volées. Vous prévenez votre client — vous ne lui annoncez pas un incident.

  • Reset credentials + invalider sessions M365 / IdP
  • Forcer MFA + vérifier Conditional Access
  • Analyser connexions à risque (IP, pays, impossible travel)
  • Rotation secrets VPN + durcissement accès
  • Triage endpoint via EDR / AV si poste managé
🔴 CRITIQUE 2026-03-18 14:32 UTC
entreprise client-cible.fr
utilisateur j.martin@client-cible.fr
machine DESKTOP-PRD-092
date infection 2026-03-15 <3 jours>
accès exposés M365 · VPN · GitHub
sessions cookies potentiellement encore actifs
risque Risque de session hijacking — sessions potentiellement actives
malware LummaC2 v4

Détectez la compromission avant exploitation

30 jours séparent l'infection de la détection en moyenne. CYBERCREDS réduit ça à 72h. La différence entre "incident évité" et "post-mortem".

Jour J
Machine infectée
Stealer installé silencieusement, log exfiltré
J + <72h
CYBERCREDS détecte
Alerte SOC avec machine, employé, accès exposés
J + 72h
Votre SOC agit
Reset credentials, invalide sessions — incident évité
Sans CYBERCREDS : J + 30
Attaque réussie
BEC, ransomware, exfiltration — trop tard
LA FENÊTRE D'OPPORTUNITÉ
30 jours
durée moyenne avant détection sans monitoring CTI
<72h
fraîcheur CYBERCREDS — temps d'agir avant exploitation
No exploit needed
aucun exploit nécessaire — juste des credentials volés

Identifiez précisément qui a été infecté et quand

Quelle machine, quel employé, quelle date, quels accès. Vous arrivez chez votre client avec des réponses — pas des questions.

  • Recherche par domaine → liste des machines compromises
  • Identification de l'employé exact (email + poste)
  • Date précise d'infection pour la timeline légale
  • Cartographie des accès exposés par criticité
  • Root cause : famille malware + vecteur probable
  • Rapport PDF structuré en 72h pour le RSSI
investigation — client.fr
$ investigate --domain client.fr
[*] Searching 500K+ profiles...
[!] 2 machines found
 
── Machine 1 ──
user p.durand@client.fr
host LAPTOP-SALES-04
date 2026-03-12
stealer LummaC2
access M365 · Salesforce · VPN
 
── Machine 2 ──
user p.durand@client.fr
host DESKTOP-IT-12
date 2026-03-17
stealer Vidar
access Admin AD · GitHub · AWS
 
[✓] Report PDF → ready
$
Différenciation

Ce que les autres
ne font pas

La plupart des plateformes s'arrêtent à la détection de credentials. CYBERCREDS va jusqu'à la résolution.

Flare, Hudson Rock, Constella…
  • Détection credential uniquement
  • Pas d'analyse session potentiellement active / cookie
  • Pas d'identification attacker infrastructure
  • Pas de root cause analysis
  • Pas de profilage opérateur
  • Pas de date d'infection précise
  • Dashboard générique — pas d'action concrète
CYBERCREDS
  • Machine + employé + date d'infection
  • Cookies potentiellement actifs + risque session hijacking
  • Attacker infrastructure identified
  • Root cause + timeline d'infection
  • Malware campaign & attacker context
  • Fraîcheur <72h — signal actif, pas historique
  • Actions prioritaires concrètes pour le SOC
Sources & Méthodologie

Comment on obtient ça —
et pourquoi c'est défendable

La première question d'un SOC est légitime : "d'où vient cette data ?" Voici la réponse honnête.

CE QU'ON FAIT
Surveillance passive de sources publiques
Canaux Telegram, forums underground, leak archives — aucune intrusion, aucune interaction avec les attaquants
Minimisation des données
Aucun secret en clair stocké ou transmis. Preuve minimale, purge rapide des données brutes. DPA disponible.
Scoring de confiance sur chaque signal
Chaque alerte est scorée LOW / MEDIUM / HIGH selon fraîcheur, corrélation source, et type d'accès détecté
Hébergement EU · RGPD-ready
Données traitées en Europe. Accès RBAC, journalisation complète, rétention configurable.
CE QU'ON NE FAIT PAS
Achat de bases de données volées
Interaction avec des acteurs criminels
Stockage ou transmission de credentials en clair
Test actif des accès détectés (credential stuffing)
Revente ou partage des données à des tiers
FAUX POSITIFS

Chaque signal passe par un scoring avant d'être livré. Les alertes LOW confidence sont signalées comme telles — vous décidez si vous agissez. On ne noie pas votre SOC dans du bruit.

Chiffres mesurés sur nos sources — 6 derniers mois :
10K+ machines/jour indexées
500K+ profils en base
<72h délai moyen source → détection
DPA disponible sur demande
Tarification

Trois niveaux
d'engagement

Commencez par une investigation. Vous verrez la valeur avant tout engagement long terme.

Investigation
Sur devis
Audit ponctuel · résultats sous 72h
  • Analyse exposition credentials + sessions
  • Identification malware family + panel C2
  • Root cause probable de l'infection
  • Évaluation risque session hijacking
  • Rapport PDF structuré
  • Session de restitution incluse
Nous contacter
RECOMMANDÉ SOC
Monitoring continu
2 000 – 3 500€
par mois — selon périmètre
  • Tout Investigation inclus
  • Surveillance continue domaines + emails
  • Alertes temps réel — webhook / email / Slack
  • Dashboard client dédié multi-tenant
  • Rapport mensuel synthétique
  • Détection cookies et sessions volés
Demander une démo
Threat Intelligence
Contrat annuel
MSSP & grands comptes
  • Tout Monitoring inclus
  • Malware campaign context
  • Tracking infra panels malveillants
  • Flux STIX/TAXII sur demande
  • Watchlists personnalisées avancées
  • Accompagnement investigation mensuel
Nous contacter

Tarifs dégressifs disponibles pour MSSP multi-clients · White-label disponible

Commencez par une investigation — vous verrez la valeur avant tout engagement récurrent.
POC Immédiat

Vérifiez un domaine.
On vous dit ce qu'on trouve.

Donnez-nous un domaine client — résultats préliminaires sous 15 minutes, analyse complète sous 72h. Aucun engagement, aucun frais.

01 Vous soumettez un domaine
02 On analyse nos sources — 500K profils, fraîcheur <72h — résultats préliminaires sous 15 min
03 On vous envoie ce qu'on trouve — machines, employés, accès exposés
04 Vous décidez si ça vaut la peine d'aller plus loin
POUR LES MSSPS

Ce service, vous pouvez le revendre à vos clients. Chaque alerte devient une preuve de valeur de votre SOC. ROI direct sur la rétention client.

TEST GRATUIT — DOMAINE

Adresse email = domaine soumis · Réponse sous 72h

Contact

Vérifiez l'exposition
de vos clients

Un premier échange de 30 minutes suffit pour évaluer votre périmètre et vous montrer ce que nous trouvons. Aucun engagement.

Réponse sous 24h · Pas de freemail · Données traitées de façon confidentielle

Cédric BERTRAND
CTO · OSCP · AWAE
cedric@cybercreds.fr
+33 6 85 57 36 99
FR EN