IoC (Indicator of Compromise)

Un IoC (Indicator of Compromise) est un artefact observable sur un réseau ou système qui indique avec une forte probabilité une intrusion ou activité malveillante. Les IoC sont les éléments de base des produits de détection (AV, EDR, SIEM, IDS) et de la threat intelligence partagée entre organisations.

Types d'IoC (de bas en haut de la "Pyramid of Pain" de David Bianco) : (1) hash values (MD5, SHA1, SHA256 de fichiers malveillants) — facile à changer pour l'attaquant ; (2) IP addresses — moyennement faciles à changer ; (3) domain names — plus coûteux mais possibles via DGA ; (4) network/host artifacts (User-Agents, URI patterns, named pipes, mutex names) — coûteux ; (5) tools (Cobalt Strike, Mimikatz signatures) — très coûteux pour l'attaquant à remplacer ; (6) TTPs (Tactics, Techniques, Procedures) — extrêmement coûteux car ce sont les comportements humains. Bloquer un hash MD5 est trivial ; bloquer un TTP demande des contrôles fondamentaux.

Formats standardisés de partage : STIX (Structured Threat Information eXpression, JSON), TAXII (transport protocol), OpenIOC (Mandiant, deprecated), MISP format, YARA rules (pour matching binaires), Sigma rules (détection logs cross-platform), Snort/Suricata rules (NIDS).

Sources d'IoC : (1) gratuites — AlienVault OTX, AbuseIPDB, URLhaus (abuse.ch), MalwareBazaar, ThreatFox, MISP communities, Shadowserver, government CERT/CSIRT feeds (CISA AIS, ANSSI CERT-FR), open Twitter/X feeds ; (2) commerciales — Mandiant Advantage, Recorded Future, CrowdStrike Falcon Intelligence, Anomali, Group-IB, Intel 471, Flashpoint.

Limitations des IoC : (1) éphémères — les attaquants rotent rapidement ; (2) génèrent du bruit (faux positifs si réutilisés massivement) ; (3) ne capturent pas le contexte (un IP peut être bénin/malveillant selon source). D'où l'évolution vers TTP-based detection et threat hunting comportemental.