Retour d'expérience

Comment une entreprise de transport a détecté une Red Team grâce à Trapster

Étude de cas client

Le défi : simuler un adversaire moderne

Dans un monde où les menaces cyber sont de plus en plus furtives, un acteur mondial du transport et de la logistique a fait appel à Trapster pour tester et renforcer ses capacités de détection internes. Grâce à un exercice Red Team soigneusement orchestré, l'entreprise a validé l'efficacité des technologies de déception de Trapster, détectant des activités adverses ayant échappé aux solutions EDR traditionnelles. Voici leur histoire.

Camion sur la route

Mise en place d'une architecture de déception avec Trapster

Pour rééquilibrer la balance, l'équipe SOC s'est associée à Trapster pour déployer une architecture de détection basée sur la déception avant le test Red Team. La stratégie d'implémentation a mis l'accent sur le réalisme, la diversité et le placement stratégique.

Actifs déployés :

  • 8 serveurs honeypot (VM Trapster)

    Chaque VM simulait des services critiques et contenait des données réalistes mais fictives.

  • Breadcrumbs :

    Des identifiants et paires de clés SSH factices ont été placés sur des serveurs et postes de production réels, afin de tenter les attaquants procédant à du credential dumping ou à l'énumération locale. Exemple : un fichier .rdp intitulé Operations-Remote-Access.rdp a été placé sur le bureau d'un manager intermédiaire, pointant vers un honeypot.

  • Honeytokens :

    Des fichiers honeytoken ont été disséminés sur des partages et dossiers utilisateurs. Par exemple, un fichier .docx nommé onboarding.docx déclenchait une alerte à l'ouverture.

Tous les événements étaient centralisés sur le dashboard Trapster, intégré au SIEM de l'entreprise via une API webhook. Chaque alerte générait des métadonnées contextuelles riches : nom d'hôte, timestamp, chemin du fichier, session utilisateur, et données associées.

L'opération Red Team : évasion et détection

Au cours de la deuxième semaine de l'exercice, la Red Team a compromis un poste Windows via un email de phishing. Elle a ensuite utilisé un implant non détecté par l'EDR pour débuter ses mouvements latéraux.

Les agents EDR sont restés silencieux.

Les attaquants ont utilisé des outils Living-Off-the-Land (LOTL) pour contourner les contrôles de sécurité et ont commencé à explorer les partages et dossiers.

Chacune de ces actions a déclenché des alertes dans Trapster, permettant de reconstituer la chronologie de l'intrusion.

Ce qui a distingué Trapster, c'est la corrélation contextuelle de multiples artefacts de déception. Lorsque les attaquants ont utilisé un identifiant breadcrumb pour se connecter à la VM honeypot, l'équipe SOC a reçu une alerte critique et a pu remonter la chaîne d'attaque.

En quelques minutes, le SOC a pu identifier et isoler le poste compromis, mettant fin prématurément à la simulation grâce à la détection.

Stratégie d'implémentation : réalisme et résilience

  • Les leurres imitaient les conventions de nommage, versions d'OS et bannières de service internes pour garantir l'authenticité.
  • Les breadcrumbs étaient placés dans des emplacements fréquemment explorés par les attaquants : AppData, Corbeille, dossiers .ssh, etc.
  • Les honeytokens étaient contextuels, avec des noms de fichiers réalistes issus de projets internes.
  • L'intégration avec les outils de sécurité existants garantissait des alertes actionnables, enrichies avec le contexte AD et corrélées aux logs systèmes.

Résultats : prouver la valeur au-delà de l'EDR

La Red Team a échappé à la détection réseau et endpoint. Aucun agent EDR n'a levé d'alerte lors des mouvements latéraux, et le phishing initial est passé inaperçu.

En revanche, les leurres et breadcrumbs de Trapster ont généré six alertes uniques en 48h, toutes liées à des interactions adverses. L'équipe SOC a non seulement détecté l'intrusion, mais aussi retracé le cheminement, compris l'intention et validé ses processus de réponse.

Chiffres clés :

  • Temps de détection : 6 minutes après la première connexion au honeypot
  • Nombre d'interactions de déception uniques : 11
  • Détections EDR/AV : 0
  • Engagement SOC : Playbook d'incident complet exécuté et revu

Conclusion : Trapster, une défense active

Cette réussite illustre une vérité simple : les défenses traditionnelles ne suffisent plus. Les attaquants avancés savent passer sous les radars. Avec Trapster, les défenseurs peuvent inverser la tendance et transformer la curiosité de l'attaquant en point de détection.

Pour ce leader du transport, Trapster n'était pas qu'un outil passif. C'était un véritable fil-piège qui a transformé une compromission simulée en victoire stratégique : validation des investissements, réduction du temps de présence et renseignement actionnable au bon moment.

Trapster ne se contente pas d'attendre la découverte d'une compromission. Il force les attaquants à se dévoiler.