Pose de sonde — preuve live + vision

Public : experts cyber · Durée : ~10 min · Message : « Même mécanique qu'un C2 — mais consentie, mutuellement authentifiée, chiffrée et inaltérablement tracée. La frontière malware/produit n'est pas technique : c'est la gouvernance. » · Cadre : machines possédées / VM de labo / autorisation écrite uniquement.

Disposition de l'écran

┌───────────────────────────────┬───────────────────────────────┐ │ ÉCRAN GAUCHE — OPÉRATEUR │ ÉCRAN DROIT — CIBLE + PREUVE │ │ Console PULSAR (web 9333) │ Fenêtre de la sonde │ │ + terminal de tasking │ + journal d'audit qui défile │ └───────────────────────────────┴───────────────────────────────┘

Avant la salle (setup, 5 min)

Serveur / relais (portable ou VPS) :

cd recette
./demo-kit/generer-certs.sh <hôte-ou-IP-du-relais> ./demo-kit/tls-demo
cp demo-kit/tls-demo/{cert.pem,key.pem,ca.pem} tls/
python3 serveur_recette.py      # note le jeton affiché

Sonde (VM « cible ») : copier sonde-pulsar.ps1, agent-client.pfx et un sonde.conf.
Ouvrir la console web à gauche, tail -f recette/registre-actions.jsonl à droite.

Partie 1 — la preuve (démo live, sonde réelle)

0:00Acte 1 — La pose de sondeleur terrain

Sur la cible, le one-liner de déploiement :

$d="$env:LOCALAPPDATA\sonde-pulsar.ps1"; Invoke-WebRequest 'http://<relais>:8080/sonde-pulsar.ps1' -OutFile $d -UseBasicParsing; powershell -ExecutionPolicy Bypass -File $d

Pointe : la sonde beacon (écran droit), apparaît dans la console (gauche).
« Sortie HTTPS uniquement. Aucun port entrant. Transparent au pare-feu — comme un beacon C2 moderne. »

2:00Acte 2 — Le taskingvue opérateur C2

# capture d'écran de la cible
curl -sk -X POST https://127.0.0.1:9333/api/agent/commande -H 'Content-Type: application/json' \
  -d '{"action":"screenshot","machine":"<CIBLE>","libelle":"Capture","scenario":"demo"}'

Pointe : capture cliquable + sortie shell.
« Rien ne le distingue d'un RAT… sauf tout ce que je ne vous ai pas encore montré. »

5:00Acte 3 — Le twist (gouvernance)de malware à produit

Montre…	Dis…
Coupe-circuit : fermer la fenêtre → sonde morte, vue hors-ligne	« Pas de persistance furtive. L'utilisateur garde la main, visiblement. »
mTLS : `CN=sonde-demo` ; en `mtls-required`, une sonde sans cert est refusée	« Seule une sonde enrôlée se connecte. Authentification mutuelle. »
3 modes (autonome/hybride/piloté) + approbation nominative	« La machine propose, un humain identifié décide. »
Journal chaîné SHA-256 — chaque action attribuée	« Inviolable. Anti-forensic ? Non : PRO-forensic. »

« Tout ce qu'un trojan vous cache, celui-ci le prouve. Le code est le même. Le régime juridique est l'opposé. »

8:00Acte 4 — Le cerveaula vision

Les données de sonde nourrissent une IA analyste (détection type EDR/UEBA) — l'IA explique, l'humain décide.
Approbations routées vers les vrais responsables, pas la DSIO.
Le livrable se documente lui-même (PV + audit rempli en direct).

« Un pentest qui produit sa propre preuve, opposable à un auditeur. Une tour de contrôle souveraine du SI. »

Partie 2 — la vision : le même incident à l'échelle du CHU (maquettes)

Le deck bascule sur le fil rouge INC-2026-0613-021 (cluster DPI, 3 sites). Maquettes, dans l'ordre, synchronisées aux slides 8→13 :

Slide	Étape	Maquette
9	Conduite	`cockpit-mockup.html` — diagnostic cluster DPI, triple validation QoS
10	Fédération	`orchestration-federee.html`
11	Validation	`maquette-mobile.html` (Face ID)
12	Preuve	`pv-direction.html` + `pv-exemple-3sites.html`
13	Le moteur	`pipeline-reformulation.html`

Fil rouge cohérent : mêmes 3 admins (SYLVA/Cayenne, OYAPOCK/Kourou, MARONI/St-Laurent), même cluster DPI, partout.

Clôture (10:00) — le tableau-miroir

« Vous m'avez appris à poser une sonde. Je vous montre la même — défensive, légale, traçable, gouvernée, pilotée par IA. La différence, ce n'est pas la technique. C'est ce qu'on en prouve. »

Offensif (qu'ils connaissent)	PULSAR (le contrepoint)
Beacon C2 / implant	Sonde consentie, mTLS
Tasking	Commande approuvée + tracée nominativement
Exfiltration	Reporting chiffré + horodaté + signé
Persistance furtive	Coupe-circuit visible, audit inviolable
Anti-forensic	Pro-forensic : tout est prouvable

Annexe — checklist matériel

Relais joignable depuis la cible (LAN/VPN/VPS), sortie 9333 autorisée
PKI générée pour le bon hôte (generer-certs.sh)
Jeton dans sonde.conf · agent-client.pfx à côté de la sonde
Console web + tail -f registre-actions.jsonl visibles
Autorisation écrite de démo sur les machines utilisées