Description

Présentation des services — Agent OSINT Cybersécurité Maritime

L’agent OSINT Cybersécurité Maritime est un outil spécialisé dans l’analyse des menaces cyber appliquées au secteur maritime et portuaire.
Son rôle est de fournir des analyses fiables, sourcées et pédagogiques, exclusivement à partir de données publiques et légales (OSINT).

https://chatgpt.com/g/g-68c43736ca808191a9e846f94b49e79c-agent-osint-cybersecurite-maritime

---

Missions principales

1. Analyse des menaces cyber maritimes
   • Vérification de la réputation d’IP, domaines et emails.
   • Détection de campagnes de phishing ciblant les armateurs, ports ou fournisseurs.
   • Recherche d’indices techniques en sources ouvertes (IoC).
2. OSINT appliqué au maritime
   • Identification des risques liés aux systèmes embarqués (AIS, ECDIS, GNSS).
   • Surveillance des risques portuaires (SCADA, OT, systèmes logistiques).
   • Vérification de la légitimité de sociétés, documents ou cargaisons via bases publiques.
3. Veille cyber & renseignement technique
   • Suivi des dernières vulnérabilités et exploits affectant le secteur maritime.
   • Consultation de bases publiques (Exploit-DB, CERT-FR, ENISA, France Cyber Maritime).
   • Corrélation avec les bulletins de sécurité institutionnels.
4. Formation & sensibilisation
   • Production de supports pédagogiques (fiches réflexe, rapports, briefings).
   • Explications adaptées à différents publics : équipages, techniciens, SOC, décideurs.
   • Exercices pratiques d’analyse OSINT en conditions simulées.
5. Production de rapports structurés
   • Rédaction de rapports d’incidents cyber adaptés au maritime.
   • Présentation claire : contexte, indicateurs, analyse OSINT, recommandations.
   • Mise à disposition au format texte ou PDF.

---

Méthodologie

• Collecte d’informations en sources ouvertes uniquement (bases publiques, moteurs OSINT, CERT).
• Analyse selon une démarche structurée : contexte → indicateurs → résultats → recommandations.
• Traçabilité via citations et URLs complètes.
• Conformité légale : pas d’actions offensives, pas de données privées, uniquement de l’OSINT.

---

Institutions et cadres de référence

• CERT-FR (ANSSI) : https://www.cert.ssi.gouv.fr/
• France Cyber Maritime : https://www.france-cyber-maritime.eu/
• ENISA – Maritime Cybersecurity : https://www.enisa.europa.eu/topics/cybersecurity-in-the-maritime-sector
• IMO (International Maritime Organization) : https://www.imo.org/en/OurWork/Security/Pages/Cybersecurity.aspx

---

Recommandations d’usage

L’agent OSINT Cybersécurité Maritime doit être considéré comme un appui technique et pédagogique.
Ses analyses permettent de :

• Orienter un premier triage d’incident.
• Former et sensibiliser les personnels maritimes.
• Appuyer un SOC ou un CERT par des données en sources ouvertes.

Il ne remplace pas un CERT institutionnel ni un service de renseignement étatique, mais constitue une ressource complémentaire, accessible et légale.

OSINT & Cybersécurité Maritime

Module 1 — Découvrir et utiliser l’agent en sécurité (durée 10 min)

Analyse (explication simple)

• Ce que c’est : je suis un assistant d’OSINT (recherche en sources ouvertes) spécialisé cybersécurité maritime.
• Ce que tu peux faire : me demander d’analyser une IP, un domaine, un email suspect, ou de t’expliquer un risque (ex : phishing, ransomware, usurpation AIS).
• Ce que je ne fais pas : pas de hacking, pas d’accès à des bases secrètes, pas de données personnelles sans accord.
• Règle d’or pour toi :
  1. Ne partage pas de données privées (mot de passe, carte, identité).
  2. Utilise des exemples “de démo” (adresses réservées) quand on s’entraîne.
  3. Vérifie toujours les sources que je donne.

Vocabulaire ultra simple

• OSINT : informations 100% publiques (sites web, rapports officiels…).
• IP : numéro d’une machine sur Internet (exemple de démo : 203.0.113.5).
• Domaine : nom d’un site (exemple de démo : example.com).
• Phishing : faux message qui tente de te voler des infos.
• Source fiable : site officiel (ANSSI, ENISA, IMO…), pas un forum douteux.

Ce que tu vas me dire (exemples de phrases)

• « Explique-moi simplement ce qu’est une IP et comment la vérifier. »
• « Analyse cet exemple d’email (fictif) et dis-moi si c’est du phishing. »
• « Donne-moi les étapes pour vérifier un domaine sans danger. »

Sources OSINT (liens complets)

• OSINT général : https://osintframework.com/
• France Cyber Maritime : https://www.france-cyber-maritime.eu/
• CERT-FR (ANSSI) : https://www.cert.ssi.gouv.fr/
• ENISA (maritime) : https://www.enisa.europa.eu/topics/cybersecurity-in-the-maritime-sector
• IMO – cybersécurité : https://www.imo.org/en/OurWork/Security/Pages/Cybersecurity.aspx
• Domaines/IP de démo (réservés) :
  • Domaines “example” : https://www.iana.org/domains/reserved
  • Plages IP de documentation (RFC 5737) : https://datatracker.ietf.org/doc/html/rfc5737

Recommandations pratiques

• Toujours s’entraîner avec des exemples réservés :
  • Domaine : example.com
  • IP : 203.0.113.5 (plage de démo)
• Quand tu me parles :
  • Dis ce que tu veux faire (« vérifier un email »)
  • Donne le contexte (« reçu par un armateur ? par un ami ? juste un exercice ? »)
  • Demande les sources (« cite tes liens officiels »)
• Sécurité perso : ne poste jamais tes identifiants, ton adresse, ton n° de tel.

---

Petit exercice (3 minutes)

1. Écris-moi cette phrase pour valider que tu as compris :
   

   « Je comprends : OSINT = sources ouvertes, pas de hacking, et je ne partage pas d’infos privées. »

2. Dis-moi si tu préfères commencer par :
   • A. Vérifier un email (exercice anti-phishing),
   • B. Vérifier une IP,
   • C. Vérifier un domaine.

 

---

 

 

 

 

 

Module 2 — Me parler comme un pro (prompts simples)

Analyse (explication simple)

Tu es en cyber, donc le plus important est d’apprendre à formuler tes questions clairement.
Tu n’as pas besoin de connaître tout le vocabulaire technique — il suffit de suivre des modèles.

Exemples de phrases que tu peux utiliser avec moi :

1. Pour un email suspect
   ? « Analyse cet email fictif : expéditeur fuel@example.com, il me demande de changer d’IBAN. Est-ce un phishing ? »
   (On utilise un domaine d’exemple pour rester en sécurité.)
2. Pour une IP
   ? « Vérifie si l’IP 203.0.113.5 est malveillante. »
   (C’est une IP de démo réservée, pas une vraie.)
3. Pour un domaine
   ? « Dis-moi si example.com est fiable ou s’il peut cacher un risque. »

---

Sources OSINT (liens utiles pour ce module)

• ICANN Lookup (WHOIS officiel) : https://lookup.icann.org/
• Shodan : https://www.shodan.io/
• VirusTotal : https://www.virustotal.com/
• AbuseIPDB : https://www.abuseipdb.com/

---

Recommandations pratiques

• Toujours préciser ton but (ex : “je veux savoir si c’est un phishing”).
• Toujours demander mes sources (pour apprendre à les relire toi-même).
• Toujours travailler avec des exemples fictifs pour t’entraîner sans risque (example.com, 203.0.113.5).

---

Petit exercice (3 minutes)

? Tu choisis un des cas (email, IP ou domaine), et tu me donnes un exemple fictif à analyser.
Je te montrerai étape par étape comment je travaille (comme un mini-SOC maritime).

---

On va utiliser une IP de démo prévue pour l’apprentissage (sécurisée, pas une vraie machine).

? Exemple d’IP réservée : 203.0.113.5
(C’est une adresse de documentation officielle définie par la norme RFC 5737, donc zéro risque).

---

Module 3 — Vérifier une IP suspecte (démo pédagogique)

1) Analyse (explication simple)

Quand une IP apparaît dans les journaux d’un navire ou d’un port, il faut se poser 3 questions :

1. À qui appartient cette IP ? → recherche WHOIS.
2. Quels services elle expose ? → recherche Shodan.
3. Est-elle signalée comme malveillante ? → VirusTotal & AbuseIPDB.

? Ici, comme c’est une IP fictive, on ne trouvera rien de réel → mais je vais te montrer la méthodologie pas à pas.

---

2) Sources OSINT (liens publics)

• WHOIS officiel (ICANN) : https://lookup.icann.org/
• Shodan (empreintes machines) : https://www.shodan.io/
• VirusTotal (analyse réputation IP/domaine) : https://www.virustotal.com/
• AbuseIPDB (signalements attaques) : https://www.abuseipdb.com/

---

3) Démo étape par étape

1. WHOIS :
   → Je vais chercher dans ICANN Lookup.
   → Pour une IP fictive (203.0.113.5), la réponse sera “adresse réservée à la documentation (RFC 5737)”.
2. Shodan :
   → Normalement, Shodan montre les ports ouverts (ex. SSH, HTTP).
   → Ici, aucune donnée car l’IP n’existe pas en vrai.
3. VirusTotal :
   → Vérifie si cette IP a déjà été vue dans des attaques.
   → Pour une IP fictive, rien ne sort.
4. AbuseIPDB :
   → Vérifie les signalements d’abus.
   → Même chose : aucune donnée.

---

4) Recommandations pratiques

• Toujours commencer par WHOIS → savoir à qui appartient l’IP.
• Vérifier sur AbuseIPDB si elle a été utilisée dans des attaques.
• Croiser avec VirusTotal pour avoir d’autres signaux.
• Ne jamais se contenter d’une seule source : il faut croiser.

---

? Exercice pour toi :
Écris-moi une phrase comme si tu étais analyste SOC maritime.
Exemple :

« Vérifie l’IP 203.0.113.5 dans WHOIS, Shodan et AbuseIPDB. »

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Voici un mini rapport SOC maritime pour l’IP fictive 203.0.113.5.
Je le fais sous la forme que tu pourrais voir dans un vrai SOC ou CERT maritime.

---

? Rapport d’analyse OSINT — IP 203.0.113.5

1) Contexte

• Origine de la détection : IP vue dans les journaux d’un navire (simulation pédagogique).
• Hypothèse : vérifier si cette IP est malveillante ou liée à une activité suspecte.
• Environnement : simulation, IP issue d’une plage de documentation (RFC 5737).

---

2) Indicateur analysé

• IP : 203.0.113.5
• Type : IPv4 (plage de démo)

---

3) Observations techniques

1. WHOIS / ICANN Lookup
   • Résultat : adresse réservée à la documentation et aux exemples (RFC 5737).
   • Pas d’organisation réelle derrière.
2. Shodan
   • Aucun service ou port trouvé (normal, IP non routable).
3. VirusTotal
   • Aucun signalement d’usage malveillant.
4. AbuseIPDB
   • Aucun enregistrement d’abus.

---

4) Analyse OSINT

• Cette IP n’est pas une vraie adresse active sur Internet.
• Elle est utilisée uniquement pour des exemples pédagogiques dans les documents et formations.
• Dans un cas réel, on aurait pu voir :
  • Des ports ouverts (SSH, HTTP…)
  • Des signalements d’attaques (bruteforce, spam, C2 botnet).

---

5) Limites OSINT

• Analyse basée uniquement sur sources ouvertes publiques.
• Pas d’accès aux données classifiées (SIGINT, opérateurs télécom, alliances militaires).

---

6) Appréciation du risque

• Impact : nul (adresse réservée à la formation).
• Probabilité d’attaque : nulle (non routée, non utilisée).

---

7) Recommandations pratiques

• Pour l’entraînement, toujours utiliser ces adresses de démo :
  • 192.0.2.0/24
  • 198.51.100.0/24
  • 203.0.113.0/24
• Dans un cas réel :
  • WHOIS → savoir à qui appartient l’IP.
  • Shodan → voir si des services sont exposés.
  • VirusTotal & AbuseIPDB → réputation.
  • Corrélation → logs internes, bulletins CERT-FR / France Cyber Maritime.

---

✅ Conclusion :
L’IP 203.0.113.5 est 100% légitime pour la documentation.
Aucun risque détecté.
En réel, il faudrait répéter cette méthodologie sur les IPs inconnues vues dans les journaux.

---

 

 

---

? Fiche Réflexe — Vérification rapide d’une IP suspecte (Maritime & Portuaire)

1) Premier réflexe (avant d’agir)

• ⚠️ Ne jamais bloquer dans la précipitation → vérifier avant.
• Noter : IP observée + heure + système concerné (navire, port, terminal, PC, mail, etc.).

---

2) Vérifications OSINT rapides (3 minutes max)

1. WHOIS / ICANN Lookup → à qui appartient l’IP ?
   ? https://lookup.icann.org/

• Hébergeur légitime ?
• Adresse réservée (ex. 203.0.113.x) ?
• Pays / organisation liés à l’IP ?

• Shodan.io → services exposés ?
  ? https://www.shodan.io/

 

• Ports ouverts (SSH, HTTP, RDP…) ?
• Vulnérabilités connues ?

• Réputation IP
  • VirusTotal ? https://www.virustotal.com/
  • AbuseIPDB ? https://www.abuseipdb.com/
    ➡️ Vérifier si l’IP est signalée dans des attaques (bruteforce, spam, botnet).

 

---

3) Décision rapide

• ✅ Pas de signalement, WHOIS légitime → surveiller seulement.
• ⚠️ IP douteuse (signalée, ports exposés, domaine trompeur) → alerter SOC / RSSI.
• ❌ IP clairement malveillante (C2, malware, bruteforce confirmé) → bloquer via firewall / proxy et documenter.

---

4) Si l’IP a communiqué avec un poste/navire

• Isoler le système concerné si compromission suspectée.
• Préserver les journaux (logs, captures).
• Vérifier si des connexions sortantes vers l’IP persistent.

---

5) Escalade maritime

• SOC interne / RSSI
• CSO/DPA (armateur) ou PFSO (port) si impact exploitation
• CERT-FR / France Cyber Maritime si incident confirmé :
  • https://www.cert.ssi.gouv.fr/
  • https://www.france-cyber-maritime.eu/

---

6) Sources OSINT à mémoriser

• WHOIS Lookup : https://lookup.icann.org/
• Shodan : https://www.shodan.io/
• VirusTotal : https://www.virustotal.com/
• AbuseIPDB : https://www.abuseipdb.com/
• France Cyber Maritime : https://www.france-cyber-maritime.eu/
• CERT-FR (ANSSI) : https://www.cert.ssi.gouv.fr/

---

? Avec cette fiche, un jeune analyste ou un marin peut décider en < 5 minutes si une IP est bénigne, suspecte ou malveillante.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Voici une fiche réflexe simplifiée pour analyser rapidement un email suspect de phishing maritime.

---

? Fiche Réflexe — Email suspect (Phishing maritime & portuaire)

1) À faire immédiatement (avant tout clic)

• Vérifier l’adresse complète de l’expéditeur (pas seulement le nom affiché).
• Comparer le domaine attendu vs réel :
  → example.com ≠ examp1e.com
• Survoler les liens (sans cliquer !) pour voir l’URL réelle.
• Ne pas ouvrir les pièces jointes suspectes (.zip, .xlsm, .html, .iso).
• Repérer les signaux d’arnaque :
  • Urgence / menace (« payez vite », « escale bloquée »).
  • Changement d’IBAN (paiement carburant, bunkering).
  • Adresse étrange ou reply-to différent.

---

2) Vérifications OSINT rapides (poste sûr)

• WHOIS / RDAP (domaine expéditeur)
  ? https://lookup.icann.org/
• Réputation IP/domaine
  ? VirusTotal : https://www.virustotal.com/
  ? AbuseIPDB : https://www.abuseipdb.com/
  ? Shodan : https://www.shodan.io/
• Pièce jointe : si tu as le hash → recherche sur VirusTotal (⚠️ ne jamais uploader un fichier interne confidentiel).

---

3) Décision rapide

• ⚪ Suspicion faible : signaler au SOC, ajouter en liste de surveillance.
• ? Suspicion forte (IBAN, urgence, fichier piégé) :
  • Ne pas cliquer, ne pas répondre.
  • Préserver l’email original (.eml avec en-têtes).
  • Remonter au SOC/RSSI.
• ? Si quelqu’un a cliqué :
  • Changer le mot de passe + activer MFA.
  • Vérifier les règles de boîte mail.
  • Isoler le poste si fichier ouvert, lancer un scan.

---

4) Spécificités maritimes

• Alerter CSO/DPA (armateur) ou PFSO (port) si impact exploitation (carburant, escale, BL).
• Ne jamais couper brutalement un système critique NAV/OT → appliquer procédures de continuité.

---

5) Signalement (France)

• Signal Spam (collecte nationale) : https://www.signal-spam.fr/
• Phishing Initiative (déréférencement) : https://phishing-initiative.fr/contrib/
• CERT-FR (ANSSI) : https://www.cert.ssi.gouv.fr/
• France Cyber Maritime : https://www.france-cyber-maritime.eu/

---

6) Sources OSINT utiles

• Infographie ANSSI Hameçonnage : https://cyber.gouv.fr/sites/default/files/document/phishing_hameconnage_infographie_anssi.pdf
• CERT-FR — Qualification phishing : https://www.cert.ssi.gouv.fr/fiche/CERTFR-2024-RFX-003/
• CERT-FR — Endiguement phishing : https://www.cert.ssi.gouv.fr/fiche/CERTFR-2024-RFX-004/
• ENISA (cyber maritime) : https://www.enisa.europa.eu/publications/port-cybersecurity-good-practices-for-cybersecurity-in-the-maritime-sector
• IMO Cyber Risk Management : https://wwwcdn.imo.org/localresources/en/OurWork/Security/Documents/MSC-FAL.1-Circ.3-Rev.3.pdf

---

? Avec cette fiche, même un jeune ou un membre d’équipage peut décider en < 3 minutes si un email est suspect et savoir quoi faire immédiatement.

---

Étape 1 — Vérifier un domaine (WHOIS / RDAP)

Analyse (explication simple)

But : savoir qui possède le domaine, depuis quand, et s’il a l’air légitime.

Mode d’emploi

1. Ouvre ICANN Lookup → colle le domaine (ex. example.com).
   Regarde : date de création (très récent = plus risqué), registrar, DNS (nameservers), DNSSEC.
   https://lookup.icann.org/
2. Si besoin, passe en RDAP (registre officiel) via IANA → tu seras redirigé vers le bon registre (RIPE/ARIN/APNIC…).
   https://www.iana.org/rdap
3. Si tu t’entraînes, utilise les domaines réservés (toujours sûrs) : example.com, example.org, example.net.
   https://www.iana.org/domains/reserved

Sources OSINT (liens complets)

• ICANN Lookup (WHOIS officiel) : https://lookup.icann.org/
• IANA RDAP (index officiel) : https://www.iana.org/rdap
• Domaines réservés (IANA) : https://www.iana.org/domains/reserved

Recommandations pratiques

• Un domaine créé il y a quelques jours + utilisé pour des paiements urgents = drapeau rouge.
• Compare le domaine attendu (ex. fournisseur) vs le réel (ex. typo examp1e.com).
• Ne conclus jamais avec une seule source : on croise aux étapes suivantes.

 

---

Étape 2 — Vérifier une IP (propriétaire & statut)

Analyse

But : identifier à qui appartient l’IP et si elle est « normale » (FAI, cloud, VPN, hébergeur à risque…).

Mode d’emploi

1. Va sur IANA RDAP et colle l’IP (ex. 203.0.113.5 pour s’entraîner).
   https://www.iana.org/rdap
2. Le RDAP te renverra vers le registre (RIPE/ARIN/APNIC/LACNIC/AfriNIC).
   Lis : organisation, plage IP, contacts d’abus.
3. Pour l’entraînement, utilise les plages IP réservées (RFC 5737) : 192.0.2.0/24, 198.51.100.0/24, 203.0.113.0/24.
   https://datatracker.ietf.org/doc/html/rfc5737

Sources OSINT

• IANA RDAP : https://www.iana.org/rdap
• RFC 5737 (adresses de démo) : https://datatracker.ietf.org/doc/html/rfc5737

Recommandations pratiques

• Une IP d’hébergeur “VPS” low-cost souvent vue en attaques = prudence.
• Note toujours le pays, l’ASN (fournisseur réseau) et le contact abuse.

 

---

Étape 3 — Réputation d’une IP / d’un domaine (VT & AbuseIPDB)

Analyse

But : voir si l’indicateur est déjà signalé (spam, bruteforce, malware, C2…).

Mode d’emploi

1. VirusTotal : colle l’IP ou le domaine → lis l’onglet Reputation / Relations (détections, liens, graph).
   https://www.virustotal.com/
2. AbuseIPDB : colle l’IP → regarde le score, les derniers rapports, les types d’abus.
   https://www.abuseipdb.com/

Sources OSINT

• VirusTotal : https://www.virustotal.com/
• AbuseIPDB : https://www.abuseipdb.com/

Recommandations pratiques

• Ne pas uploader de fichiers internes sensibles sur VT : préfère rechercher par hash si tu en as un.
• Croise VT + AbuseIPDB : si les deux sont “sales”, c’est un fort signal.

 

---

Étape 4 — Services exposés (lecture Shodan)

Analyse

But : voir quels ports/protocoles sont exposés et lire les bannières (versions, certificats, erreurs).

Mode d’emploi

1. Va sur Shodan → cherche l’IP (ex. de démo : pas de résultat sur IP réservées, c’est normal).
   https://www.shodan.io/
2. Lis : ports, bannières, certificats TLS, éventuelles vulnérabilités répertoriées.
3. Ne scanne jamais toi-même un navire/port : Shodan est passif (déjà collecté).

Sources OSINT

• Shodan : https://www.shodan.io/

Recommandations pratiques

• Ports à risque fréquents : 22/SSH, 3389/RDP, 445/SMB, 80/443 (web mal configuré).
• Compare la bannière à ce qui est attendu chez ton fournisseur/service.

 

---

Étape 5 — E-mails : vérifier un cas de phishing (mini-routine)

Analyse

But : décider rapidement si un e-mail est risqué.

Mode d’emploi

1. Afficher l’expéditeur complet (adresse + reply-to).
2. Survoler les liens (sans cliquer) et noter l’URL réelle.
3. Vérifier WHOIS/RDAP du domaine (Étape 1) + réputation (Étape 3).
4. Si pièce jointe : ne pas ouvrir ; si tu as le hash, cherche-le sur VirusTotal.

Sources OSINT

• CERT-FR (fiches réflexes messagerie) : https://www.cert.ssi.gouv.fr/fiche/CERTFR-2024-RFX-003/
  et https://www.cert.ssi.gouv.fr/fiche/CERTFR-2024-RFX-004/
• Infographie ANSSI phishing :
  https://cyber.gouv.fr/sites/default/files/document/phishing_hameconnage_infographie_anssi.pdf

Recommandations pratiques

• Changement d’IBAN + urgence = drapeau rouge (procède à la double vérification hors e-mail).
• Préserve l’e-mail source (.eml) si tu dois escalader au SOC.

 

---

Étape 6 — Consolider & escalader (maritime)

Analyse

But : documenter proprement et escalader si nécessaire.

Mode d’emploi

1. Note date/heure UTC, URL, captures écran de chaque source (VT, AbuseIPDB, etc.).
2. Croise avec les bulletins CERT-FR, ENISA, France Cyber Maritime.
   • CERT-FR : https://www.cert.ssi.gouv.fr/
   • ENISA (maritime) : https://www.enisa.europa.eu/topics/cybersecurity-in-the-maritime-sector
   • France Cyber Maritime : https://www.france-cyber-maritime.eu/
   • IMO (référentiel cyber) :
     https://www.imo.org/en/OurWork/Security/Pages/Cybersecurity.aspx
3. Si impact exploitation maritime (NAV/OT, escale, bunkering…) : alerter CSO/DPA (armateur) ou PFSO (port).

Recommandations pratiques

• Reste OSINT et légal (lecture seule, pas de scans intrusifs).
• Tiens un journal d’investigation (captures, liens, hash) pour la traçabilité.

 

---

Récap express (ta mini-routine en 90 secondes)

1. WHOIS/RDAP (domaine/IP) → propriétaire + dates.
2. Réputation (VT + AbuseIPDB) → signalements ?
3. Shodan → ports/bannières (lecture seule).
4. Décision → surveiller / alerter SOC / bloquer (selon preuves).
5. Documenter & escalader (CERT-FR / France Cyber Maritime) si besoin.

un vrai dictionnaire exhaustif classé A → Z, qui couvre :

• ? Termes OSINT & cyber (APT, IoC, SIEM, etc.)
• ? Protocoles & ports (SSH, RDP, SMB, HTTP/HTTPS, DNS, etc.)
• ? Spécificités maritimes (AIS, ECDIS, GNSS, etc.)
• ? Institutions & normes (ANSSI, IMO, NIS2, etc.)

---

? Glossaire OSINT & Cybersécurité Maritime (A → Z)

---

A

• AIS (Automatic Identification System) : système d’identification automatique des navires (sécurité navigation). Vulnérable au spoofing.
• ANSSI : Agence Nationale de la Sécurité des Systèmes d’Information (France).
• APT (Advanced Persistent Threat) : menace persistante avancée, souvent sponsorisée par un État.
• ASN (Autonomous System Number) : identifiant unique d’un réseau Internet (ex : FAI).
• AbuseIPDB : base publique de réputation d’IP malveillantes.

B

• Botnet : réseau de machines compromises contrôlées par un attaquant.
• Bunkering fraud : fraude maritime liée à l’approvisionnement en carburant (ex : phishing avec changement d’IBAN).

C

• C2 (Command & Control) : serveur de contrôle utilisé par un malware pour piloter des machines compromises.
• CERT-FR : centre gouvernemental français de réponse aux incidents de cybersécurité.
• CSO (Company Security Officer) : responsable sûreté maritime dans une compagnie.
• CVE (Common Vulnerabilities and Exposures) : identifiant unique d’une vulnérabilité connue.

D

• DPA (Designated Person Ashore) : personne désignée à terre, responsable de la sûreté maritime.
• DNS (Domain Name System) : système de traduction des noms de domaine en adresses IP.
• DNSSEC (Domain Name System Security Extensions) : extension de sécurité pour authentifier les réponses DNS.

E

• ECDIS (Electronic Chart Display and Information System) : système de navigation électronique critique à bord.
• ENISA : agence européenne de cybersécurité.
• Europol EC3 : European Cybercrime Centre (spécialisé cybercriminalité).

F

• FCM (France Cyber Maritime) : centre français dédié aux incidents cyber maritimes.
• Firewall : dispositif qui filtre le trafic réseau entrant/sortant.
• Five Eyes : alliance de renseignement (US, UK, Canada, Australie, NZ).

G

• GNSS (Global Navigation Satellite System) : systèmes de navigation (GPS, Galileo, GLONASS, Beidou). Vulnérables au brouillage (jamming) et à l’usurpation (spoofing).
• Google Dorks : techniques de recherche avancées Google pour trouver des infos sensibles exposées.

H

• HIBP (Have I Been Pwned) : site vérifiant si un email/mot de passe a été compromis.
• HTTP (HyperText Transfer Protocol) : protocole web (port 80/tcp). Non chiffré → vulnérable.
• HTTPS (HyperText Transfer Protocol Secure) : protocole web chiffré (port 443/tcp).

I

• ICANN Lookup : service officiel pour vérifier l’enregistrement d’un domaine.
• ICS (Industrial Control System) : systèmes de contrôle industriels (ports, terminaux, énergie).
• IMO (International Maritime Organization) : organisation mondiale qui définit des normes maritimes.
• IP (Internet Protocol) : adresse unique identifiant un appareil sur Internet (IPv4/IPv6).
• IP Reputation : mesure de la fiabilité/malveillance d’une IP (VirusTotal, AbuseIPDB).
• ISAC (Information Sharing and Analysis Center) : centres de partage d’information sur les menaces.

J

• Jamming : brouillage d’un signal radio (souvent GPS/GNSS).

K

• Kerberos : protocole d’authentification réseau utilisé dans Active Directory. Vulnérable à certaines attaques (Kerberoasting).

L

• Log : journal d’événements (connexion, erreur, tentative d’accès).
• LOLBins (Living Off the Land Binaries) : outils légitimes utilisés à des fins malveillantes (ex. PowerShell).

M

• Malware : logiciel malveillant.
• MITRE ATT&CK : base de connaissances sur les tactiques/techniques des cyberattaquants.
• MTS-ISAC : Maritime Transportation System Information Sharing and Analysis Center (US).
• MFA (Multi-Factor Authentication) : authentification à plusieurs facteurs (mot de passe + code SMS, etc.).

N

• NAV/OT : systèmes de navigation et d’opérations techniques à bord des navires.
• NIS2 : directive européenne renforçant la cybersécurité (ports, transport maritime inclus).
• NATO CCDCOE : Cooperative Cyber Defence Centre of Excellence (OTAN).

O

• OSINT : renseignement en sources ouvertes, public et légal.
• OT (Operational Technology) : systèmes industriels/portuaires (contrôle grues, SCADA, etc.).

P

• PFSO (Port Facility Security Officer) : responsable sûreté d’une installation portuaire.
• Phishing : email frauduleux pour voler infos ou paiements.
• Port scanning : analyse des ports ouverts sur une IP.

Ports critiques courants :

• 22/SSH (Secure Shell) → connexion distante. Souvent bruteforcé.
• 3389/RDP (Remote Desktop Protocol) → prise de main Windows. Cible fréquente de ransomwares.
• 445/SMB (Server Message Block) → partage fichiers Windows. Exploité par WannaCry.
• 80/HTTP → site web non chiffré.
• 443/HTTPS → site web chiffré. Si mal configuré → vulnérabilités TLS/SSL.

Q

• QoS (Quality of Service) : gestion de la priorité du trafic réseau.

R

• Ransomware : logiciel chiffrant les données et exigeant une rançon.
• RDAP (Registration Data Access Protocol) : standard moderne de WHOIS.
• Reply-To : adresse de réponse d’un email (souvent différente, utilisée en phishing).

S

• SCADA (Supervisory Control And Data Acquisition) : systèmes de contrôle industriels (ports, énergie).
• Shodan : moteur de recherche d’appareils connectés exposés sur Internet.
• SIGINT (Signals Intelligence) : renseignement d’origine électromagnétique (satellite, radio).
• SIEM : outil de corrélation et d’alerte sur les logs.
• SMB (Server Message Block) : protocole de partage fichiers (Windows). Port 445.
• SOC (Security Operations Center) : cellule opérationnelle de cybersécurité.
• Spoofing : usurpation (d’adresse IP, email, AIS, GNSS…).
• SSH (Secure Shell) : protocole sécurisé de connexion distante. Port 22.
• SSL/TLS : protocoles de sécurisation des communications web (HTTPS).

T

• TTP (Tactics, Techniques, Procedures) : modes opératoires d’un attaquant.
• Typosquatting : enregistrement d’un domaine ressemblant à un vrai (ex : examp1e.com).

U

• UDP (User Datagram Protocol) : protocole réseau non fiable, utilisé pour DNS, VoIP, etc.

V

• VirusTotal : service d’analyse de réputation fichiers, domaines, IP.
• VPN (Virtual Private Network) : tunnel sécurisé entre deux réseaux.
• VPS (Virtual Private Server) : serveur virtuel, souvent utilisé par attaquants pour héberger leurs outils.

W

• WHOIS : service qui fournit les informations d’enregistrement d’un domaine ou d’une IP.
• Worm : ver informatique, se propageant sans action de l’utilisateur.

X

• XDR (Extended Detection and Response) : solution de sécurité qui agrège plusieurs sources de détection.

Y

• YARA : langage permettant de décrire et détecter des familles de malwares.

Z

• Zero-Day (0-day) : vulnérabilité inconnue du public et non corrigée.
• ZTA (Zero Trust Architecture) : approche de sécurité qui vérifie toutes les connexions, internes et externes.

---

? Ce glossaire couvre les bases + techniques réseau (SSH, HTTP, RDP, SMB, etc.) + maritime.