SecuBox
CyberMind.FR • Édition Février 2026
suite de sécurité intelligente pour OpenWrt

SecuBox v0.17
First Public Release

Un routeur qui cesse d'être un simple boîtier et devient une sentinelle. CrowdSec natif, firewall nftables, WireGuard, monitoring, DPI, détection CVE Layer 7, et une trajectoire vers la certification ANSSI.

⚡ Démarrer 🔬 CVE Layer 7 🔒 Hardening
Mantra

« La sécurité n'est pas un produit, mais un processus. »

🛡️ Fonctionnalités clés

Suite intégrée: intelligence collective + durcissement + observabilité + inspection applicative.

  • CrowdSec Engine

    Blocklists et détection comportementale en temps réel (Layer 3/4).

  • mitmproxy InspectorNew

    Détection CVE Layer 7, routing HAProxy, addons Python extensibles.

  • Firewall nftables

    Zones, NAT, réputation IP, règles avancées.

  • VPN WireGuard

    Accès distant sécurisé sans ouvrir le WAN.

  • Monitoring Netdata & DPI

    Dashboards temps réel, alertes, et analyse applicative.

🗺️ Roadmap certification

Audit, pentest, puis soumission CSPN.

Q1 2026
Audit préliminaire + documentation technique
Q2 2026
Tests de pénétration + corrections
Q3-Q4 2026
Soumission au processus CSPN ANSSI
Installation rapide

opkg update && opkg install secubox

🔬 Innovation : Détection CVE Layer 7 Extensibilité CrowdSec

SecuBox étend les capacités de CrowdSec avec une inspection applicative temps réel via mitmproxy. Cette architecture unique combine défense périmétrique et analyse en profondeur.

🐝 CrowdSec (Layer 3/4)

• Blocklists IP collaboratives
• Réputation temps réel
• Filtrage périmétrique
• 70K+ utilisateurs, 10M+ signaux/jour

🔬 mitmproxy (Layer 7)

• Détection patterns CVE
• Inspection HTTPS/TLS
• Addons Python extensibles
• Logging menaces en temps réel

Architecture HAProxy → mitmproxy → Backends

🌐 INTERNET

HAProxy (80/443) Frontend: reçoit HTTPS • ACL: route par Host header
mitmproxy Inspector (8889) haproxy_router.py + secubox_analytics.py → /data/threats.log
Gitea :3000 Streamlit :8501 Glances :61208 LuCI :8081

Commandes mitmproxyctl

# Synchroniser les routes HAProxy vers mitmproxy
mitmproxyctl sync-routes

# Activer l'inspection (redirige tous les vhosts via mitmproxy)
mitmproxyctl haproxy-enable

# Désactiver l'inspection (restaure backends directs)
mitmproxyctl haproxy-disable

Format routes JSON

{
  "devel.cybermind.fr": ["192.168.255.1", 3000],
  "play.cybermind.fr": ["192.168.255.1", 8501],
  "*.maegia.tv": ["192.168.255.1", 7331]
}

Support wildcards *.domain.tld

Ports de référence

  • 8888 mitmproxy (mode proxy direct)
  • 8889 mitmproxy (inspection HAProxy)
  • 8081 mitmweb UI
💡 Défense en profondeur

CrowdSec bloque les IP malveillantes connues (Layer 3/4) tandis que mitmproxy inspecte le contenu applicatif pour détecter les exploits CVE et comportements suspects (Layer 7). Ensemble, ils offrent une protection unique sur plateforme OpenWrt.

💀 Ransomware: tactiques 2026

La menace aime l'extorsion silencieuse.

  • Exfiltration sans chiffrement

    Vol de données + extorsion, outils "légitimes" (Azure Copy), traces réduites.

  • Recrutement d'insiders

    Accès interne loué, pression ciblée, opportunisme post-layoffs.

  • DDoS bundlé

    RaaS enrichi: DDoS inclus pour retenir les affiliés (groupe Chaos).

Incidents récents

JLR (UK): £1.9 Mds • Oltenia Energy (RO) • BlackCat insiders (US): 2 pros cybersécurité poursuivis

🔒 Hardening OpenWrt

Surface minimale, VLANs, VPN.

Mot de passe root robusteImmédiat, non négociable.
SSH limité au LANDropbear sur LAN uniquement.
WAN en DROPInput et Forward (pas REJECT).
LuCI distant: seulement si nécessaireSinon: VPN / proxy durci.
VLANs: IoT / invités / principalSegmentation et règles minimales.
WireGuard plutôt que ports ouvertsWAN muet, admin propre.

🐝 CrowdSec + Extensibilité

Chaque SecuBox devient un capteur: défense collective renforcée, extensible via addons Python.

Réseau mondial

70 000+ utilisateurs • 190+ pays • 10M+ signaux/jour • 36% données exclusives

Bénéfices mesurés

Réduction 95% exploits de masse • Réduction 80% volume alertes • CTI collaborative

🔬 Extensibilité mitmproxy

Les addons Python (haproxy_router.py, secubox_analytics.py) permettent d'étendre la détection CrowdSec au Layer 7: patterns CVE, signatures applicatives, comportements suspects. L'architecture est ouverte aux contributions communautaires.

🎭 Deepfakes & phishing IA

La fraude prend une voix, une vidéo, un QR code. La défense devient un rituel de vérification.

  • Voice cloning

    Usurpation vocale pour autoriser des actions sensibles.

  • Deepfake vidéo BEC

    Visio temps réel: pression "urgence". Ex: Arup $25M.

  • QRishing

    QR piégés sur supports internes/événements.

  • DaaS (Deepfake-as-a-Service)

    Plateformes clé en main pour non-techniciens.

Protection (réflexes)

• Vérification multi-canal systématique
• Mots de code pour actions sensibles
• Zero Trust sur les demandes à distance
• Formation continue des équipes
• Procédures d'escalade documentées

📦 Démarrer

Installation, liens et export PDF.

Commande

opkg update && opkg install secubox

Ressources

GitHub: github.com/cybermind-fr/secubox-openwrt
Docs: secubox.cybermood.eu
Gitea: devel.cybermind.fr/gandalf/secubox-openwrt
Contact: contact@cybermind.fr