SecuBox — Fiche Évolution // CyberMind.FR

Qu'est-ce que SecuBox ?

SecuBox transforme un routeur OpenWrt en plateforme de cybersécurité complète — détection d'intrusion, inspection profonde de paquets, WAF applicatif et monitoring temps réel. Le tout open-source, certifiable ANSSI CSPN, et déployable sur du matériel à coût minimal.

🦅

CrowdSec

Threat Intelligence Collaborative

Détection comportementale + blocage IP via bouncer firewall. Intelligence partagée par le réseau communautaire mondial CrowdSec — chaque nœud renforce le collectif.

📊

Netdata

Monitoring temps réel

Métriques système et réseau à la seconde. Alertes intelligentes, tableaux de bord embarqués, corrélation automatique des anomalies.

🔍

Netifyd / nDPId

Deep Packet Inspection

Identification applicative du trafic réseau en temps réel. Classification des flux, détection des protocoles tunnelés, visibilité totale sur qui fait quoi.

🛡️

WAF MITM Proxy

Inspection Layer 7 transparente

Proxy MITM transparent intégré au routeur. Inspection SSL/TLS, 60+ signatures CVE actives (Log4Shell, Spring4Shell…), blocage applicatif en temps réel.

🌐

P2P Security Hub

Next Step — Réseau de confiance

Architecture pair-à-pair pour le partage de threat intelligence entre instances SecuBox. Identité cryptographique, consensus distribué, résilience maximale.

🏛️

ANSSI CSPN

Certification en préparation

Parcours de certification CSPN (Certification de Sécurité de Premier Niveau) auprès de l'ANSSI. Cible de sécurité, documentation de conformité, audit.

secubox@c3box ~ $

gandalf@c3box:~$ secubox status --summary
 
  ██ SecuBox v0.17-rc // MOCHAbin ARM64
  ├─ CrowdSec Engine    ● running  LAPI + Bouncer FW4
  ├─ CrowdSec WAF      ● running  mitmproxy L7 inspect
  ├─ Netdata Agent     ● running  1s granularity
  ├─ Netifyd DPI       ● running  br-lan + wan
  ├─ WireGuard         ● running  1 peer connected
  ├─ HAProxy           ● running  13 backends published
  └─ LuCI Dashboards   ● loaded  crowdsec + netdata + security-threats
 
  Services: 31 running | 13 published | 11 domains | 2 onion
  ✓ All systems operational

Modèle 3-Loop

L'architecture SecuBox repose sur trois boucles de rétroaction opérant à des échelles de temps différentes, du temps réel à la stratégie long terme.

01

RÉACTIVE

MILLISECONDES → MINUTES

Détection et blocage immédiat. CrowdSec analyse les logs en temps réel, le bouncer firewall bloque les IP malveillantes, le WAF intercepte les payloads applicatifs.

CrowdSec WAF MITM FW4 Bouncer

02

ADAPTATIVE

HEURES → JOURS

Corrélation et apprentissage. Netdata repère les anomalies systémiques, Netifyd classifie les flux, les patterns d'attaque enrichissent les scénarios CrowdSec.

Netdata nDPId Netifyd

03

ÉVOLUTIVE

SEMAINES → MOIS

Intelligence collective et évolution. Le P2P Hub partage la threat intelligence entre instances, les nouvelles signatures CVE sont propagées, le réseau de confiance grandit.

P2P Hub CSPN Audit CTI Feed

Stack technique

architecture overview

╔═══════════════════════════════════════════════════════╗
║          SECUBOX — DEFENCE IN DEPTH              ║
╠═══════════════════════════════════════════════════════╣
║                                                       ║
║  Layer 7  ┌──────────────────────┐                ║
║  App      │  WAF MITM Proxy        │  60+ CVE sigs  ║
║           │  mitmproxy + CrowdSec │                ║
║           └──────────┬───────────┘                ║
║                      │                                ║
║  Layer 4  ┌──────────┴───────────┐                ║
║  DPI      │  Netifyd / nDPId       │  Protocol ID   ║
║           └──────────┬───────────┘                ║
║                      │                                ║
║  Layer 3  ┌──────────┴───────────┐                ║
║  Net      │  CrowdSec Engine      │  LAPI + FW4    ║
║           │  Bouncer + Blocklists │                ║
║           └──────────┬───────────┘                ║
║                      │                                ║
║  Metrics  ┌──────────┴───────────┐                ║
║           │  Netdata + LuCI       │  1s granularity║
║           └──────────────────────┘                ║
║                                                       ║
║  Hardware: MOCHAbin / ARM64 / OpenWrt 23.05+       ║
╚═══════════════════════════════════════════════════════╝

Roadmap

De la preuve de concept au premier déploiement certifiable — quatre versions clés vers la « First Public Release ».

v0.15

OCT–NOV 2025

Foundation

Socle CrowdSec + Netdata sur OpenWrt. Premiers packages LuCI, bouncer firewall fonctionnel, monitoring embarqué. Validation de l'architecture sur MOCHAbin.

CrowdSec Netdata LuCI

v0.16

DÉC 2025

Deep Packet Inspection

Intégration Netifyd et nDPId pour la classification applicative du trafic. Dashboard « Security Threats » unifié. Service Registry avec 13 services publiés.

nDPId Netifyd Dashboard

v0.17 ← EN COURS

JAN–FÉV 2026

WAF Layer 7 + First Public Release

Le proxy MITM transparent ajoute l'inspection SSL/TLS et la détection CVE applicative. 60+ signatures actives. Documentation complète, bug bounty, préparation ANSSI. C'est la version de référence — le passage du proof-of-concept au produit déployable.

WAF MITM CrowdSec L7 Doc ANSSI Public Release

v0.18

Q2 2026

P2P Security Hub — Phase 1

Architecture pair-à-pair pour le partage de threat intelligence entre instances SecuBox. Identité cryptographique par nœud, discovery WireGuard, premiers échanges de blocklists.

P2P Hub WireGuard Mesh CTI Sharing

v0.19

Q3 2026

Certification & UX

Cible de sécurité ANSSI CSPN formalisée. Intégration finale, hardening des services, audit de conformité. Refonte UX des dashboards LuCI.

CSPN Audit UX Refonte Hardening

v0.20

Q4 2026

Release complète — Réseau de confiance

Version certifiable. P2P Hub en production, consensus distribué, propagation automatique des signatures. Feedback du réseau de confiance. Chaque nœud ajouté renforce le collectif.

Trust Network CSPN Ready CVE Auto-Update

P2P Security Hub

Le réseau de confiance SecuBox — chaque instance devient un nœud souverain qui partage et bénéficie de l'intelligence collective.

🔐

Identité cryptographique

Chaque nœud possède une paire de clés Ed25519. L'identité est indépendante de toute plateforme — preuve cryptographique, pas permission.

🔗

WireGuard Mesh

Transport chiffré entre pairs via WireGuard. Discovery automatique, topologie résiliente sans point central de défaillance.

📡

CTI Propagation

Les blocklists, signatures CVE et scénarios CrowdSec sont partagés en temps réel entre instances. Une attaque détectée ici protège là-bas.

secubox p2p status (preview)

gandalf@c3box:~$ secubox mesh status
 
  ██ SecuBox P2P Hub v0.18-dev
 
  Node ID : sb-gandalf-c3box-7f3a…e91d
  Peers   : 3 connected / 5 known
  Mesh    : ● healthy latency avg 12ms
 
  Last CTI sync : 2 min ago
  Shared IPs     : 1,247 blocklisted
  CVE sigs       : 67 active (+7 from peers)
  Trust score    : ██████████░ 94%
 
  ┌─ Peer: sb-node-paris   ● 8ms  ↑12 ↓8 sigs
  ├─ Peer: sb-node-lyon    ● 15ms ↑9  ↓14 sigs
  └─ Peer: sb-node-berlin  ● 22ms ↑5  ↓3 sigs

Parcours ANSSI CSPN

Certification de Sécurité de Premier Niveau — le parcours vers la reconnaissance officielle de la robustesse de SecuBox par l'autorité nationale.

Cible de sécurité

65%

Documentation technique

70%

Tests de conformité

40%

Audit sécurité (interne)

30%

Bug Bounty program

50%

Soumission CESTI

10%

📋

Cible de sécurité

Définition du périmètre, des biens sensibles, des menaces couvertes et des fonctions de sécurité. Document vivant qui évolue avec l'architecture.

🧪

Tests & Validation

Tests d'intrusion internes, fuzzing des interfaces, validation des mécanismes cryptographiques, vérification de la chaîne de confiance.

🏛️

Évaluation CESTI

Soumission à un Centre d'Évaluation agréé par l'ANSSI. Évaluation sur 25-35 jours·homme. Objectif : certification avant fin 2026.