⚡ SECUBOX // RAPPORT TECHNIQUE × CYBER INTEL × BD

ANALYSE TECHNIQUE — NIVEAU EXPERT

SECUBOX — SECURITY SUITE OPENWRT
ARCHITECTURE × ZERO TRUST × CTI

CyberMind.FR // Gérald Kerma — v0.17+ // Feb. 2026

PLATFORMOpenWrt 23.05+ · Debian (portage)

HARDWAREESPRESSObin v7 · Sheeva64 · MOCHAbin

MODULES38+ modules LuCI intégrés

TARGETANSSI CSPN Q2-Q4 2026

PARADIGMEZero Trust / 3-Loop / P2P Mesh

🎯 POSITIONNEMENT STRATÉGIQUE SecuBox n'est pas un énième firewall : c'est une plateforme de sécurité modulaire combinant threat intelligence collaborative (CrowdSec), inspection profonde de paquets (nDPI/Netifyd), Zero Trust Access (WireGuard mesh + Auth Guardian), et NAC distribué (Client Guardian) — sur un hardware ARM embarqué à 64 Mo RAM. La cible de certification ANSSI CSPN impose un niveau d'audit que peu de produits commerciaux atteignent en France.

01 — ARCHITECTURE GLOBALE : 38 MODULES EN 6 FAMILLES

L'architecture suit un pattern hub-and-spoke centré sur le SecuBox Hub (dashboard unifié) avec RPCD + ubus + UCI comme backbone inter-modules. Chaque module est un package LuCI indépendant avec ACL granulaires.

🛡 SÉCURITÉ ACTIVE

CrowdSec Dashboard · Netifyd DPI · WAF MITM L7 · DNS Guard · Security Threats · Tor Shield · MITMProxy · KSM Manager

8 MODULES ✅

🔑 ACCÈS & IDENTITÉ

Client Guardian (NAC) · Auth Guardian (OAuth2/OIDC) · Exposure Manager · Key Storage Manager (HSM Nitrokey/YubiKey)

4 MODULES ✅

🌐 RÉSEAU & VPN

WireGuard Dashboard · Network Modes · VHost Manager (19 templates) · CDN Cache · Traffic Shaper · Bandwidth Manager

6 MODULES ✅

📊 MONITORING

Netdata Dashboard · System Hub · Media Flow · CyberFeed RSS · SecuBox Portal · SecuBox Admin

6 MODULES ✅

🧠 IA & P2P (v0.18+)

LocalAI Embedded · LiteLLM Gateway · MCP Agents · P2P Threat Intel (gossip) · Mirror AI Inference · did:plc Identity

EN DEV 🔄

🏭 FABRIQUE & INFRA

SecuBox Factory · MirrorNetworking · Matrix Fédéré · VoIP P2P · GitHub Actions CI/CD (26 archs) · Crowdfunding Q2 2026

PLANIFIÉ 📅

02 — MODÈLE 3-LOOP : ARCHITECTURE DE SÉCURITÉ ADAPTATIVE

Inspiré des modèles OODA et MTTD/MTTR, SecuBox implémente trois boucles de feedback opérant à des timescales différents. C'est le cœur architectural qui différencie SecuBox d'un firewall statique.

RÉACTIVE — ms/sec

nftables XDP pre-filter · CrowdSec bouncer (nftables ipsets) · Netifyd DPI Layer 7 · décision <1ms · Blocage temps réel sur IoC

TACTIQUE — min/heure

CrowdSec LAPI local · parseurs logs + scénarios · corrélation multi-sources · Alerting Netdata · Adaptation règles dynamique

STRATÉGIQUE — jour/semaine

CrowdSec CAPI (intel communautaire) · P2P Hub gossip (v0.18) · Mise à jour blocklists · Évolution modèles · Scoring réputation did:plc

📐 COHÉRENCE ARCHITECTURALE Les 3 loops sont orthogonaux et indépendants en cas de défaillance : Loop 1 fonctionne sans LAPI (fail-secure). Loop 2 fonctionne sans CAPI (mode offline). Loop 3 est optionnel mais démultiplicateur. Cette résilience est un argument CSPN majeur : aucun SPOF fonctionnel.

03 — ZERO TRUST ARCHITECTURE : IMPLÉMENTATION SECUBOX

Zero Trust ≠ "tout chiffrer et tout bloquer". C'est un modèle d'évaluation continue de confiance : never trust, always verify, assume breach. Mapping NIST SP 800-207 sur l'architecture SecuBox.

PILIER ZERO TRUST (NIST 800-207)	IMPLÉMENTATION SECUBOX	MODULE	NIVEAU
Identity — User	OAuth2/OIDC, vouchers temporaires, MFA optionnel	Auth Guardian	COMPLET
Identity — Device	Profiling DPI + TLS fingerprint (JA3/JA4) + MAC + 802.1X optionnel	Client Guardian + Netifyd	PARTIEL
Network Segmentation	Zones nftables (WAN/LAN/Guest/IoT/DMZ) + Network Modes (5 topologies)	Network Modes + FW	COMPLET
Application Access	Reverse proxy WAF L7 + VHost Manager 19 templates + inspection CVE	WAF MITM + VHost	COMPLET
Data Protection	WireGuard E2E + Key Storage Manager (Nitrokey/YubiKey HSM) + TLS terminaison	WireGuard + KSM	COMPLET
Visibility & Analytics	Netdata (métriques) + CrowdSec (alertes) + Netifyd (flows) + CyberFeed RSS	Monitoring Stack	COMPLET
Automation & Orchestration	RPCD/ubus UCI automation · GitHub Actions CI/CD · En cours : LocalAI agents MCP	Infra + v0.18	PARTIEL → WIP
Continuous Verification	CrowdSec scoring continu + reputation did:plc (v0.18) + Loop 2 adaptive	CrowdSec + P2P Hub	PARTIEL → WIP

⚠ GAPS ZERO TRUST IDENTIFIÉS 1. Device certificate PKI : Pas de PKI interne actuellement — 802.1X partiel. Client Guardian fait du profiling comportemental mais pas de vérification cryptographique device. Impact CSPN : à documenter dans la cible de sécurité.
2. Continuous session re-verification : Auth Guardian authentifie à l'entrée mais ne réévalue pas en continu. Loop 2 peut déclencher un blocage CrowdSec mais pas une révocation de session Auth Guardian active. Gap d'intégration inter-modules.
3. Micro-segmentation L7 : Network Modes couvre les zones réseau mais pas la segmentation par application à l'intérieur d'une zone (e.g. container-to-container). Hors scope v0.17, nécessite overlay SDN.

04 — THREAT INTELLIGENCE CTI : STACK COLLABORATIF

COMPOSANT CTI	RÔLE	TIMESCALE	SOURCE INTEL	NIVEAU PREUVE
CrowdSec LAPI local	Collecte logs, évalue scénarios, décisions locales	Real-time	Locale uniquement	PRODUCTION
CrowdSec CAPI	Upstream intel communautaire, blocklists validées	Horaire	+1M boxes CrowdSec	PRODUCTION
Netifyd/nDPI	DPI 300+ protocoles, TLS fingerprint JA3/JA4, flow metadata	Per-packet	Signatures locales	PRODUCTION
DNS Guard	AdGuard + Vortex DNS, blocage domaines malveillants	Per-query	Listes DNS communautaires	PRODUCTION
WAF L7 MITM	Inspection trafic HTTP/S, détection CVE layer applicatif	Per-request	Signatures CVE locales	PRODUCTION partiel
CyberFeed RSS	Agrégation feeds OSINT/CERT/ANSSI	Journalier	CERT-FR, ENISA, NVD...	VEILLE passive
P2P Gossip Hub (v0.18)	IoC signés did:plc propagés entre boxes peers	Sub-minute	Réseau SecuBox pairs directs	EN DEV
Mirror Reputation (v0.18)	Scoring pondéré des pairs par historique + trust level	Continu	Interactions inter-boxes	EN DEV

✅ AVANTAGE CTI DIFFÉRENCIANT La combinaison CrowdSec CAPI (intelligence collaborative mondiale) + P2P gossip local (intelligence de voisinage signée cryptographiquement) est architecturalement unique sur le marché des appliances embarquées. VyOS, pfSense, OPNsense n'ont aucun équivalent. Coût de réplication : 3-5 ans d'avance.

05 — COMPARATIF CONCURRENTIEL

CRITÈRE	SecuBox	VyOS	pfSense/OPNsense	Firewalla Gold
Hardware cible	ARM 64MB RAM	x86-64 512MB+	x86-64 1GB+	ARM propriétaire
Threat Intel collaborative	CrowdSec CAPI + P2P	Suricata seul	pfBlocker lists	Threat Intel interne
DPI Layer 7	nDPI + Netifyd	nDPI optionnel	Zeek optionnel	nDPI basique
Zero Trust Access	WireGuard + Auth Guardian + Client Guardian	WireGuard basique	OpenVPN + 2FA	WireGuard limité
HSM Support	Nitrokey + YubiKey	Non	Non	Non
Certification visée	ANSSI CSPN + ENISA EUCC	Aucune	Aucune	FCC/CE basic
Open Source	100% OpenWrt/GitHub	Partiellement	Oui	Non
IA embarquée	LocalAI P2P (v0.18)	Non	Non	Non
Prix hardware	~80-150€ (ESPRESSObin)	VM/bare-metal	~200-1000€	~350€

06 — ROADMAP CERTIFICATION ANSSI CSPN

PHASE	PÉRIODE	LIVRABLES	STATUT
1 — Baseline	Q1 2025	Architecture 38 modules · GitHub CI/CD · Tests fonctionnels	✅ FAIT
2 — Hardening	Q2-Q3 2025	ACL RPCD granulaires · Audit logging · Intégration HSM	✅ FAIT
3 — Documentation CSPN	Q4 2025 – Q1 2026	Cible de sécurité · Fonctions de sécurité · Documentation évaluateur	🔄 EN COURS
4 — Pré-évaluation	Q2 2026	Audit interne penetration test · Bug bounty · Correction vulnérabilités	📅 PLANIFIÉ
5 — Évaluation CESTI	Q3-Q4 2026	Quarkslab / Synacktiv / Amossys · Tests CSPN officiels	📅 PLANIFIÉ
6 — Certification	Q1 2027	Visa de sécurité ANSSI + Début ENISA EUCC	📅 PLANIFIÉ

⚠ RISQUES TECHNIQUES CSPN IDENTIFIÉS 1. Périmètre d'évaluation : 38 modules = périmètre trop large pour une CSPN standard. Recommandation : cible restreinte au "Security Core" (CrowdSec + Firewall + Auth Guardian + WireGuard) pour v1.0 CSPN.
2. Gestion des clés : KSM/HSM implémenté mais la chaîne de confiance boot (secure boot Marvell ARM) est incomplète. Risque rollback firmware non atténué.
3. Dépendances tierces : CrowdSec (SAS français), Netifyd (ntopng group) — nécessite cartographie dépendances pour dossier ENISA.
4. Cryptographie : WireGuard (Curve25519/ChaCha20) est validé. Les ciphers TLS des autres services nécessitent audit (Nginx, HAProxy) pour conformité ANSSI RGS.

07 — PERFORMANCE & CONTRAINTES HARDWARE

MÉTRIQUE	TARGET	MESURÉ (ESPRESSObin v7)	STATUS
Décision firewall packet	<1ms	~0.3ms (nftables)	✅ OK
Classification DPI first packet	<10ms	~8ms (nDPI)	✅ OK
Propagation bouncer CrowdSec	<1s	<500ms	✅ OK
Footprint mémoire base	<64MB	~45MB typique	✅ OK
Throughput WireGuard	>100 Mbit/s	~180 Mbit/s (NEON ARM)	✅ OK
Latence LocalAI (v0.18)	<3s pour prompt court	TBD (quant. 4-bit requis)	🔄 EN TEST
P2P gossip latence	<60s propagation	TBD	📅 À MESURER

08 — SYNTHÈSE ANALYTIQUE

VERDICTS — SANS FORMULATION VAGUE

MATURITÉ TECHNIQUELe cœur Security (Loops 1+2) est production-ready sur ESPRESSObin. 38 modules opérationnels en v0.17 est remarquable pour un développeur solo. La dette technique principale est l'intégration inter-modules (ex. révocation session Auth Guardian depuis CrowdSec) — adressable pré-CSPN.

DIFFÉRENCIATION RÉELLE3 éléments non-reproductibles à court terme : (1) CrowdSec + P2P gossip intel sur ARM embarqué, (2) HSM Nitrokey intégré dans LuCI, (3) LocalAI P2P inference sur mesh WireGuard. Aucun concurrent n'a cette combinaison. C'est le moat technologique.

RISQUE PRINCIPAL CSPNLe périmètre de 38 modules est rédhibitoire pour une première certification CSPN. La stratégie optimale : "SecuBox Core" = 6-8 modules (Hub + CrowdSec + Firewall + WireGuard + Auth Guardian + Client Guardian) pour la v1.0 certifiée. Les autres modules en "extension non certifiée" documentée.

ZERO TRUST RÉALISTESecuBox implémente 6/8 piliers NIST 800-207. Les deux gaps (device certificate PKI et continuous session verification) sont des projets en soi, pas des oublis. À documenter honnêtement dans la cible de sécurité comme "hors périmètre v1.0" avec roadmap.

P2P HUB (v0.18) — VERDICTL'architecture MirrorNet est conceptuellement solide (did:plc + WireGuard mesh + gossip protocol). Le risque n'est pas technique mais opérationnel : la sécurité d'un gossip protocol dépend entièrement de la fiabilité du scoring de réputation. Un nœud compromis qui forge des IoC signés peut propager de la fausse intel. Modèle de menace à documenter impérativement.

BUDGET CERTIFICATIONCSPN réaliste : 60-120k€ (dont 15-30k€ CESTI, le reste en préparation). Crowdfunding 50k€ + partenariats GlobalScale + subvention BPI (France 2030 cybersécurité) = montage viable. La timeline Q1 2027 est tendue mais réaliste si la cible de sécurité est finalisée en Q2 2026.

⚠ CLASSIFICATION : TOP SECRET CYBER // OPÉRATION SECUBOX — ACCÈS RESTREINT NIVEAU 5 ⚠

SECUBOX SITREP

// SITUATION REPORT — OPÉRATION FORTERESSE NUMÉRIQUE //

⚡ CODENAME : MIRRORNET — ACTIVATED ⚡

DE :⚡ GANDALF // CyberMind.FR // NOTRE-DAME-DU-CRUET

À :🛡 TOUTES UNITÉS RÉSEAU — ADOPTION PRIORITAIRE

OBJET :OPÉRATION SECUBOX v0.17 — DÉPLOIEMENT FORTERESSE ZÉRO TRUST SUR HARDWARE ARM

PRIORITÉ :🔴 CRITIQUE // CERTIFICATION ANSSI CSPN EN COURS

PÉRIODE :Q1 2026 → Q1 2027 // FINANCEMENT CROWDFUNDING Q2 2026

SECTION 1 — ÉTAT DE LA MENACE TERRAINSECT-01

🎖️

OFFICIER RENSEIGNEMENT
Gandalf, tes réseaux domestiques et PME sont des passoires. 95% des "firewalls" grand public font du NAT en espérant que l'ennemi ne toque pas. C'est une stratégie de l'autruche. Pas du Zero Trust.

🧙

GANDALF // CyberMind
Affirmatif. J'ai passé 35 ans à observer l'évolution des menaces. La réponse actuelle du marché ? Des boîtes noires à 350€ qui "font de l'IA" avec un modèle de 2020. SecuBox fait différemment.

🎖️

OFFICIER RENSEIGNEMENT
Et l'ANSSI valide cette approche ? Ça vaut quelque chose en France une CSPN ?

🧙

GANDALF // CyberMind
La seule certification française qui oblige à ouvrir le code à un labo (CESTI) pour un audit complet. Quarkslab, Synacktiv, Amossys. Les mêmes qui cassent des produits à 5000€. C'est exactement là où je veux aller.

ÉTAT DES FORCES

38+MODULES

LuCI intégrés v0.17

26ARCHS

CI/CD multi-architecture

1M+INTEL NODES

CrowdSec community

64MBRAM ONLY

ESPRESSObin v7

SECTION 2 — ARCHITECTURE DU DISPOSITIFSECT-02

⚙ DOCTRINE OPÉRATIONNELLE : 3-LOOP SECURITY
SecuBox n'est pas un firewall. C'est un système de feedback adaptatif à trois niveaux :

⚡ LOOP 1 — Réactive (<1ms) : nftables XDP + CrowdSec bouncer. Le bouclier qui ne dort jamais.
🧠 LOOP 2 — Tactique (min/heure) : CrowdSec LAPI + scénarios. L'intelligence qui apprend.
🌍 LOOP 3 — Stratégique (jour/semaine) : CAPI communautaire + P2P gossip (v0.18). La mémoire collective.

MODULE	MISSION	EFFICACITÉ	STATUS
🦅 CrowdSec	Threat Intel collaborative — 1M+ sources, scores IP en temps réel	★★★★★ — LE MVP absolu	✅ DÉPLOYÉ
🔍 Netifyd DPI	300+ protocoles, JA3/JA4 TLS fingerprint, flow metadata	★★★★★ — Invisible aux attaquants	✅ DÉPLOYÉ
🔒 WireGuard	VPN mesh E2E — Curve25519/ChaCha20, QR codes, kill-switch	★★★★★ — Meilleur VPN open source	✅ DÉPLOYÉ
🛡 WAF L7 MITM	Inspection CVE HTTP/S, MITMProxy intégré, blocage applicatif	★★★★☆ — Périmètre à élargir	✅ DÉPLOYÉ
👤 Client Guardian	NAC comportemental + portail captif + profiling device	★★★★☆ — PKI device manquant	✅ DÉPLOYÉ
🔑 Auth Guardian	OAuth2/OIDC + vouchers temporaires + MFA optionnel	★★★☆☆ — Révocation session = gap	✅ DÉPLOYÉ
🧠 P2P Hub	Gossip IoC signés did:plc + Mirror AI + MirrorNetworking	★★★★★ — Si bien implémenté	🔄 EN DEV v0.18
🏭 SecuBox Factory	Auto-provisioning boxes mesh, déploiement ZTP	★★★★★ — Game changer	📅 v1.0

SECTION 3 — INTEL ZERO TRUST : ÉTAT RÉELSECT-03

🔎

ANALYSTE ZERO TRUST
NIST 800-207 : 8 piliers. SecuBox v0.17 en couvre 6 complètement. Les 2 gaps sont Device PKI et Continuous Session Verification. Ce sont des lacunes réelles — pas des options.

🧙

GANDALF // CyberMind
Exact. Et documentés dans la cible de sécurité CSPN. Ce n'est pas une faiblesse — c'est de l'honnêteté architecturale. Aucun concurrent ne fait mieux sur ARM 64Mo. Certains font semblant.

🟢 ZERO TRUST — IMPLÉMENTÉ

⚡ Identity (user) : OAuth2/OIDC Auth Guardian

🌐 Network segmentation : 5 modes, zones nftables

🛡 App access : WAF L7 + VHost 19 templates

🔐 Data protection : WireGuard E2E + KSM HSM

👁 Visibility : Netdata + CrowdSec + Netifyd flows

🌍 Threat intel : CrowdSec CAPI 1M+ sources

🔴 ZERO TRUST — GAPS v0.17

💀 Device PKI : Pas de certificats cryptographiques device

💀 Continuous verification : Auth Guardian = auth one-shot

⚠ Micro-segmentation L7 : Pas d'isolation container-to-container

⚠ Secure boot : Chaîne de confiance boot ARM incomplète

ℹ Automation ZT : Agents MCP = v0.18 seulement

SECTION 4 — MENACES CTI : CARTE DU CHAMP DE BATAILLESECT-04

INTELLIGENCE EN TEMPS RÉEL

📡 ARCHITECTURE CTI MULTI-COUCHES

TIER 1 (ms) → nftables XDP + CrowdSec bouncer → Blocage immédiat IoC connus
TIER 2 (secondes) → Netifyd DPI + JA3/JA4 → Détection protocole/comportement
TIER 3 (minutes) → CrowdSec LAPI scénarios → Corrélation multi-événements
TIER 4 (heures) → CrowdSec CAPI → Intel communautaire 1M+ boxes
TIER 5 (v0.18) → P2P gossip did:plc → Intel réseau SecuBox peers signée

SECTION 5 — MIRRORNET : OPÉRATION DÉCENTRALISATION TOTALESECT-05

😱

INGÉNIEUR RÉSEAU
Attends. Tu proposes de partager de la threat intelligence P2P entre routeurs de particuliers... sans serveur central... avec des signatures cryptographiques did:plc... c'est du gossip protocol sur WireGuard mesh. C'est fou.

🧙

GANDALF // CyberMind
Exactement. Box A détecte un brute-force SSH depuis IP X. Signe l'IoC avec sa clé did:plc. Broadcast gossip au mesh. Box B, C bloquent l'IP AVANT d'être ciblées. Ça s'appelle collective defense. C'est ce que les militaires font depuis 1950.

😱

INGÉNIEUR RÉSEAU
Et si un nœud est compromis et injecte de la fausse intel ?

🧙

GANDALF // CyberMind
Mirror Reputation. Scoring pondéré par historique des interactions. Un nœud compromis voit sa réputation s'effondrer quand ses IoC ne se confirment pas. Pas d'effondrement — downgrade progressif. Exactement comme le système de réputation Bitcoin.

🚨 VECTEUR D'ATTAQUE MIRRORNET — MODÈLE DE MENACE
Sybil attack : Un attaquant crée N faux nœuds SecuBox avec de vraies clés did:plc et injecte coordonnément de la fausse intel pour faire blacklister des IP légitimes.

Contre-mesure planifiée : Trust bootstrap = seuls les nœuds avec historique >30 jours et >N confirmations entrent dans le trust-high tier. Nouveaux nœuds = observation seulement. Ce modèle de menace DOIT être dans la documentation CSPN.

SECTION 6 — ROADMAP CERTIFICATION : ORDRE DE MISSIONSECT-06

🎯 RÉDUIRE LE PÉRIMÈTRE CSPN

38 modules = refus CESTI garanti. "SecuBox Core" : Hub + CrowdSec + Firewall + WireGuard + Auth Guardian + Client Guardian. 6 modules seulement. Tout le reste en "extension non certifiée". Décision MAINTENANT.

📝 RÉDIGER LA CIBLE DE SÉCURITÉ

Format ANSSI : Bien d'évaluation · Fonctions de sécurité · Hypothèses · Menaces · Objectifs de sécurité. Document de 50-80 pages. À commencer Q2 2026. Sans ce doc, pas d'évaluation CESTI possible.

🔐 RÉSOUDRE LES GAPS CRYPTO

Audit TLS (Nginx, HAProxy) → conformité ANSSI RGS. Secure boot ARM → chaîne de confiance complète. Ces deux points sont des conditions CSPN non-négociables.

🐛 BUG BOUNTY AVANT CESTI

Lancer programme bug bounty Q2 2026 (avant crowdfunding). Quarkslab propose souvent des pré-audits informels. Trouver les trous avant que le CESTI les trouve. Coût : 5-15k€. Économie : corriger les findings après CESTI = 3-6 mois de délai.

💰 MONTAGE FINANCIER CERTIFICATION

Crowdfunding 50k€ + BPI France 2030 (cybersécurité) + partenariat GlobalScale. Budget total estimé : 60-120k€. CESTI seul : 15-30k€. Le reste : préparation + documentation + corrections. Timeline Q1 2027 réaliste.

🌍 APRÈS CSPN : STRATÉGIE EUCC

ENISA EUCC = Common Criteria européen. Si CSPN Core v1.0 réussit → dossier EUCC sur périmètre étendu (+ WAF + DPI + P2P Hub) pour 2027-2028. L'Europe cloud souverain (GAIA-X) cherche exactement ce profil.

// ACCÈS BASE OPÉRATIONNELLE //

>> secubox.gk2.net

// github.com/gkerma/secubox-openwrt //

⚠ FIN TRANSMISSION — OPÉRATION SECUBOX — DÉPLOIEMENT AUTORISÉ ⚠

✦ OPEN SOURCE × ANSSI CSPN ✦

🛡

SECUBOX

LA FORTERESSE DANS TA PRISE

Zero Trust. 38 modules. 64 Mo de RAM.
Certification ANSSI CSPN en cours.
Ton ISP flippe. Les hackers aussi. ⚡

Version BD Hacker Turbo • Gandalf / CyberMind.FR • Feb 2026

CHAPITRE 01

🤯 WTF IS SECUBOX ?

😤

Ma box FAI "fait de la sécurité". Freebox, Livebox, tout ça... c'est bon non ?

🧙

Ta Livebox fait du NAT et prie. C'est l'équivalent de mettre un paillasson devant Fort Knox et espérer que personne ne lise "BIENVENUE".

😤

Et t'as inventé quoi de mieux ?

🧙

Un routeur OpenWrt sur ARM à 100€ avec 38 modules de sécurité, intelligence collaborative sur 1 million de sources mondiales, et une certification ANSSI en cours. Sur 64 Mo de RAM.

😤

64 méga... comme mon premier PC en 1994 ?

🧙

Ton premier PC ne pouvait pas arrêter une APT. SecuBox oui.

CHIFFRE DE L'ABSURDE64 Mo

La RAM disponible sur ESPRESSObin v7 pour faire tourner SecuBox complet. Firewalla Gold à 350€ en consomme 4x plus. pfSense recommande 1 Go. SecuBox : 45 Mo typique. L'efficacité n'est pas une option — c'est une contrainte architecturale.

📊 TABLEAU DE BORD SECUBOX v0.17

🛡 Modules actifs

38 modules LuCI

✅

⚡ Latence firewall

0.3ms — nftables XDP

🚀

🌍 Sources CTI

CrowdSec 1M+ boxes

🧠

🔒 VPN throughput

180 Mbit/s WireGuard

💨

📜 Certification

ANSSI CSPN — Q1 2027

🎯

CHAPITRE 02

⚡ L'ARCHITECTURE 3-LOOP

SecuBox n'est pas un produit — c'est un système de pensée implémenté en silicium. Trois boucles de feedback opérant en parallèle. Comme un organisme vivant.

🎓

C'est quoi la différence entre un firewall normal et SecuBox concrètement ?

🧙

Un firewall normal : règle statique. "IP X → BLOQUER". Fin. SecuBox : 3 boucles. La première bloque en 0.3ms. La deuxième apprend en minutes. La troisième partage l'intelligence avec 1 million de boxes dans le monde.

⚡

LOOP 1 — ms

RÉACTIVE
nftables XDP
CrowdSec bouncer
Décision <1ms
Aucun humain impliqué

🧠

LOOP 2 — min

TACTIQUE
LAPI + scénarios
Corrélation logs
Adaptation règles
Alerting Netdata

🌍

LOOP 3 — jour

STRATÉGIQUE
CrowdSec CAPI
P2P gossip (v0.18)
Intel communautaire
Évolution modèles

FAIL-SECURE !

💡 LA PROPRIÉTÉ CRITIQUE
Chaque loop fonctionne indépendamment si les autres tombent.
Loop 1 marche sans LAPI (fail-secure). Loop 2 marche sans CAPI (offline mode). Loop 3 est additive.
Résultat : aucun Single Point Of Failure fonctionnel. Argument CSPN central.

CHAPITRE 03

🦅 CROWDSEC — L'INTELLIGENCE COLLECTIVE

🎖️

CrowdSec... c'est pas juste un fail2ban avec un dashboard ?

🧙

Fail2Ban voit les attaques sur ton serveur. CrowdSec voit les attaques sur 1 million de serveurs simultanément. Quand une IP attaque Berlin, ta box à Chambéry bloque AVANT qu'elle tente chez toi. C'est ça la collective defense.

🎖️

Et la vie privée dans tout ça ?

🧙

Les IP de tes utilisateurs ne sortent pas. Seuls les IP des attaquants sont signalées. SAS français, RGPD-compliant. L'ANSSI les a étudiés pour CSPN. C'est un argument, pas un problème.

🦅 CROWDSEC DANS SECUBOX

⚡ Bouncer nftables → blocage <500ms

🌍 CAPI : 1M+ sources Intel mondiale

📊 Dashboard LuCI intégré

🔍 Scénarios adaptatifs (SSH, HTTP, DDoS...)

🏷 Métadonnées flow Netifyd → enrichissement

🛡 Blocklist DNS Guard synchronisée

☠️ SANS CROWDSEC

IP brute-forcent SSH toute la nuit

Bot scanne tes ports pendant des heures

Tor exit node tente tes services web

Intelligence = zéro externe

Règles statiques écrites en 2019

Fail2Ban regarde son seul nombril

STAT CTI1M+

Le nombre de boxes CrowdSec actives qui contribuent à la threat intelligence communautaire. Chaque nouvelle IP malveillante détectée par une box renforce la protection de toutes les autres. SecuBox en est membre actif. Tu es protégé par les expériences de Berlin, Tokyo, São Paulo — en temps réel.

CHAPITRE 04

🔐 ZERO TRUST — JAMAIS CONFIANCE

😰

Zero Trust... ça veut dire "faire confiance à personne" ? Même mes propres employés ?

🧙

Exactement. "Never trust, always verify, assume breach." Même l'appareil déjà sur ton réseau doit se ré-authentifier. Le hacker qui a volé le laptop de ton commercial = ta menace intérieure numéro 1.

😰

Et SecuBox implémente tout ça ?

🧙

6 piliers sur 8 du NIST 800-207. Les 2 gaps (PKI device + révocation continue de session) sont documentés honnêtement dans la cible CSPN. Les concurrents qui prétendent le contraire mentent.

🔑

AUTH GUARDIAN

OAuth2/OIDC pour toutes les apps. Vouchers temporaires pour les invités. MFA optionnel. SSO unifié. Chaque accès = vérification complète.

👤

CLIENT GUARDIAN

NAC comportemental. Profiling device via DPI + TLS fingerprint JA3/JA4. Portail captif. Quarantaine automatique. L'inconnu = isolé par défaut.

🌐

NETWORK MODES

5 topologies : Bridge, AP, Router, Relay, Passive. Zones strictes : WAN/LAN/Guest/IoT/DMZ. Chaque zone = politique indépendante.

🔒

WIREGUARD MESH

Curve25519 + ChaCha20Poly1305. QR codes intégrés. Kill-switch. Le VPN le plus audité du monde. Sur ARM à 180 Mbit/s.

⚠ GAPS HONNÊTES — VERSION 0.17
PKI Device : Pas de certificats cryptographiques par appareil. Client Guardian profiling ≠ certification. À ajouter avant CSPN.
Session continue : Auth Guardian authentifie à l'entrée. Si CrowdSec blackliste un user mi-session : pas de révocation automatique. Gap d'intégration inter-modules documenté.

CHAPITRE 05

🔍 VOIR À TRAVERS LES PACKETS

Netifyd + WAF L7 = les yeux de SecuBox. Ils voient ce que les firewalls classiques ne voient pas : ce qui est dans les paquets, pas juste leur adresse.

🎓

Mais si c'est chiffré en TLS, tu peux pas voir dedans non ?

🧙

TLS cache le contenu. Mais pas le comportement. JA3/JA4 fingerprint : chaque client TLS a une "signature de poignée de main" unique. Metasploit, Cobalt Strike, Mimikatz — ils ont chacun leur JA3. On les reconnaît avant qu'ils ouvrent la bouche.

🔍

NETIFYD DPI

300+ protocoles reconnus. TLS JA3/JA4 fingerprint. Flow metadata. Identification même sur trafic chiffré. Layer 7 sans déchiffrer.

🛡

WAF MITM L7

Inspection HTTP/S complète. Détection CVE applicatif. MITMProxy intégré. Blocage payload malveillant avant serveur.

🌐

DNS GUARD

AdGuard + Vortex DNS. Blocage domaines C2/phishing/malware. Chaque query DNS = vérification. DNS over HTTPS optionnel.

🕵️

TOR SHIELD

Détection + politique configurable. Tor n'est pas interdit — mais doit être visible. Décision de l'admin, pas de la box.

FEAT. DE OUFJA3/JA4

TLS fingerprinting : chaque client (navigateur, malware, outil d'attaque) génère une "signature" unique dans le handshake TLS — avant même l'échange de données. Cobalt Strike a un JA3 connu. SecuBox le bloque avant qu'il dise bonjour.

CHAPITRE 06

🪞 MIRRORNET — LE FUTUR EST P2P

v0.18 en développement. L'idée la plus ambitieuse du projet : chaque box SecuBox devient un nœud d'un réseau d'intelligence décentralisé. Zéro serveur central. Zéro SPOF.

🤯

Attends... les boxes vont se parler entre elles directement ?

🧙

Gossip protocol sur WireGuard mesh. Box A détecte une attaque, signe l'IoC avec sa clé did:plc, broadcast au mesh. Box B et C bloquent AVANT d'être ciblées. Pas de serveur au milieu. Pas de single point of failure.

🤯

Et si une box est hackée et injecte de la fausse intel ?

🧙

Mirror Reputation : scoring pondéré par historique. Ses faux IoC ne se confirment pas → réputation s'effondre → downgrade automatique. Pas d'effondrement réseau — isolation progressive du nœud corrompu.

🛡

MIRROR THREAT

IoC signés did:plc
Gossip WireGuard mesh
Blocage proactif avant ciblage
Décentralisé total

🧠

MIRROR AI

LocalAI P2P
Inférence distribuée
Mistral 7B quantifié
Analyse logs on-device

🔑

MIRROR REPUTATION

Scoring did:plc
Trust High/Medium/Low
Bootstrap 30j historique
Sybil-resistant

⚠ MODÈLE DE MENACE MIRRORNET
Sybil attack : N faux nœuds créent de fausses clés did:plc et injectent coordonnément de la fausse intel.
Contre-mesure : nouveaux nœuds = observation seulement pendant 30 jours. Trust High reqiert N confirmations indépendantes. Documenté dans la cible CSPN obligatoirement.

CHAPITRE 07

📜 L'ODYSSÉE ANSSI CSPN

🎖️

CSPN c'est quoi exactement ? Pourquoi c'est difficile ?

🧙

Certification de Sécurité de Premier Niveau. Un labo agréé ANSSI (Quarkslab, Synacktiv, Amossys) essaie activement de casser le produit pendant 2-3 mois. Pentest, fuzzing, analyse code source, cryptographie. Si ça résiste → visa de sécurité ANSSI.

🎖️

Ça coûte combien ?

🧙

CESTI seul : 15-30k€. Préparation + documentation + corrections post-audit : 45-90k€ de plus. Total réaliste : 60-120k€. D'où le crowdfunding 50k€ + BPI France 2030 + GlobalScale.

✅

Q1 2025 — BASELINE

38 modules déployés. GitHub CI/CD 26 archs. Tests fonctionnels. C'est fait.

✅

Q3 2025 — HARDENING

ACL RPCD granulaires. Audit logging. HSM Nitrokey/YubiKey intégré. C'est fait.

🔄

Q1 2026 — CIBLE DE SÉCURITÉ

Document ANSSI 50-80 pages. Fonctions de sécurité. Hypothèses. Menaces. En cours maintenant.

📅

Q2 2026 — CROWDFUNDING + BUG BOUNTY

Objectif 50k€. Pré-audit informel Quarkslab. Corriger les vulnérabilités AVANT le CESTI.

📅

Q3-Q4 2026 — ÉVALUATION CESTI

Quarkslab / Synacktiv / Amossys. Périmètre : SecuBox Core 6 modules. Pas 38.

🏆

Q1 2027 — VISA ANSSI 🎉

Certification CSPN. Premier firewall OpenWrt certifié ANSSI de l'histoire. ENISA EUCC en préparation.

🎯 STRATÉGIE CRITIQUE : RÉDUIRE LE PÉRIMÈTRE
38 modules = refus CESTI garanti. La décision clé : "SecuBox Core" pour la CSPN :
Hub + CrowdSec + Firewall + WireGuard + Auth Guardian + Client Guardian.
Tout le reste = "extensions non certifiées". Cette décision conditionne tout.

CHAPITRE 08

⚔️ VS LES CONCURRENTS

🛡 SECUBOX WIN

⚡ 64 Mo RAM — ARM embarqué réel

🌍 CrowdSec CTI 1M+ sources CAPI

🔑 HSM Nitrokey/YubiKey intégré LuCI

🧠 LocalAI P2P (v0.18 — unique marché)

📜 ANSSI CSPN en cours — seul sur ARM

💸 Hardware ~100€ (ESPRESSObin)

🔓 100% Open Source OpenWrt/GitHub

🪞 MirrorNet P2P gossip (unique marché)

💀 CE QUE LES AUTRES FONT PAS

VyOS : pas d'intel collaborative. x86 only.

pfSense : pas de CSPN. pfBlocker = listes statiques.

Firewalla : boîte noire propriétaire. Pas d'HSM.

OPNsense : pas de DPI JA3. Pas de Zero Trust.

Fortinet/Palo Alto : 5000€+. Même pas open source.

Tous : zéro IA embarquée P2P. Zéro gossip intel.

LE MOAT TECHNOLOGIQUE3-5 ans

L'avance que SecuBox a sur le marché pour la combinaison : CrowdSec CAPI + P2P gossip intel + HSM intégré + LocalAI P2P + ARM 64Mo + CSPN. Aucun concurrent n'a ce stack complet. C'est du development time non-reproductible rapidement.

CHAPITRE 09

🚀 DÉPLOIEMENT EN 5 ÉTAPES

🎓

C'est complexe à installer ? Tu vises quel public ?

🧙

Phase 1 : les bidouilleurs (moi en 2024). Phase 2 après crowdfunding : SecuBox Factory — auto-provisioning complet. Tu branches la box. Elle se configure toute seule via le mesh. Zero Touch Provisioning. Même ta grand-mère peut le faire.

🔌 BRANCHER L'ESPRESSOBIN

Entre ton routeur FAI et ton réseau. Ethernet WAN → ESPRESSObin → Switch LAN. Mode Bridge par défaut = transparent total.

📡 FLASHER SECUBOX FIRMWARE

Image OpenWrt + SecuBox pré-installée. GitHub Actions CI/CD produit les images signées. Flash en 5 min via interface web.

🎯 SECUBOX HUB — PREMIER ACCÈS

Dashboard unifié LuCI. Wizard de configuration initiale. CrowdSec auto-connecté. WireGuard auto-généré. Opérationnel en 10 min.

🛡 ACTIVER LES MODULES

Client Guardian → NAC actif. Auth Guardian → SSO déployé. Netifyd → DPI activé. Chaque module = 1 toggle dans LuCI.

🌍 REJOINDRE LE MIRRORNET (v0.18)

Clé did:plc auto-générée. Inscription au mesh gossip. Ta box partage son intel. Tu bénéficies de toutes les autres. Collective defense activée.

🛡

TON RÉSEAU
TON CHÂTEAU

La sécurité n'est pas un produit — c'est un processus.
SecuBox automatise ce processus sur du matériel que tu possèdes.
Zero Trust. Zero SPOF. Zero blabla.

🌐 SECUBOX.GK2.NET

github.com/gkerma/secubox-openwrt

Rapport Triple-Format • GK² / CyberMind.FR • Fév. 2026