THOR : évaluation de compromission sans agent
6 min. de lecture
La plupart des solutions de sécurité des endpoints détectent en temps réel les malwares connus. Mais que se passe-t-il lorsque des attaques ont déjà eu lieu ? Selon le rapport M-Trends 2025 de Mandiant, les menaces persistantes avancées restent en moyenne 11 jours inaperçues dans les réseaux d’entreprise, et même 26 jours si la détection repose uniquement sur des systèmes externes. THOR, développé par Nextron Systems, est un scanner forensique portable qui permet de vérifier a posteriori les systèmes à la recherche de traces de compromission : plus de 30 000 règles YARA et signatures, sans agent, sans installateur et sans connexion au cloud.
Points clés
- THOR est un scanner portable d’évaluation des compromissions, développé par Nextron Systems (Dietzenbach). Il ne nécessite aucune installation ni agent et s’exécute directement depuis une clé USB.
- En moyenne, les attaquants restent indétectables pendant 11 jours au sein des réseaux d’entreprise. Ce délai augmente à 26 jours lorsqu’ils sont détectés de l’extérieur, selon le rapport Mandiant M-Trends 2025.
- Plus de 30 000 règles YARA et environ 2 000 règles Sigma permettent d’analyser les fichiers, la mémoire des processus, la base de registre et les journaux d’événements.
- Florian Roth, CTO de Nextron Systems (@cyb3rops), figure parmi les chercheurs en cybersécurité les plus reconnus au monde. Il est notamment co-créateur de Sigma, ainsi que développeur de LOKI et yarGen.
- THOR Lite est disponible gratuitement pour les analystes individuels, avec des fonctionnalités telles que le scan d’archives et l’intégration à YARA-Forge.
Qu'est-ce que THOR ?
THOR est un levier concret pour les entreprises en 2023, car il influence directement des modèles d'exploitation IT stables et des modernisations concrètes. Cet article montre, à partir de l'exemple de synaforce, quels indicateurs, exigences et étapes opérationnelles comptent dans la pratique.
Frequently Asked Questions
Qu’est-ce que THOR et comment fonctionne-t-il ?
THOR est un outil portatif conçu pour évaluer rapidement l’état de sécurité d’un système sans nécessiter d’installation ni d’agent supplémentaire. Il s’exécute directement depuis une clé USB, ce qui le rend particulièrement pratique pour les audits rapides ou les investigations sur site.
Quelles technologies utilise THOR pour détecter les menaces ?
THOR exploite plus de 30 000 règles YARA et près de 2 000 règles Sigma afin d’inspecter divers composants du système, tels que les fichiers, la mémoire des processus, la base de registre et les journaux d’événements. Ces règles couvrent un large éventail de techniques d’attaque et de comportements malveillants.
Qui est Florian Roth et quel est son rôle chez Nextron Systems ?
Florian Roth est le CTO de Nextron Systems et l’un des experts en cybersécurité les plus renommés au monde. En tant que co-créateur de Sigma, il a contribué à standardiser les règles d’analyse des incidents de sécurité. Il est également à l’origine de plusieurs outils populaires, dont LOKI et yarGen, utilisés par les professionnels de la sécurité informatique.
THOR Lite est-il accessible à tous ?
Oui, THOR Lite est offert gratuitement aux analystes individuels. Cette version inclut des fonctionnalités avancées comme le scan d’archives et l’intégration à YARA-Forge, ce qui en fait un outil précieux pour les professionnels souhaitant effectuer des analyses approfondies sans coût initial.
Comment se compare THOR aux autres solutions similaires ?
THOR se distingue par sa simplicité d’utilisation et son caractère entièrement portable. Contrairement à de nombreux outils qui requièrent une installation complexe, THOR peut être lancé instantanément depuis une clé USB. De plus, sa vaste bibliothèque de règles YARA et Sigma lui confère une capacité d’analyse très complète, tout en restant accessible aux utilisateurs non spécialistes.
Le problème : ce que l’EDR ne détecte pas
La détection et la réponse aux endpoints offrent une protection en temps réel. Cependant, les groupes d’APT opèrent de manière ciblée sous le seuil de détection. Ils utilisent des techniques « Living-off-the-Land », compromettent des outils légitimes et laissent derrière eux des traces que les antivirus ne classent pas comme suspectes. Un système compromis peut fonctionner de manière discrète pendant des mois, voire des années, tandis que les attaquants exfiltrent des données.
En 2014, la durée médiane de présence des attaquants dans un système était encore de 205 jours. Aujourd’hui, selon Mandiant M-Trends 2025, elle n’est plus que de onze jours. Toutefois, ce chiffre est faussé par les ransomwares, où les attaquants se trahissent eux-mêmes. Dans le cas des APT à visée espionnage, ces durées sont nettement plus longues. C’est précisément là que s’inscrit l’évaluation des compromissions : une recherche systématique des traces déjà présentes dans le système.
Ce qui rend THOR différent
THOR n’est ni une solution de protection en temps réel, ni un substitut à l’EDR. Il s’agit d’un scanner forensique qui examine a posteriori les systèmes à la recherche de traces de compromission. Son principal avantage : THOR fonctionne sous forme d’une application portable. Aucun agent à installer, aucun programme d’installation, aucune dépendance logicielle. Cela le rend idéal pour :
- La réponse aux incidents, lorsqu’un cas suspect est détecté
- Les évaluations régulières des compromissions, dans les infrastructures critiques
- Les audits de due diligence, lors de rachats ou de fusions
- Les enquêtes forensiques, dans des environnements air-gapped
Un exemple concret de sa puissance : sur un échantillon compromis, THOR a généré trois correspondances distinctes avec des règles YARA, alors que VirusTotal n’a signalé aucune détection. Sa force réside dans ses règles manuellement écrites et soigneusement sélectionnées, spécifiquement adaptées aux outils et aux techniques des APT.
« Nous avons testé l’un des échantillons compromis. Aucune détection sur VirusTotal. Mais THOR l’a identifié grâce à trois règles YARA différentes. »
Florian Roth, CTO de Nextron Systems (@cyb3rops, 2025)
Florian Roth : le cerveau derrière THOR
Pour comprendre THOR, il faut connaître Florian Roth. Le CTO et co-directeur de Nextron Systems est l’un des chercheurs en cybersécurité les plus influents au monde. Sur X (anciennement Twitter), sous le pseudonyme @cyb3rops, il compte plus de 30 000 abonnés parmi les professionnels de la communauté de la cybersécurité. Sur GitHub, il gère plus de 155 dépôts sous le nom @neo23x0.
Florian Roth œuvre dans le domaine de la cybersécurité depuis 2003. Ce qui le distingue des autres, c’est qu’il ne se contente pas de développer des produits : il contribue également à définir des normes. Sigma, le standard ouvert pour les règles d’identification basées sur les SIEM, a été créé par Florian Roth en collaboration avec Thomas Patzke. Aujourd’hui, sous l’égide de SigmaHQ, Sigma constitue le standard de facto pour la détection fondée sur les journaux, reconnu par MISP et utilisé dans pratiquement tous les SOC à travers le monde.
Parallèlement, Florian Roth a développé une série d’outils open source largement adoptés par la communauté : LOKI (le prédécesseur gratuit de THOR), yarGen (un générateur automatique de règles YARA), FENRIR (un scanner d’IOC basé sur Bash) ainsi que Valhalla (le flux de règles YARA et Sigma curaté par Nextron, comprenant plus de 23 000 règles YARA et 4 400 règles Sigma).
Architecture technique de THOR
La version stable actuelle, THOR 10.7 (novembre 2024), combine plusieurs mécanismes de détection :
Scanning YARA : Plus de 30 000 règles YARA, soigneusement sélectionnées et maintenues à la main, examinent les fichiers, la mémoire des processus et les entrées du registre à la recherche de signatures connues de logiciels malveillants et d’outils APT. Ces règles proviennent des recherches internes de Nextron ainsi que du flux Valhalla.
Règles Sigma : Environ 2 000 règles Sigma scrutent les journaux d’événements Windows à la recherche de comportements suspects. Sigma constitue le standard ouvert pour la détection basée sur les journaux.
Détection d’anomalies : THOR identifie des motifs inquiétants tels que des noms de fichiers inhabituels dans les répertoires système, des doubles extensions ou des Alternate Data Streams cachés (ADS).
Correspondance avec les IOC : Les hachages, noms de domaines et adresses IP sont comparés aux flux actuels de renseignements sur les menaces.
Nouveauté de la version 10.7 : le scanning des fichiers mappés en mémoire, permettant des analyses plus rapides avec un moindre accès au disque ; la sortie JSON v2 pour une meilleure intégration avec les SIEM ; ainsi que des sélecteurs d’initiation destinés aux scans spécifiques à certaines campagnes.
THOR Lite vs. THOR Full
Nextron propose avec THOR Lite, une version gratuite destinée aux analystes individuels. Depuis 2025, THOR Lite inclut également le scan d’archives (docx, xlsx, jar, war) et intègre la base de règles YARA-Forge, qui compte plus de 11 000 règles publiques.
La version complète THOR 10 s’adresse aux entreprises et aux MSSP. Elle offre une gestion centralisée via l’ASGARD Management Center, des analyses automatisées, des ensembles de règles étendus ainsi que l’intégration à Velociraptor pour effectuer des scans parallèles sur des centaines de systèmes. Les résultats de THOR sont générés sous forme de rapports au format JSON, CSV ou HTML et peuvent être intégrés à des SIEM tels que Splunk, Elastic et QRadar.
Questions fréquentes
THOR remplace-t-il une solution EDR ?
Non. THOR et l’EDR (Endpoint Detection and Response) sont complémentaires. L’EDR assure une protection en temps réel et détecte les attaques en cours. THOR, quant à lui, identifie les traces de compromissions passées qui auraient pu échapper à l’EDR. En pratique, THOR est déployé suite à un soupçon d’incident ou dans le cadre d’évaluations régulières, afin de s’assurer qu’aucun attaquant n’opère discrètement au sein du réseau.
Combien de temps dure une analyse avec THOR ?
Selon le système et la configuration, entre 30 minutes et plusieurs heures. Un serveur Windows typique est analysé en 60 à 90 minutes. Grâce au centre de gestion ASGARD et à Velociraptor, il est possible d’analyser des centaines de systèmes en parallèle.
Quelle est la différence entre THOR Lite et THOR Full ?
THOR Lite est gratuit pour les analystes individuels et inclut l’analyse d’archives ainsi que les règles YARA-Forge. La version complète, THOR 10, offre une gestion centralisée via ASGARD, des analyses automatisées, des ensembles de règles avancés issus du flux Valhalla, ainsi que la possibilité d’exécuter des analyses simultanément sur des centaines de systèmes via Velociraptor.
Qu’est-ce que Sigma et pourquoi est-ce pertinent pour les opérateurs de SIEM ?
Sigma est une norme ouverte pour les règles de détection basées sur les journaux d’événements (logs), co-développée par Florian Roth et Thomas Patzke. Les règles Sigma peuvent être traduites dans divers langages de requête de SIEM (Splunk, Elastic, QRadar, Microsoft Sentinel). Cela permet aux équipes SOC de rédiger et de partager une logique de détection indépendante des fournisseurs.
THOR est-il pertinent pour les entreprises d’importance vitale (KRITIS) soumises à la directive NIS2 ?
Oui. La directive NIS2 (en vigueur en Allemagne depuis décembre 2025) impose aux entités concernées la mise en œuvre de mesures techniques appropriées pour détecter les incidents de sécurité. Des évaluations régulières de compromission avec des outils tels que THOR peuvent faire partie d’une stratégie de détection conforme à NIS2, en particulier dans les environnements isolés (air-gapped) ou critiques (KRITIS), où les solutions EDR cloud ne peuvent pas être déployées.
Suggestions de lecture de la rédaction
Plus du réseau MBF Media
Source image de couverture : Pexels / MART PRODUCTION
Plus sur ce sujet synaforce
Des exemples d'usage, des services et des repères complémentaires sont disponibles chez synaforce pour l'infrastructure IT et les managed services.
