Dynamique de frappe, R² de la trajectoire de la souris, schémas de défilement, événements tactiles, temps de remplissage des formulaires, durée de présence sur la page — autant de signaux transmis au moteur de scoring local et au pipeline de scoring du backend.
Shield sous le capot.
Une vue technique de la façon dont Shield protège les entrées Web, le chat AI existant, le proxy LLM et les outils MCP: architecture, flux de décision, audit et comparaison avec WAF / reCAPTCHA.
Première couche de protection — pas un SIEM, pas un outil analytique.
Shield est une couche de protection active et passive pour les formulaires, la connexion, le paiement, les téléchargements, le chat AI, les outils et les API MCP. Le tableau de bord affiche les décisions et les événements afin que vous puissiez ajuster la défense, et non comme un explorateur de journaux. Les événements sont un signal opérationnel, pas un inventaire analytique.
Shield est :
- ✓Protection en ligne pour web / e-commerce / chat / MCP / backend
- ✓Décision par demande: allow / monitor / challenge / block
- ✓Journal d'audit inviolable et signé de chaque décision
- ✓SDK natif mobile — iOS + Android — sur la roadmap (Sprint M)
Shield n'est pas :
- ×Un SIEM ou un agrégateur de journaux
- ×Un remplacement de votre WAF ou CDN — il se place une couche plus profond
- ×Un outil de reporting/business-analytics
- ×Un produit de conformité certifié: les contrôles s'alignent sur les cadres, l'audit vous appartient
Trois chemins de protection en fonction de ce que vous devez protéger.
Shield peut s'asseoir devant votre site Web, votre chat AI ou vos outils MCP. Chaque chemin a un point de décision clair et un résultat vérifiable.
Web et formulaires
Le widget JS et le backend SDK protègent les formulaires de contact, la connexion, le paiement et les téléchargements. Ils collectent les signaux de sécurité, attachent un jeton HMAC et permettent d'autoriser/défier/bloquer avant qu'une requête n'atteigne une logique sensible.
Chat IA et proxy LLM
L'invite et la réponse passent par un pare-feu LLM. Shield peut anonymiser les données sensibles, bloquer l'injection rapide, vérifier les fuites d'instructions système et travailler devant le chat que vous utilisez déjà.
Outils MCP, politique et audit
Les appels MCP sont évalués par schéma, autorisations et risque d'action. Les appels d’outils destructeurs ou sensibles peuvent nécessiter une porte d’approbation. Chaque décision est consignée dans un journal d'audit à l'échelle du locataire.
Ce que Shield couvre vs. WAF vs. CAPTCHA.
Shield ne remplace pas votre protection périmétrique existante. Il se trouve une couche plus profonde.
| Capacité | Shield | WAF | reCAPTCHA / Tourniquet |
|---|---|---|---|
| Détection de robots sans tête | Oui — scoring multi-signal | Partiel (réputation IP) | Oui, au bord |
| Prompt injection contre LLM | Oui – pare-feu sémantique | Non | Non |
| Abus d’agent MCP | Oui — policy engine | Non | Non |
| Spam formulaire / email jetable | Oui — 5 langues | Non | Partiel |
| Scan malware des uploads | Oui — quarantaine | Partiel | Non |
| Payloads SQL injection | Oui — validation AST | Oui — regex | Non |
| Bourrage d'informations d'identification (distribué) | Oui — blocage par compte | Partiel (par IP) | Partiel |
| Journal d'audit inviolable | Oui — exportable | Variable | Non |
Plus de 40 capacités concrètes réparties dans 9 catégories.
Matrice catégorisée complète. Des seuils exacts, des poids de signal et des éléments internes de détection sont disponibles pour les clients sur le portail.
Canvas, WebGL, contexte audio, détection de polices et empreinte du navigateur fusionnés en un hachage d'appareil SHA-256. Détecte les navigateurs headless et les outils anti-détection.
Au début de la session, un instantané en cache éphémère capture device_hash, webgl_renderer, user_agent, timezone et screen_resolution. Les événements sensibles (connexion, soumission de formulaire, paiement) comparent l'empreinte en direct ; toute dérive ajoute autant de signaux de risque importants.
URL de base compatible OpenAI et Anthropic. Shield analyse chaque prompt avant de le transmettre et chaque complétion avant de la renvoyer, bloque en cas de violation de politique et supprime PII / secrets à la volée.
Détection par embeddings sur de nombreuses catégories d'attaques. « Disregard earlier directives » ≈ « Ignore previous instructions » par similarité cosinus. Embeddings Ollama en local — aucun coût d'API par requête.
Interception des appels d'outils pour les agents Claude / Cursor / IDE. Validation des arguments par JSON Schema, limite du nombre d'étapes en chaîne, liste blanche de domaines, barrières d'approbation explicites sur les outils destructeurs. Chaque invocation est inspectée au regard des règles de protection des agents avant exécution.
Plus de 40 schémas analysant l'entrée + la sortie + les appels d'outils avant / après l'exécution du modèle. Fonctionne de concert avec le pare-feu sémantique pour une défense en couches.
5 outils exposés via MCP : shield_get_stats, shield_get_threats, shield_add_rule, shield_get_events, shield_verify_token. Votre agent Claude / Cursor peut enquêter sur les incidents et agir sans quitter la conversation.
Validation SQL via analyse AST. Bloque UNION, INTO OUTFILE, pg_sleep, information_schema. LIMIT plafonné. Colonnes sensibles (password, api_key, ssn) masquées automatiquement. Empreinte des requêtes et tables-pièges à honeytokens.
Détection de portefeuilles : BTC (P2PKH/Bech32), ETH, SOL, TRX, XRP, LTC, DOGE. Analyse des phrases de récupération BIP-39 (12/24 mots). Demandes de signature (EIP-712). Domaines de minage bloqués. Schémas de redirection de paiement.
Détection de charabia par bigrammes (EN / DE / CS / SK / ES), plus de 100 domaines d'e-mail jetables, schémas de spam (caractères répétés, MAJUSCULES, déluge d'URL), détection de noms suspects. Le corpus de phishing et de contenu malveillant couvre 9 langues (voir la carte Phishing). Scoring additif avec bonus de regroupement.
Analyseur d'e-mails + pièces jointes multicouche. Détecte les corps de message slovaques/tchèques/polonais/allemands/français/espagnols/serbes dépourvus de diacritiques (le signal de phishing le plus fort en conditions réelles), l'ingénierie sociale autour des indices de mot de passe dans 9 langues, les noms de fichiers imitant des systèmes mainframe et les fichiers PDF / Office protégés par mot de passe. Le regroupement indépendant de la marque détecte la même signature quel que soit le nom d'entreprise usurpé.
check_upload() accepte form_fields. Lorsqu'un téléversement de fichier s'accompagne de données de formulaire (titre, description, nom, message), le scoring de la qualité du contenu s'applique aussi à ces champs. Un PDF propre accompagné de métadonnées en charabia est tout de même rejeté à un score de haute confiance.
Chaque fichier franchit une barrière de quarantaine — liste blanche d'extensions, détection MIME par magic-byte, détection de macros Office, JavaScript / Launch / OpenAction dans les PDF, injection de scripts SVG / HTML. Taille maximale et liste d'extensions configurables par tenant.
Python (FastAPI / Django / Flask), Node.js (Express / Next.js), PHP (WordPress / Laravel). Valide X-Shield-Token à chaque requête. Aucun jeton → 403. La vérification HMAC est mise en cache de façon éphémère par couple (jeton, chemin).
Disjoncteur à 3 états (closed / open / half_open) dans les trois SDK backend. Après plusieurs erreurs de transport consécutives → OPEN pendant un bref intervalle → 1 sonde HALF_OPEN. Les erreurs 4xx ne déclenchent pas le disjoncteur. PHP utilise APCu pour partager l'état entre les workers FPM. Fini les délais d'attente à chaque requête pendant un incident en amont.
Table de correspondance Raison → (machine_code, human_hint). /shield/verify et les réponses 403 des 3 SDK renvoient remediation + remediation_code. En cas de faux positif, l'utilisateur légitime voit « Votre session a expiré — veuillez recharger » au lieu d'un 403 silencieux.
Plugin PHP clé en main : il injecte automatiquement le widget et fournit un middleware qui valide les jetons Shield sur /wp-login.php et les points de terminaison d'administration. Fail-closed par défaut, configurable.
Limitation de débit multidimensionnelle : par IP, par appareil, par point de terminaison, avec escalade progressive. Compteurs côté serveur à fenêtres glissantes.
Géolocalisation IP via ip-api.com (cache éphémère). Listes de pays bloqués / autorisés par site. Modificateurs de score pour les datacenters et les proxys / Tor. Blocage strict dès le chargement de la page, avec overlay de refus d'accès avant même l'initialisation du widget.
Le widget empêche la soumission du formulaire dès qu'un score de haute confiance est atteint. Overlay rouge : « Bloqué par Corpilus Shield ». Jetons HMAC-SHA256 signés côté serveur, attachés automatiquement à fetch() via un intercepteur.
278 schémas de détection compilés, appliqués automatiquement à chaque événement — couvrent toutes les catégories de l'OWASP Top 10 2025. L'inspection au niveau de la charge utile précède le scoring.
L'analyseur IA traite les événements en continu. Son contexte RAG s'appuie sur une base de connaissances de sécurité soigneusement constituée. Il crée automatiquement menaces et règles à partir d'observations réelles.
Contexte de threat intelligence préétabli (mini-CAG). Signatures de bots, schémas d'attaque et échantillons OWASP intégrés — les nouveaux sites sont protégés dès la première consultation de page.
La collection Security Knowledge de Shield est livrée avec des documents soigneusement sélectionnés (OWASP Top 10, détection de bots, réponse aux incidents). Les administrateurs peuvent téléverser leurs propres playbooks d'entreprise, rapports post-mortem ou renseignements de menace propres à leur domaine. Chaque téléversement passe par une analyse multicouche. Les documents propres arrivent avec trust_state='pending' jusqu'à ce qu'un administrateur les promeuve explicitement à l'état 'active'. Seuls les documents actifs alimentent le contexte RAG de l'analyseur IA.
Partage anonymisé de schémas — IP réduites en /24, PII supprimées, paliers de maturité (experimental → candidate → confirmed). L'attaquant confirmé d'un tenant devient en quelques minutes une menace connue pour tous.
Le MutationObserver du widget prend un instantané de toutes les balises <script> au démarrage. Tout script injecté ultérieurement est signalé en télémétrie sous forme de script_integrity_violation avec son src, son caractère externe/same-origin, la longueur de son contenu et un hachage stable. Plafonné par chargement de page. Liste blanche par tenant pour les CDN de confiance.
Compteur Redis par SHA-256(account_id). Chaque échec au-delà du plafond ajoute un score de risque important. Une attaque distribuée qui répartit de nombreuses tentatives sur des milliers d'IP retombe malgré tout dans le même compartiment de compte — la tentative sur victim@corp.com déclenche un défi quelle que soit l'IP émettrice. Le compteur se réinitialise après une connexion réussie.
GET /shield/password/breach-range/{prefix} — le client calcule SHA-1(password) localement dans le navigateur, n'envoie que le préfixe hexadécimal de 5 caractères, Shield relaie la requête vers api.pwnedpasswords.com et renvoie en flux la liste suffixe+décompte. Le client compare son propre suffixe localement. Le serveur ne voit jamais ni le texte en clair NI le hachage complet.
Vérification des enregistrements A/AAAA + MX à l'inscription. Fail-open en cas de délai d'expiration. Cache éphémère par domaine afin que des vagues d'inscriptions rapides depuis le même domaine jetable ne sursollicitent pas le DNS.
Plus de 25 marques protégées (Google, Microsoft, Apple, PayPal, Stripe, Meta, LinkedIn, Revolut, banques et assureurs SK/CZ). Détecteur à trois niveaux : 1) correspondance exacte normalisée via une carte d'homoglyphes, 2) distance de Levenshtein pour les marques longues, 3) sous-chaîne de marque + suffixe décoratif (secure/login/support/verify/auth/signin/account/official/help).
Compteurs de vélocité par IP et par appareil. Exigence de connexion récente : aucune connexion réussie récente depuis cet appareil → signal de risque important. Continuité de session : password_change fait désormais partie des événements SENSIBLES, si bien qu'une dérive complète d'empreinte bloque immédiatement. La chaîne classique « l'attaquant récupère la session → change le mot de passe → verrouille l'utilisateur » doit franchir ces trois barrières.
E-mail (HTML), Slack, Discord, webhooks JSON génériques. Rapport de sécurité hebdomadaire avec statistiques, principales menaces et taux de blocage. Seuil de gravité par webhook (low / medium / high / critical).
Chaque modification de règle, édition de configuration de site, blocage manuel et décision de l'IA est consigné avec son auteur, son horodatage et le diff avant/après. Le tout est chaîné par hachage, signé et exportable sous forme de dossier de preuves prêt pour l'audit.
Les jetons HMAC-SHA256 sont générés côté serveur à partir du secret propre au site, puis renvoyés via /shield/events. Le widget ne détient jamais le secret de signature — une site_key divulguée ne permet pas de forger des jetons valides.
Sécurité au niveau des lignes (RLS) PostgreSQL imposée sur toutes les tables shield_*. Chaque requête s'exécute sous un rôle restreint au tenant — aucun contournement possible au niveau applicatif, même en cas de bug dans l'API.
Suit les tentatives par BIN de carte sur des fenêtres glissantes. Les pics caractéristiques du card-testing déclenchent un défi progressif ou un blocage. Les seuils sont ajustables par tenant ; les valeurs par défaut restent prudentes.
Lorsque la même empreinte de carte fournie par le PSP apparaît sur plusieurs appareils, sessions ou tenants dans un court laps de temps, les tentatives sont corrélées et notées comme une attaque coordonnée. Le PAN en clair ne quitte jamais votre PSP.
Référence de la répartition par pays d'émetteur, propre à chaque tenant. Une concentration soudaine de tentatives visant des émetteurs d'un petit nombre de pays — bien au-dessus de la référence — signale un probable trafic de carding.
Agrège plusieurs signaux — diversité des BIN, même appareil ou même session, fort taux d'échec — en un verdict de carding explicite. Relève la gravité de la décision lorsque le retour PSP après débit la confirme.
Les attaques à combustion lente ne passent plus entre les mailles du filet. Shield surveille toute la trajectoire de la conversation, et non un seul message à la fois. Un attaquant qui discute innocemment pendant de nombreux échanges avant de basculer vers l'extraction de données ou l'hameçonnage d'identifiants est détecté dès que le schéma émerge.
Avant que votre agent n'exécute un outil, Shield s'interroge : l'intention réelle de l'utilisateur est-elle cohérente avec l'appel de cet outil ? Une demande de résumé de document ne devrait pas déclencher un export de base de données. Une conversation de réservation de voyage ne devrait pas appeler un outil de paiement. Les incohérences sont mises en attente pour examen.
Les agents compromis et les LLM curieux explorent généralement l'environnement avant d'agir — listage de répertoires, lecture des chemins de configuration, énumération des variables d'environnement. Shield repère ce schéma de reconnaissance dès le début, avant qu'aucune donnée ne quitte la machine.
Une seule conversation ne pourra jamais épuiser en silence l'intégralité de votre budget IA mensuel. Shield impose un plafond par session sur les jetons, les appels d'outils et le temps écoulé. Une fois ce plafond atteint, la session est suspendue ou interrompue et l'opérateur est notifié.
Shield apprend ce qui est normal pour chaque utilisateur — horaires habituels, actions habituelles, rythme habituel — et signale discrètement le jour où ce schéma se rompt. Une session authentifiée qui se met soudain à se comporter très différemment du véritable utilisateur est traitée comme une prise de contrôle possible.
Des enregistrements, fichiers et identifiants leurres sont disséminés là où seul un attaquant irait fouiller. Les vrais utilisateurs ne les voient jamais. Dès que l'un d'eux est touché, consulté ou utilisé, Shield obtient un signal de compromission à haute confiance, avec des faux positifs pratiquement nuls.
Les attaquants dissimulent des charges utiles malveillantes derrière des encodages superposés — base64, hexadécimal, percent-encoding, échappements unicode — pour déjouer les filtres de chaînes simples. Shield déballe ces couches avant le scoring, de sorte que l'attaque sous-jacente se heurte aux mêmes protections qu'une version en clair.
Avant la mise en production de toute mise à jour de règle, de modèle ou de moteur de scoring, celle-ci est confrontée à un corpus en croissance continue de scénarios d'attaque réels. Si une version affaiblit accidentellement la détection d'une signature de menace connue, le changement est bloqué en CI — et non après la compromission d'un client.
Chaque décision de sécurité et chaque modification de configuration sont inscrites dans une chaîne infalsifiable. Les modifications et suppressions sont mathématiquement détectables. Auditeurs, régulateurs et intervenants en cas d'incident disposent d'une chronologie fiable, même dans le pire scénario où un attaquant accède aux identifiants administrateur.
Quand un incident survient, vous n'avez pas envie de passer des heures à collecter des journaux. Un clic produit un dossier chiffré et horodaté de l'état pertinent du tenant — événements, règles, décisions, trafic récent — prêt à être remis à votre équipe de sécurité, votre avocat ou votre régulateur.
Shield ne vous enferme pas chez un fournisseur d'IA unique. Apportez votre propre clé OpenAI / Anthropic / Google, pointez vers une instance Ollama dédiée, ou exécutez tout en local. Fixez des plafonds de coût stricts et des règles de routage. Vos données ne circulent que vers les fournisseurs que vous approuvez explicitement.
Pour vos actions les plus sensibles, Shield peut exiger un geste ancré dans le matériel : Touch ID, Windows Hello, une clé de sécurité matérielle. Ce sont des contrôles de présence physique qu'un agent propulsé par LLM ou un attaquant distant ne peut résoudre, aussi ingénieux soit le prompt.
Pour les environnements réglementés, classifiés ou déconnectés, Shield se livre sous forme de package auto-hébergé, avec des artefacts de version signés et un chemin d'installation entièrement hors ligne. Rien n'a besoin de communiquer avec l'internet public, et vous recevez malgré tout les mises à jour de règles, de modèles et de renseignements selon votre propre calendrier.
Shield peut signaler les soumissions de formulaires, messages et documents qui semblent générés par une machine plutôt que saisis par un humain. Combinée aux signaux de comportement et de temporisation, cette analyse apporte aux opérateurs une réponse claire à la question « est-ce authentique ? » sur les formulaires de candidature, les CV, les tickets de support et les avis.
Le widget prend un instantané de fetch, XHR, navigator et userAgent au démarrage, puis les revérifie périodiquement. Si une extension de navigateur, un script injecté ou une balise tierce bascule navigator.webdriver, enveloppe fetch, remplace XHR ou modifie les descripteurs de navigator, Shield signale l'altération et peut refuser d'émettre un jeton. Le suivi attribut par attribut des modifications de form.action / des champs cachés figure sur la feuille de route, mais n'est pas encore actif.
Chaque requête est vérifiée en O(1) au regard de plus de 48 000 indicateurs de menace en temps réel, fréquemment actualisés. Aucune configuration côté client — financé par la plateforme. Ajoute un bonus de score en cas de correspondance.
Consultation des services de réputation premium réservée aux seuls événements suspects. Clés chiffrées par Fernet et propres à chaque tenant ; aucune clé partagée par la plateforme, les consultations s'imputent sur votre quota.
Les dix catégories OWASP 2025 sont traitées — A01 contrôle d'accès, A02 mauvaise configuration, A03 chaîne d'approvisionnement, A04 cryptographie, A05 injection, A06 conception, A07 authentification, A08 intégrité, A09 journalisation, A10 gestion des exceptions. Jeu de schémas issu d'OWASP CRS v4, des templates nuclei et de PayloadsAllTheThings.
Identifie les bots d'OpenAI, Anthropic, Google-Extended, Perplexity, ByteDance, CommonCrawl, Meta, Apple, Cohere, Mistral, AllenAI, You.com et d'autres. Le tenant choisit blocage / surveillance / autorisation par fournisseur.
Gadgets JNDI log4j (${jndi:ldap://...}), injection LDAP, entité externe XML, injection d'opérateurs NoSQL de type MongoDB — tous bloqués à l'ingestion /shield/events avant d'atteindre votre backend.
Vue en lecture seule des 278 schémas que Shield exécute sur chaque requête, regroupés par catégorie. Les clients voient exactement ce qui les protège — aucune affirmation marketing à vérifier.
Cliquez sur une carte pour afficher la description technique et le threat model.
Inviolable, chaîné par hachage, signé cryptographiquement.
Le journal d'audit est l'épine dorsale juridique et médico-légale de Shield. Conçu pour que même un administrateur compromis ne puisse pas réécrire l'historique sans qu'il soit visible.
Chaîne de hachage SHA-256
Chaque enregistrement d'audit contient le hachage SHA-256 de l'enregistrement précédent ainsi que l'événement en cours canonique. La suppression ou la modification de tout événement passé interrompt chaque hachage en aval et la chaîne refuse la vérification.
Signature Ed25519 par locataire
Chaque locataire possède sa propre paire de clés Ed25519. La clé publique est exposée pour une vérification indépendante; la clé privée signe chaque enregistrement d'audit au moment de l'écriture. Un dump de base de données divulgué ne peut pas être falsifié sans la clé privée.
Ancrage temporel RFC 3161
Les têtes de chaîne sont périodiquement ancrées contre une autorité d'horodatage RFC 3161 externe. Cela lie le journal à l'heure absolue de l'horloge murale et prouve que la chaîne existait sous cette forme avant l'horodatage.
Hygiène en ajout uniquement au rôle DB
Le rôle bouclier_app a uniquement INSERT — UPDATE et DELETE sont REVOKEd au niveau PostgreSQL. Même un attaquant disposant d’informations d’identification complètes pour le contexte de l’application ne peut pas réécrire les lignes; ils devraient passer à un rôle de superutilisateur de base de données, qui est lui-même audité au niveau de la couche plate-forme.
Vérifier et exporter les points de terminaison
GET /shield/audit/verify reparcourt la chaîne de hachage et valide chaque signature; GET /shield/audit/export diffuse une archive JSON signée et délimitée par des lignes pour les auditeurs internes ou externes. Les deux sont limités au locataire et à un tarif limité.
Cartographie de conformité
Fournit les preuves techniques demandées par les cadres de sécurité courants (journalisation immuable, intégrité signée, surveillance, alignement GDPR Art. 32). Shield lui-même n'est pas certifié en externe: l'exportation prend en charge votre audit, elle n'en remplace pas un.
Instantané d'incident en un clic, crypté, hors site.
Quand quelque chose ne va pas, vous avez besoin d’une image immuable du moment. Shield le produit en moins d'une minute et le scelle afin que seule votre clé privée puisse l'ouvrir.
Contenu d'une capture
- •Événements de sécurité (bruts + décisions + codes de raison)
- •Tranche de journal d'audit avec tête de chaîne + signature
- •Sessions actives et signaux au niveau de la session
- •Règles actives et historique des versions de règles
- •Cache de renseignements sur les menaces et événements de menace récents
- •Sites protégés et leur configuration HMAC
- •Paramètres du locataire et indicateurs de fonctionnalités
- •Événements de plateforme (déploiement / sauvegarde / dérive)
- •Métadonnées du conteneur (image, version, empreinte digitale de l'hôte)
Chiffrement enveloppe hybride
Une clé de données AES-256-GCM à usage unique chiffre la charge utile. La clé de données est encapsulée avec RSA-OAEP-SHA256 par rapport à la clé publique du locataire. Seul le détenteur de la clé privée peut récupérer la clé AES et décrypter le bundle. L'infrastructure Shield ne peut pas lire les instantanés antérieurs une fois qu'ils ont quitté le conteneur de production.
Stockage et exploitation
Téléchargement des instantanés vers n'importe quel magasin compatible S3 (AWS, Wasabi, MinIO, on-prem). Cron hebdomadaire en option archive automatiquement un nouvel instantané pour une préparation médico-légale continue. La cible MTTR du déclencheur à l’archive scellée et téléchargée est d’environ 60 secondes.
Surface API
POST /shield/forensic/snapshot déclenche un nouvel instantané; GET /shield/forensic/snapshots répertorie les fichiers existants avec leurs métadonnées, leur taille et leur statut scellé. Les deux sont limités à l’administrateur et produisent des événements d’audit au niveau de la plateforme.
Conformité et auditabilité sans réclamation excessive.
Shield fournit des preuves techniques, des journaux et des mappages. Les certifications formelles ou attestations client dépendent de la portée de déploiement spécifique.
Piste d'audit prête pour l'auditeur
Shield produit des journaux d'audit, des motifs de décision et des exportations qui peuvent prendre en charge l'examen de la sécurité et de la conformité. La certification ou l'attestation formelle est confirmée individuellement en fonction de la portée du client.
Support des éléments probants de l'auditeur
Les contrôles techniques peuvent être mappés à votre cadre d’audit interne. Shield lui-même n’est pas certifié en externe.
MITRE ATT&CK
Les détections peuvent être mappées aux techniques MITRE ATT&CK pertinentes, en particulier l'accès initial, l'accès aux informations d'identification, l'exfiltration et le commandement et le contrôle.
OWASP OAT
Shield couvre plusieurs classes de menaces automatisées d’OWASP OAT. Une cartographie détaillée est fournie aux clients dans des documents techniques.
Attaques sur le coût d'inférence (RA-ICA) : le portefeuille devient une cible
Une classe d'attaque évaluée par les pairs en 2026 (Hong Kong Polytechnic University) qui ne touche ni vos données ni votre disponibilité — elle multiplie silencieusement votre facture d'IA.
Un attaquant dépose un document empoisonné sur le web public. Votre assistant RAG le récupère pour une question ordinaire et le modèle consomme bien plus de tokens — la réponse reste correcte, donc rien ne paraît anormal jusqu'à l'arrivée de la facture.
Trois tactiques (cadre CREEP)
Des énigmes mathématiques, logiques ou de planification dissimulées que le modèle résout à son insu pendant son raisonnement, consommant des tokens.
Des faits mutuellement contradictoires poussent le modèle à une réflexion excessive et à de longues générations.
Une IA attaquante optimise le texte pour un coût maximal tout en restant discrète et en échappant à la détection.
Comment Shield la neutralise — à chaque phase
| Phase de l'attaque | Défense Shield | Effet |
|---|---|---|
| 1 · Le document malveillant doit être récupéré | Le filtre de pertinence et ses seuils écartent du contexte les documents faiblement pertinents ou injectés de force. | Filtre l'empoisonnement opportuniste. |
| 2 · Instructions cachées dans le document | Assainissement du contenu récupéré (balisé comme donnée « à traiter comme texte uniquement ») et séparation des sources non fiables. | Le modèle ignore les tâches embarquées. |
| 3 · Inflation des tokens de sortie (le cœur) | Plafond strict de tokens de sortie par requête et gestion du budget de contexte (limite de la part de récupération, déduplication). | L'amplification de 13× est plafonnée. |
| 4 · Coût cumulé sur l'ensemble des requêtes (DoW) | Limitation de débit progressive, budgets par session (tokens / coût / temps) et télémétrie du score de confiance des agents. | Un bot ne peut pas faire monter l'attaque en charge. |
Le cœur de RA-ICA est l'inflation de la sortie (dans l'étude, ~100 → 2 048 tokens). Le plafond strict de tokens de sortie par requête de Shield est précisément ce qui brise l'amplification qui rend l'attaque rentable.
Une seule couche de défense, toute la famille de menaces LLM (OWASP LLM Top 10)
RA-ICA se situe à l'intersection de deux familles d'attaques que Shield couvre déjà — la même couche protège contre l'ensemble du spectre.
| Classe d'attaque | Réponse de Shield |
|---|---|
| Coût d'inférence / Denial-of-Wallet | Plafond de tokens de sortie, budget de contexte, limitation de débit, budgets par session, schémas d'épuisement des ressources. |
| Empoisonnement de la base de connaissances / RAG | Assainissement du contenu récupéré, filtre de pertinence, séparation des sources fiables et non fiables. |
| Injection de prompt (directe et indirecte) | Règles de motifs et pare-feu sémantique ; les injections indirectes dissimulées dans les documents sont neutralisées. |
| Jailbreak (DAN, mode développeur, jeu de rôle) | Les règles et le pare-feu sémantique détectent par le sens les variantes obfusquées et reformulées. |
| Fuite de prompt système / de configuration | Analyse en entrée et en sortie ; les tentatives d'extraction sont bloquées, les fuites caviardées en sortie. |
| Exfiltration de données / PII | Analyse de sortie — mots de passe, clés API, JWT, clés privées, identifiants et contacts détectés et caviardés. |
| Abus d'outils / d'actions | Inspection des arguments d'outils et liste d'opérations dangereuses (exécution de code, suppression, accès aux fichiers). |
| Obfuscation / encodage (Base64, ROT13, hex) | Détection des charges utiles encodées et des tentatives de contrebande de tokens. |
| Usurpation d'autorité | Détecte les manipulations du type « je suis votre développeur / admin / test officiel ». |
Des couches indépendantes — si l'une cède, l'ensemble tient.
La protection n'est pas un filtre unique. C'est un empilement de plusieurs couches indépendantes.
Garde en entrée
Motifs de règles répartis en 6 familles (injection de prompt, jailbreak, abus d'outils, empoisonnement de mémoire, fuite de données, épuisement de ressources). S'exécute avant le modèle.
Pare-feu sémantique
Plus de 100 motifs d'attaque sélectionnés répartis en 16 types (dont le Denial-of-Wallet explicite), au niveau du sens (embeddings) — détecte les reformulations et l'obfuscation.
Garde-fous RAG
Assainissement du contenu récupéré, filtre de pertinence, séparation des sources non fiables, déduplication et budget de contexte.
Plafond de tokens de sortie
Limite stricte de longueur de génération par requête, ajustée à la tâche et au modèle.
Garde en sortie
Caviardage des fuites : identifiants, clés API, JWT, clés privées, PII — fonctionne aussi sur les réponses en flux continu.
Budgets par session
Plafonds sur les tokens, le coût, le temps et les appels d'outils au sein d'une même session.
Limitation de débit
Par IP / appareil / endpoint, progressive (surveillance → ralentissement → vérification → blocage).
Télémétrie et audit
Suivi de la dépense en tokens et du score de confiance des agents, webhooks de menace et journal d'audit inviolable.
Intégrez Shield selon vos besoins.
Déployez en fonction de ce que vous devez protéger.
Proxy LLM (drop-in)
Remplacez une seule base_url pour OpenAI / Anthropic. Shield analyse l'entrée (blocage avant le fournisseur) et la sortie (caviardage des fuites). Conserve votre clé API, le streaming et les appels d'outils.
Scan API
Des endpoints pour analyser l'entrée, la sortie et les appels d'outils, en vue d'une intégration sur mesure dans votre pipeline existant.
Protection RAG
Assainissement, filtre de pertinence et séparation des sources directement dans votre pipeline de chat / RAG.
Widget web
Protège les formulaires, les connexions et les API contre les bots et les abus (WAF classique + couche anti-bot).
Whitepaper technique
Document technique détaillé comprenant des diagrammes d'intégration, une modélisation des menaces et des tests de performances.
Avis sur l'étendue de la protection. Corpilus Shield est une couche de protection AI en temps réel conçue pour étendre les mécanismes de sécurité standard pour les sites Web, les boutiques en ligne et les applications LLM, et non pour les remplacer. Il ne remplace pas un antivirus, un pare-feu, des tests d'intrusion ou un audit de sécurité formel. Pour une protection complète, nous recommandons de combiner plusieurs couches.