Rétrospective 2025 et feuille de route 2026

La nouvelle année est déjà entamée, c’est le moment de revenir sur 2025 et de lister ce que nous avons fait chez ONYPHE. C’est également le moment de parler des évolutions à venir. Et c’est encore une fois ambitieux, comme chaque année chez nous.

Première évolution majeure : la plateforme de scan

Depuis plus d’un an maintenant, nous avons travaillé à reconstruire notre plateforme de stockage, et en 2025 l’architecture de scan Internet. Nous sommes vraiment fiers d’annoncer que celle-ci est maintenant scalable horizontalement à 100%. Nous allons pouvoir scanner en dizaines de milliers de ports, comme notre concurrent principal.

En l’espace d’un an, le volume de données collecté est passé de 21TB/mois à 125TB/mois, soit une augmentation de 500%. Impressionnant non ? Nous avons augmenté le nombre de ports scannés ainsi que la fréquence de rafraîchissement. Nous scannions 1300+ ports/semaine, nous en scannons aujourd’hui plus de 2600 avec un rafraîchissement à la semaine.

Nous avons également augmenté le nombre d’URL scannées. Nous en sommes à 40 millions/jour. Nous ne sommes pas Google, mais on aime bien ce chiffre tout de même. Ce scan d’URL permet surtout de voir des actifs exposés sur Internet qu’aucun de nos concurrents ne voit.

Nous réalisons également bien plus de requêtes DNS qu’il y a un an. Chaque mois, nous générons plus de 7 milliards de requêtes DNS pour alimenter notre base de passive DNS. Aussi, nous « brute-forçons » plus de sous-domaines que précédemment (30 au lieu de 10). Notre inventaire de noms de domaines a dépassé les 400 millions et notre inventaire de sous-domaines a dépassé les 7 milliards d’entrées.

De plus, nous systématisons dorénavant les requêtes DNS, en temps-réel, avec les types suivants pour tout nouveau nom de domaine détecté :

• A, AAAA, PTR ;
• NS, SOA, MX ;
• TXT, SPF ;
• CNAME, DNAME.

Notre produit CTISCAN, lancé l’année dernière, est maintenant arrivé à maturité. De nouveaux pivots CTI y ont été ajoutés en 2025 :

• Amélioration de la collecte des favicon ;
• Empreintes HHHash (voir Improving classification and correlation of HTTP servers crawled/scanned) ;
• Empreintes JA3S ;
• Empreintes JA4S ;
• Détection TLS automatique, quel que soit le port.

Une description complète du modèle de données est disponible sur notre portail Docs, ainsi que des exemples de requêtes.

Besoin d’une brève introduction à CTISCAN ? Contactez-nous à support[at]onyphe{dot}io

Opération : tuons la dette technique

Nous avons également entamé la réécriture complète de notre code avec un objectif simple : tuer la dette technique. Des composants clés ont déjà été complètement revus (et au passage, améliorés) :

• Le moteur de collecte des données Certificate Transparency Logs (CTL)
  • Nous avons aujourd’hui probablement la meilleure solution de collecte CTL du marché
  • Tous les noms de domaines collectés passent par notre moteur de brute-force DNS
• Le moteur de résolution DNS
  • Meilleures performances, gestion de davantage de « resource records »
  • Plus de sous-domaines brute-forcés
• Le moteur de scan UDP
  • Objectif : scanner beaucoup plus
  • Scanner sur IPv6

Les évolutions du produit « ASM Edition« 

Notre « ASM Edition » est le produit qui concerne directement la gestion de la surface d’attaque. L’objectif de ce produit est d’identifier les risques sur les actifs exposés sur Internet, et la catégorie RISKSCAN est donc primordiale dans ce cadre.

Aussi, les données collectées depuis CTISCAN sont désormais directement intégrées dans RISKSCAN. Résultats : plus de ports scannés, donc plus de risques identifiés. Au final, RISKSCAN est construit par l’analyse des données de DATASCAN, VULNSCAN et CTISCAN. Auparavant, les données étaient intégrées heure par heure, elles sont maintenant traitées en temps-réel.

Enfin, les ajouts suivants ont été faits au cours de l’année 2025 :

• Intégration du scan IPv6 à ce produit ;
• Activation de scans automatiques via les API de scan On-Demand ;
• Tableaux de bords dédiés scan On-Demand ;
• Possibilité de lancer des scan On-Demand directement depuis l’interface.

Export et téléchargement des données brutes

Au vu de l’évolution très importante du volume de données collectées, il nous fallait de nouveaux serveurs de stockage pour les données brutes (utilisation « on-premise » de nos données pour nos clients), mais aussi la capacité d’export temps-réel.

Pour les clients « données brutes », voici les apports de cette nouvelle architecture d’export des données :

• Export proche du temps-réel, avec des fichiers disponibles à Heure+1, au lieu de Jour+1 précédemment ;
• Données disponibles en mode non compressé pendant 48 heures, possibilité de les compresser « on-the-fly » pour téléchargement ;
• 18 mois de données historisées accessibles, contre quelques mois auparavant.

Autres nouveautés

Par ailleurs, le nouveau langage de requête est production-ready. OQLv2 (ONYPHE Query Language) prend en charge des fonctions de recherches avancées, comme le support des groupes de recherches. La documentation de cette nouvelle version est disponible ici.

Des API dédiées découverte de la surface d’attaque sont également disponibles en BETA, elles seront disponibles en mode production-ready dans le courant de l’année. Vous pouvez d’ores et déjà tester ces API en suivant la documentation en ligne.

Feuille de route 2026

Ce fut à nouveau une année riche en nouveautés, mais surtout, en avancées majeures qui nous permettent d’être désormais l’un des acteurs du scan Internet les plus importants sur le marché. Et ce n’est pas fini. Voici ce que l’on prépare pour cette année :

• Nouveau site Web (landing page), avec la liste de nos produits et leur pricing ;
• Disponibilité des ASD APIs en mode production-ready ;
• 10,000 ports scannés dans CTISCAN ;
• Davantage de ports UDP scannés ;
• Scan IPv6 dans CTISCAN ;
• Davantage de ports scannés depuis la Chine (CN) ;
• Support de JARM dans CTISCAN, le dernier pivot clé pour la CTI ;
• Pour les « ASM Editions » :
  • Inventory API
  • Possibilité d’ajouter des tags sur les actifs depuis l’interface Web
  • Possibilité d’ajouter des actifs en block-list depuis l’interface Web
  • Tableaux de bords dédiés sur les alertes.

Quelques indicateurs clés des 12 derniers mois

• Nombre de ports scannés : de 1300+ à 2600+ par semaine ;
• Nombre de bannières collectées :de 5Mrd à 8Mrd+ par mois ;
• Nombre de requêtes DNS : de 4Mrd à 8Mrd+ par mois ;
• Capacité de stockage : de 300TB à 500TB ;
• Noms de domaines connus : de 300M à 400M+ ;
• FQDN connus : de 3Mrd à 7Mrd+ ;
• CVE critiques identifiées : de 110 à 160+

Et ce n’est qu’une partie de ce que nous collectons :

Conclusion

Nous continuons notre chemin pour devenir un acteur qui pèse dans le (petit) milieu du scan Internet. Vous aurez un aperçu de tout ce que nous avons réalisé en l’espace de quelques années en prenant connaissance de notre précédente rétrospective :

• Rétrospective 2024

Une autre grande nouvelle : nous recrutons. Les fiches de postes sont disponibles ici :

• Analyste CTI
• Technico-commercial
• Développeur Perl et sysadmin FreeBSD

Vous pouvez continuer à compter sur nous pour rester le leader Européen en ASD, ASM, et CTI et pour sérieusement rivaliser avec le mastodonte Américain, il se reconnaîtra (nous sommes assez confiants sur le fait qu’il nous suive).

Des questions ? Contactez-nous à support[at]onyphe{dot}io