Fonctionnement du système

1. Réception de l’adresse IP

L’utilisateur saisit une adresse IP via l’interface web. Cette requête est envoyée vers un webhook n8n hébergé sur le serveur.

2. Orchestration via n8n

Le système repose sur un orchestrateur n8n qui déclenche automatiquement plusieurs appels vers des APIs de threat intelligence.

3. Interrogation des APIs de sécurité

Plusieurs sources sont utilisées afin de collecter des informations complémentaires :

• AbuseIPDB : réputation IP et signalements d’abus
• VirusTotal : analyse multi-sources de sécurité
• AlienVault OTX : threat intelligence et réputation globale
• IPinfo : géolocalisation et informations réseau

4. Normalisation des données

Les données provenant des différentes APIs ont des formats variés. Une étape de normalisation permet de convertir ces données en une structure commune afin de faciliter leur traitement.

5. Calcul du score de menace

Un algorithme personnalisé calcule un score global sur 100 en combinant les résultats des différentes sources. Ce score permet de déterminer un niveau de risque.

• 0 – 30 : Faible risque
• 31 – 70 : Risque moyen
• 71 – 100 : Risque élevé

6. Décision finale

Le score est converti en une décision compréhensible pour l’utilisateur :

• SAFE : aucun risque détecté
• SUSPICIOUS : activité suspecte
• MALICIOUS : activité malveillante

7. Stockage des résultats

Les résultats des analyses sont enregistrés dans une base de données Firestore afin de permettre la consultation ultérieure via la page d’historique.

8. Affichage côté utilisateur

L’interface web affiche uniquement les informations essentielles : IP, pays, organisation, score et niveau de menace. Cela permet de garder une interface simple et lisible.