CyberChef : le couteau suisse de l'analyse de données

CyberChef est une application web open source créée par le GCHQ (le renseignement britannique) pour encoder, décoder, déchiffrer, compresser et analyser des données sans écrire une ligne de code. Son principe : enchaîner des opérations dans une recette, comme une suite de filtres. Atout majeur pour un analyste SOC ou un DevSecOps : tout le traitement se fait dans votre navigateur, aucune donnée n'est envoyée à un serveur. Ce guide explique son fonctionnement, ses opérations clés, ses cas d'usage en sécurité (décoder une payload, défanger des IoC) et comment l'auto-héberger.

Essayer en 10 secondes

Version en ligne : gchq.github.io/CyberChef. Collez une donnée encodée, ajoutez l'opération Magic, et CyberChef devine souvent l'encodage tout seul.

Ce que vous allez apprendre

• Ce qu'est CyberChef et pourquoi tout se passe dans le navigateur.
• Le principe des recettes et des opérations.
• Les opérations à connaître pour la sécurité.
• Des cas d'usage SOC : décoder une payload, défanger des IoC, lire un JWT.
• Comment auto-héberger CyberChef en Docker et l'utiliser en ligne de commande.

Qu'est-ce que CyberChef ?

CyberChef se présente comme « le couteau suisse cyber » (The Cyber Swiss Army Knife). C'est une application web publiée par le GCHQ sous licence Apache 2.0 (Crown Copyright), dont le code est sur github.com/gchq/CyberChef.

Sa caractéristique la plus importante pour la sécurité : 100% côté navigateur. La documentation officielle est explicite : aucune configuration de recette ni aucune entrée (texte ou fichier) n'est envoyée au serveur web. Tout le traitement a lieu localement. Vous pouvez donc y coller des données sensibles sans les exposer, ou l'utiliser hors-ligne.

CyberChef réunit en un seul endroit ce qui demanderait sinon une dizaine d'outils en ligne de commande (base64, xxd, openssl, gzip...), avec un aperçu instantané à chaque étape.

Recettes et opérations : le principe

Le cœur de CyberChef tient en deux notions :

• une opération (operation) est une transformation unitaire : décoder du Base64, déchiffrer en AES, extraire des adresses IP...
• une recette (recipe) est une suite ordonnée d'opérations appliquée à votre entrée.

Vous glissez-déposez les opérations (plus de 300 disponibles) dans la zone recette, vous les réordonnez, et le résultat se recalcule en direct. On peut traiter des fichiers jusqu'à 2 Go.

Recettes partageables

L'état complet d'une recette est encodé dans l'URL. Vous pouvez donc partager une recette d'analyse à un collègue par simple lien, ou la sauvegarder dans vos notes d'incident.

L'opération Magic : la détection automatique

Quand vous ne savez pas sous quel encodage se trouve une donnée, l'opération Magic l'analyse et propose les décodages probables, souvent en un clic. C'est le premier réflexe face à une chaîne obscure : Magic reconnaît Base64, hexadécimal, URL encoding, compression et bien d'autres, et détecte les encodages en cascade.

Les opérations à connaître

Quelques opérations reviennent constamment en sécurité (noms exacts CyberChef) :

Catégorie	Opérations
Encodage	From Base64 / To Base64, From Hex / To Hex, URL Decode / URL Encode
Chiffrement	XOR, AES Decrypt, DES Decrypt, JWT Decode
Compression	Gunzip / Gzip
Analyse (IoC)	Extract IP addresses, Extract URLs, Defang URL, Defang IP Addresses
Divers	Regular expression, From Hexdump, Magic

Glissez pour voir

Pour comprendre ce que fait chaque opération, rien ne vaut l'équivalent en ligne de commande. Ces transformations, validées en lab, sont exactement ce que CyberChef enchaîne visuellement :

# From Base64 : decoder une chaine encodee
echo "RGV2U2VjT3BzIQ==" | base64 -d        # -> DevSecOps!

# To Hex : representation hexadecimale
echo -n "Hello" | od -An -tx1 | tr -d ' '   # -> 48656c6c6f

# ROT13
echo "Hello DevSecOps" | tr 'A-Za-z' 'N-ZA-Mn-za-m'   # -> Uryyb QriFrpBcf

# Base64 en cascade (double encodage, frequent dans les payloads)
echo -n "secret" | base64 | base64          # -> YzJWamNtVjAK

Cas d'usage SOC et DevSecOps

CyberChef brille dans le travail d'analyse au quotidien :

1. Décoder une payload encodée en cascade

   Une charge malveillante est souvent empilée : Base64, puis Gunzip, puis Hex. Recette : From Base64 -> Gunzip -> From Hex. En cas de doute, Magic identifie la pile.

2. Désobfusquer une commande PowerShell

   Le paramètre -EncodedCommand de PowerShell est du Base64 en UTF-16LE. Recette : From Base64 puis Decode text (UTF-16LE). La commande réelle apparaît.

3. Défanger des IoC pour les partager sans risque

   Avant de partager une URL ou une IP malveillante, on la défang pour qu'elle ne soit pas cliquable : Defang URL transforme http://mechant.com en hxxp://mechant[.]com. Defang IP Addresses fait de même pour les IP.

4. Extraire des IoC d'un texte

   Extract IP addresses et Extract URLs récupèrent tous les indicateurs d'un log ou d'un mail de phishing en une opération.

5. Lire un JWT

   JWT Decode affiche l'en-tête et la charge utile d'un jeton, utile pour vérifier les claims sans déchiffrer.

Base64 n'est pas du chiffrement

Décoder du Base64 avec CyberChef rappelle une évidence trop souvent oubliée : le Base64 est un encodage, pas un chiffrement. C'est exactement pourquoi les Secrets Kubernetes, encodés en Base64, ne sont pas protégés par cet encodage. Les attaquants décodent ces payloads aussi vite que vous (voir la phase d'installation d'une attaque).

Vos données restent-elles privées ?

Oui. CyberChef ne transmet rien : pas de recette, pas d'entrée. Tout est traité par le moteur JavaScript de votre navigateur. C'est ce qui le rend acceptable pour analyser des données sensibles, à condition d'utiliser une instance de confiance. Pour un usage en environnement isolé (air-gap, SOC durci), on l'auto-héberge ou on utilise la version standalone (un fichier HTML autonome).

Déployer CyberChef

Trois options selon le besoin :

Docker (officiel)

L'image officielle du GCHQ, exposée sur le port 8080 :

docker run -d -p 8080:8080 ghcr.io/gchq/cyberchef:latest

Validé en lab : la page répond en HTTP 200 avec le titre CyberChef. Ouvrez http://localhost:8080.

Docker (communautaire)

L'image mpepping/cyberchef, reconstruite quotidiennement, expose le port 8000 :

docker run -d -p 8000:8000 mpepping/cyberchef

Attention à ne pas confondre les ports : 8080 pour l'image officielle, 8000 pour celle-ci.

Standalone

CyberChef se télécharge en fichier autonome depuis les releases GitHub. Un simple double-clic l'ouvre dans le navigateur, sans serveur ni connexion : idéal pour une VM d'analyse ou un réseau air-gapped.

CyberChef en ligne de commande

Pour scripter des recettes ou les intégrer à un pipeline, le projet CyberChef-server (github.com/gchq/CyberChef-server) expose une API HTTP qui « cuisine » une recette côté serveur :

docker run -d --rm -p 3000:3000 cyberchef-server
# POST /bake : { "input": "...", "recipe": [{ "op": "From Base64" }] }

CyberChef fournit aussi une API Node.js utilisable par programme. Le bon partage des rôles : l'interface web pour l'exploration interactive, CyberChef-server pour l'automatisation.

CyberChef ou les commandes Unix ?

Les deux ont leur place :

	CyberChef	Commandes Unix
Exploration interactive	excellente (visuel, Magic)	fastidieuse
Mémorisation	aucune (drag-drop)	il faut connaître base64, xxd, openssl...
Automatisation / CI	via CyberChef-server	native
Partage d'une analyse	par URL	par script

Glissez pour voir

Pour analyser et comprendre une donnée inconnue, CyberChef est imbattable. Pour un pipeline reproductible, les outils en ligne de commande (ou CyberChef-server) restent la bonne réponse.

À retenir

• CyberChef est l'app web du GCHQ (Apache 2.0) pour encoder, déchiffrer et analyser des données par recettes d'opérations.
• Tout est traité dans le navigateur : aucune donnée n'est envoyée à un serveur.
• Une recette enchaîne des opérations (plus de 300) ; l'opération Magic détecte l'encodage automatiquement.
• Cas d'usage clés : décoder des payloads en cascade, désobfusquer PowerShell, défanger et extraire des IoC, lire un JWT.
• Base64 n'est pas du chiffrement : CyberChef le rappelle en une opération.
• Auto-hébergement Docker : ghcr.io/gchq/cyberchef (port 8080) ou mpepping/cyberchef (8000) ; CyberChef-server pour l'API.

FAQ : questions fréquentes sur CyberChef

Qu'est-ce que CyberChef ?

CyberChef est une application web open source du GCHQ (licence Apache 2.0) pour encoder, décoder, déchiffrer et analyser des données sans coder, en enchaînant des opérations dans une recette. Tout le traitement se fait dans le navigateur : aucune donnée n'est envoyée à un serveur.

CyberChef est-il sûr ? Mes données sont-elles envoyées ?

Non, aucune donnée n'est transmise : ni la recette ni l'entrée (texte ou fichier) ne sont envoyées au serveur, tout le traitement a lieu dans le navigateur. Pour des données très sensibles, on peut auto-héberger CyberChef ou utiliser la version standalone hors-ligne.

Comment héberger CyberChef ?

Trois options : la version en ligne gchq.github.io/CyberChef ; en Docker avec l'image officielle ghcr.io/gchq/cyberchef (port 8080) ou mpepping/cyberchef (port 8000) ; ou la version standalone, un fichier HTML autonome sans serveur, idéal pour une VM isolée.

Qu'est-ce qu'une recette CyberChef ?

Une recette est une suite ordonnée d'opérations appliquée à une entrée. Chaque opération transforme la donnée (décoder du Base64, déchiffrer, extraire des IP), enchaînée par glisser-déposer. L'état de la recette est encodé dans l'URL : on peut la sauvegarder et la partager par lien.

À quoi sert l'opération Magic de CyberChef ?

Magic détecte automatiquement l'encodage probable d'une donnée et propose les décodages en un clic. C'est le premier réflexe face à une chaîne obscure : il reconnaît Base64, hexadécimal, URL encoding, compression, et détecte les encodages empilés en cascade.

Peut-on utiliser CyberChef en ligne de commande ?

Oui, via CyberChef-server, une application Node.js qui expose une API HTTP pour appliquer une recette côté serveur (endpoint /bake, /batch/bake pour un lot). L'interface web sert à l'exploration interactive, CyberChef-server à l'automatisation dans les scripts et pipelines.

Prochaines étapes

Secrets Kubernetes : pourquoi Base64 ne protège rien Décodez un Secret K8s et comprenez la différence encodage / chiffrement.

Phase d'installation d'une attaque Comment les attaquants encodent leurs payloads pour passer inaperçus.

Gitleaks : détecter les secrets exposés Un scanner qui décode lui aussi Base64, Hex et URL pour traquer les secrets.

Diagnostic TLS avec openssl L'autre couteau suisse, côté certificats et chiffrement TLS.

×

📖 Voir la documentation →