🔍 Contexte

Publié en avril 2026 sur GitHub par BishopFox, Cirro est une plateforme de recherche en sécurité open-source destinée aux chercheurs et aux testeurs d’intrusion. Elle permet de collecter, analyser et visualiser des environnements cloud ainsi que les relations d’identité au travers de bases de données graphes.

🏗️ Architecture et fonctionnalités

Cirro repose sur une architecture modulaire articulée autour de deux fonctions principales :

  • cirro collect : collecte d’informations depuis diverses plateformes et APIs
  • cirro graph : gestion des opérations sur la base de données graphe (ingestion, export)

L’outil supporte plusieurs méthodes d’authentification pour Azure (Azure CLI, client secret, certificat client, access token, username/password) ainsi que la collecte de données Tailscale pour l’analyse de topologie réseau.

🗄️ Backend et intégration

Cirro utilise Neo4j comme base de données backend. Des fichiers docker-compose sont fournis pour faciliter le déploiement conteneurisé. Les données collectées sont ingérées via la commande cirro graph ingest et exportables dans différents formats.

🛠️ Installation et build

L’outil est développé en Rust (cargo build --release) et disponible pour Windows, macOS et Linux. Des binaires pré-compilés sont disponibles sur la page des releases GitHub. Un tableau de bord complémentaire, CirroDash, est disponible à l’adresse https://github.com/bishopfox/cirrodash.

📌 Nature de l’article

Il s’agit d’une annonce de nouvel outil open-source à destination des professionnels de la sécurité offensive (pentesters, chercheurs). L’objectif principal est de présenter les capacités, l’architecture et les modalités d’installation de Cirro pour la cartographie et l’analyse des environnements cloud.

🧠 TTPs et IOCs détectés

TTP

  • T1526 — Cloud Service Discovery (Discovery)
  • T1087 — Account Discovery (Discovery)

Malware / Outils

  • Cirro (tool)

🔴 Indice de vérification factuelle : 23/100 (basse)

  • ⬜ github.com — source non référencée (0pts)
  • ✅ 3962 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 2 TTP(s) MITRE (8pts)
  • ⬜ date RSS ou approximée (0pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://github.com/bishopfox/cirro