Prendre un pirate la main dans le pot de miel. C’est l’objectif des « honeypot ». Ces technologies, apparues il y a maintenant une dizaine d’années, avaient été pensées pour lutter plus efficacement contre des menaces informatiques de plus en plus complexes. Alors que les pirates faisaient montre d’un niveau d’expertise de plus en plus élevé, les spécialistes en sécurité ont voulu en apprendre davantage sur leurs méthodes d’intrusion. Pour connaître leur ennemi et ainsi mieux anticiper ses attaques, les éditeurs ont commencé à mettre en place des systèmes dits de pots de miel.
Laisser le pirate agir « à sa guise »
L’idée est la suivante : un environnement informatique volontairement perméable est déployé à côté du système réel de production et minutieusement surveillé. Des services et informations factices ou non sensibles peuvent y être hébergées. À priori, aucune activité ne devrait être enregistrée sur cet espace puisque les utilisateurs accèdent eux au véritable système d’information. Si un trafic est néanmoins détecté, celui-ci peut être alors considéré comme suspect et soigneusement analysé.
La mise en place d’un leurre va permettre d’identifier très facilement une attaque et de l’analyser rapidement puisqu’il n’y a quasiment aucune autre activité dessus. Pas la peine ici de scruter des dizaines gigaoctets de données pour repérer un flux suspect. Et le honeypot ne stockant aucune donnée sensible, il est possible de laisser le pirate agir à sa guise afin de comprendre les mécanismes qu’il utilise et de trouver ensuite les protections à mettre en œuvre pour les contrer sur l’environnement de production.
Du honeypot au honeynet
La technique du pot de miel a ses détracteurs dans le monde de la sécurité informatique. Tout d’abord parce qu’elle consiste à laisser une porte ouverte à un attaquant, même si celle-ci ne débouche que sur un cul-de-sac, ensuite parce qu’elle pose des questions juridiques sur l’utilisation des données ainsi recueillies. Presque tous les éditeurs de solutions de sécurité en utilisent néanmoins et certains proposent aujourd’hui des scénarios beaucoup plus proactifs, destinés notamment aux applications web et services cloud.
Placées cette fois en amont d’un serveur, réel cette fois, elles captent les tentatives d’accès à des fichiers interdits et vont afficher en réponse un fichier factice, laissant croire au pirate qu’il a atteint son objectif. Le honeypot va alors continuer à observer les opérations effectuées sur ce fichier et enregistrer l’activité de l’adresse IP à l’origine de la requête suspecte afin de déterminer si celle-ci doit être considérée comme dangereuse. Si tel est le cas, l’adresse identifiée pourra être transmise au système de sécurité qui bloquera toute activité lui étant associée, avant même qu’une attaque ne puisse être initiée.
Reste à ce que l’attaquant ne perçoive pas le subterfuge. Si le honeypot est efficace sur des attaques automatisées, il peut rapidement être démasqué dans le cas d’une attaque ciblée réalisée par un pirate expérimenté. Pour rendre le piège plus discret, il est possible de créer un réseau de pots de miel ou honeynet. Le hacker aura ainsi davantage de travail et vous davantage de temps pour l’observer.
Vous pensiez votre PC totalement déconnecté du réseau à l’abri des pirates ? Pourtant son…
Vous pensiez l’impression 3D cantonnée à quelques prototypes en plastique ? En l’espace de quelques…
Tout arrêt de la production informatique ou toute panne sur les postes de travail peuvent…
Laisser son poste de travail librement accessible quand on quitte son bureau peut avoir des…
Les intérêts des interfaces tactiles ne se limitent pas aux petits écrans des smartphones. Sur…
Utilisées dans l’automobile ou l’architecture pour faciliter la conception d’un véhicule ou d’un bâtiment, les…