Un honeypot c’est quoi ?
Depuis toujours en cybercriminalité, les coups durs sont donnés par les pirate informatiques .
Les organisations se positionnent en mode défensif et attendent la venue de ces prédateurs.
Mais depuis quelques temps, il est possible pour ces organismes d’apprendre et de déjouer les procédés de ces méchants grâce à une nouvelle technique » honeypots « .)
Qu’est-ce que les honeypots?
Les honeypots sont des programmes qui simulent le fonctionnement de services réseau utilisant les ports de communication habituels (exemples: HTTP , FTP , POP3, etc..)
En utilisant un honeypot], un pirate suppose que vous exécutez des services vulnérables qu’il peut employer pour arrêter ou introduire votre système.
Lors des attaques effectuées par ce dernier, le honeypot journalise toutes les tentatives d’accès à ces services.
Les informations recueillies permettent alors d’en apprendre plus sur les méthodes d’intrusion utilisées et peut être de prévenir une attaque plus concertée.
Comment ça fonctionne ?
Il existe peu de différences entre un dispositif de honeypots et un système de production.
Au plus, on peut ajouter un serveur de journalisation, chargé d’enregistrer toutes les actions du pirate.
Chaque journal est très discrètement dupliqué (pour être analysé dans un environnement sécuritaire).
Cette duplication est nécessaire puisque la première action des pirates est, très souvent, de faire disparaître ledit journal afin d’effacer toutes les traces de leur passage.
Cette surveillance peut être complétée par une lecture attentive des alertes du coupe-feu, par de nombreuses vérifications du trafic réseau à l’aide d’un analyseur de protocoles (le bon vieux » sniffer « ) et par un IDS classique.
On peut renforcer le contrôle en utilisant un logiciel de surveillance des modifications des fichiers sensibles (profiles, fichiers système, tables des mots de passe, DLL, etc.).
Citation:
Ainsi, on ne reliera jamais, par quelque moyen que ce soit, le honeypot à un réseau de production.
De même, on s’assurera que le monde extérieur n’est pas vulnérable à une attaque générée à partir du système en question.
Les types de honeypots:
Le premier type de honeypot est celui qui est grossier et qui piège tous les gibiers possibles.
Il est installé sur un système qui présente une vulnérabilité visible et/ou qui a apparemment déjà été violé.
Les pirates de petite envergure se jetterons dessus.
Si la structure informatique de l’organisation qui exploite le honeypot est réputée être importante, le pirate chevronné se doutera que les compétences du service informatique sont à la mesure de la taille du réseau protégé, et qu’une liaison Telnet ouverte à tous vents, ou un port TCP béant, n’est qu’un panneau grossier dans lequel il ne tombera pas.
Pour ce type de pirate, l’utilisation du deuxième type de piège est requis.
On parle ici d’un environnement complet constitué de systèmes (réplication fidèle d’un environnement de production censé être « sécurisé« ) ayant un honeypot.
Plus le piège est évolué, plus grosses seront les prises.
Différents types de Honeypots Basé sur le niveau de la participation
Honeyd:
Il s’agit d’un type de Honeypots sous licence GPL qui en a la capacité de simuler un grand réseau tout en utilisant un seul hôte.
À l’extérieur, le Honeyd ressemble à un réseau informatique sur un réseau de l’adresse de l’espace inutilisé.
Honeytrap , Nephentes, Mwcollect:
Ils ont la capacité de se connecter en cas d’attaque.
Toutefois, ils sont également capables de collecter les données sur le virus , son code binaire , système de livraison, etc …
Ces types de honeypots sont également sous licence GPL.
Honeytrap
Il a la capacité d’écoute supplémentaire pour les ports et les attaques malveillantes reflétant le retour à leur source après des informations suffisantes ont été recueillies.
Le honeynet, est une collection d’ordinateurs et de véritables réseaux qui ne sont accessibles que par le biais d’une ligne furtivité pont qui observe et gère l’information en provenance de et vers les honeypots différents dans le réseau.
Cette capture des données, keylog information et le système de guichet unique et de grumes de systèmes de miel.
Le futur des honeypots
Les honeypots sont des outils qui gagneront en popularité.
Plus cette mode se répandra, plus les pirates douteront du terrain sur lequel ils s’aventurent, jusqu’à éviter, on peut toujours l’espérer, les systèmes ne possédant aucun honeypot.
Bien que remontant aux années septante , l’idée des réseaux factices et des machines sacrificielles commence seulement à apparaître dans le monde des réseaux de micros.
En outre, cette pratique commence à connaître un succès relatif aux Etats-Unis.
Conclusion:
Les honetpots exigent des connaissances en sécurité informatiques, un budget souvent important pour les maintenir et l’utilisation des réseaux de l’organisme pour établir les leurres.
Malgré tout, l’utilisation des honeypots est avantageuse, les informations qu’ils retournent vous en apprennent plus sur les façons de faire des pirates.
Grâce à ces informations, vous trouverez peut-être une correction à effectuer sur votre environnement.