Honeypot – c’est quoi ??? – Comment piéger les intrus
Vous connaissez certainement ce sympathique Winnie Pooh. Qu’est ce qu’il aimait le plus ? Mais bien sûr, du miel… Parfois, il rendait des visites en cachette à son ami Lapin, dans le but de lui dérober quelques pots. Il ne se décourageait même pas, si parfois, il restait coincé dans l’entrée assez étroit du terrier de ce dernier…
Dans le jargon de la sécurité informatique, un honeypot (en français, au sens propre pot de miel) est une méthode de défense qui consiste à attirer sur des ressources du réseau, des adversaires déclarés ou potentiels afin de les identifier, observer et éventuellement de les neutraliser. Les Honeypots sont très connus des services d’administration et de sécurité du réseau. Je pense que la grande majorité de ces attaquants savent déjà chez qui ils vont s’attaquer. Ils préféreront alors attaquer des infrastructures réseau de petites tailles car il faut savoir que les moyennes et grandes structures possèdent généralement toute une panoplie de système de sécurité en amont, le plus souvent virtualisée, pour justement cloisonner et centraliser leur logs (journaux d’événements etc.) sur des serveurs sécurisés isolés.
Les Honeypots possèdent plusieurs fonctionnalités essentielles qui contribuent à leur efficacité en matière de cybersécurité :
Les honeypots trompent les attaquants en leur faisant croire qu’ils ont trouvé une véritable cible, tout les éloignant ainsi des ressources critiques du réseau.
Ils fournissent des signes d’attaques potentielles, ce qui permet aux administrateurs des réseaux de prendre rapidement des mesures préventives.
Les honeypots collectent des données précieuses sur les nouvelles menaces et les nouveaux modèles d’attaque, ce qui améliore ainsi les renseignements sur les menaces.
En analysant le comportement et les tactiques des attaquants, les équipes de sécurité peuvent améliorer la réponse aux incidents et renforcer les défenses.
Malheureusement il existe un grand nombre d’infrastructures qui n’ont pas pris la mesure de l’enjeu de la cybersécurité et des cybermenaces aux sérieux. Très souvent c’est pour des raisons économiques et financières, mais le plus souvent c’est par une simple négligence… Le plus grand souci aujourd’hui est l’activité d’infogérance qui s’est auto proclamée le leader de la supervision, du support et de la sécurité des réseaux. Ce qui a pour effet de faire croire à leurs clients que tout va bien, “on gère la situation”!..
Oh que non !!!
Le concept du honeypot remonte à la fin des années 1980. C’était en 1989 que Clifford Stoll, un astronome devenu par la force de choses, un administrateur système au Lawrence Berkeley National Laboratory, a créé l’une des premières formes de honeypots. C’était pendant sa deuxième journée du travail à son nouveau post, que son chef lui avait demandé de mener une enquête sur un incident de piratage et du vol d’une modique somme de 0,75$ liée à l’utilisation des ressources informatiques du laboratoire. C’est ainsi qu’il a réussi à piéger un pirate informatique tenace, identifié plus tard comme la recrue du KGB Markus Hess.
Clifford Stoll a mis en place un honeypot pour traquer ce mystérieux intrus qui a piraté plusieurs comptes informatiques du laboratoire et tenté de violer la sécurité militaire américaine, tout en utilisant les ressources du réseau du laboratoire, comme une passerelle.
Finalement Clifford Stoll a retransmis les détails de son investigation aux autorités, ce qui a permis d’arrêter ce dangereux pirate, qui s’introduisait dans le réseau du Lawrence Berkeley National Laboratory depuis le Berlin Ouest (oui, c’était en 1989 avant la chute du mur du Berlin et à cette époque, l’Allemagne et la ville de Berlin étaient partagées en deux parties).
Cet incident est reconnu comme l’un des premiers exemples de la cybercriminalité. A l’époque, obtenir la coopération des forces de l’ordre était un énorme défi en raison de la nature relativement nouvelle du crime. Comme il n’y avait pas des lois visant la criminalité numérique, Marcus Hess était donc arrêté pour “vol d’électricité“.
Il a été jugé en 1990 et Clifford Stoll avait témoigné contre lui. Markus Hess était reconnu coupable d’espionnage et a été condamné à vingt mois de prison avec sursis.
Depuis cette époque, la législation avait évolué et maintenant, le piratage informatique est considéré comme une activité criminelle. Voici l’extrait du code pénal en vigueur:
Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est passible de trois ans d’emprisonnement et de 100 000 euros d’amende.
article 323-1 du Code pénal
Si vous souhaitez explorer un honeypot ssh/telnet et visualiser de données récoltées sur les multiples tentatives d’intrusion et cyberattaques, nous vous proposons une visite visite guidée du notre. Nous allons évoquer le sujet de la sécurité des périphériques connectés et analyser les techniques d’attaques utilisés par les cyberdélinquants…
