À Propos
Contact
vu sur le blog du hacker france 2
leblogduhacker
Le Blog du HackerCe qui est sécurisé à 99% n'est pas sécurisé

Les Honeypots : des pièges à pirates

  1. Accueil
  3. Sécurité Informatique
  5. Détection de Piratages
  7. Les Honeypots : des pièges à pirates

On n’en entend pas souvent parler, mais les honeypots (pots de miel en français) sont des pièges à pirates qui remontent déjà d’il y a plus de dix années.

Un honeypot est un concept mis au point par des experts en sécurité informatique dont le but n’est pas d’empêcher les pirates d’entrer sur leurs systèmes, mais au contraire de les piéger lorsqu’ils viennent. Et donc d’étudier leur comportement pour mieux s’en protéger, en plus de leur restreindre l’accès à tout le système en production.

Ces mêmes honeypots ne sont pas utilisés et utilisables par n’importe qui dans le sens où ils impliquent un contact avec un attaquant réel et déterminé. Ce n’est pas le seul risque dû à leur utilisation, on en parlera plus tard.

Le but de cet article est d’aller plus loin que de juste présenter les honeypots, en observant un cas concret d’attaque repérée.

honeypot

Comment fonctionnent les honeypots ?

À la base, le but n’est pas d’attirer volontairement tous les pirates pour les prendre la main dans le sac, mais plutôt d’étudier leurs méthodes sur le terrain, en toute discrétion.

« Prendre un pirate la main dans le pot de miel »Cliquez pour tweeterPartager sur FacebookPartager sur LinkedIn

Le pot de miel doit ainsi être correctement configuré en fonction des attaquants à étudier. Une configuration trop simpliste laissera entrer les script-kiddies et autres logiciels automatisés. Tandis que les attaques plus ciblées dont la méthodologie est la plus intéressante demandent une configuration adaptée.

Un système volontairement vulnérable et ainsi placé dans un environnement contrôlé et surveillé en permanence. L’utilisation des honeypots demande des connaissances pointues non seulement pour analyser les attaques mais aussi pour gérer les problèmes techniques (configurations) et légaux.

Les pots de miel, un problème légal ?

Si l’on entend pas beaucoup parler de ces honeypots, c’est notamment car il y a un potentiel problème sur le plan juridique du fait de leur utilisation.

Effectivement, l’article 23 de la loi du 29 juillet 1881 sur la liberté de la presse nous dit que :

Seront punis comme complices d’une action qualifiée crime ou délit ceux qui, soit par des discours, […] soit par tout moyen de communication au public par voie électronique, auront directement provoqué l’auteur ou les auteurs à commettre ladite action, si la provocation a été suivie d’effet.

Ici, le fait de « provoquer à commettre une action » (le piratage) rend complice de cette action.

Il sera donc difficile de se plaindre d’un piratage dans le cas où l’on est complice de celui-ci.

Ce n’est pas le seul problème légal, car le honeypot récupère probablement des données à caractère personnel dont le traitement doit d’abord faire l’objet d’une déclaration à la CNIL.

Un cas concret d’attaque par Phishing

Les membres de l’association à but non lucratif The Honeynet Project partagent ce qu’ils ont appris sur les attaques repérées et étudiées sous la forme de rapports visibles à l’adresse suivante :

https://www.honeynet.org/papers

Par exemple, leur étude sur les attaques par Phishing révèle diverses techniques utilisées par les attaquants :

  • Utilisation d’adresses IP au lieu de noms de domaines
  • Utilisation de noms de domaines très similaires (le classique)
  • Tentative de compromettre le navigateur web pour faire apparaître une autre adresse URL
  • Manipuler le fichier hosts sur l’ordinateur de la victime pour faire pointer un nom de domaine vers une autre adresse IP
  • Utiliser un site malveillant comme proxy qui va récupérer les mots de passe entrés dans le formulaire puis les renvoyer vers le site réel
  • …etc

Autant d’informations que l’on connaît déjà et qui ne fonctionnent probablement plus (le rapport date un peu), mais qui peuvent aisément permettre de détecter d’autres techniques encore jamais vues auparavant.

La quantité massive d’information à traiter posant quelques problèmes, un script appelé honeysnap a été créé, dont le but est de faire ressortir rapidement les informations intéressantes sur les activités du pirate.

Un exemple a été placé à l’adresse suivante :

http://old.honeynet.org/papers/phishing/examples/honeysnap_sample1.txt

On y voit par exemple l’attaquant télécharger des archives contenant probablement des fichiers malveillants. On le voit également placer des archives dans le dossier temporaire du système sur lequel il est entré, et même supprimer des traces (les adresses IP et sites de l’attaquant ont été édités) :

25815 2004-08-02 20:22:53.337162 10.2.1.146 -> 213.218.XXX.XXX HTTP GET /Arhive/psy.tgz HTTP/1.0
27077 2004-08-02 20:37:13.767699 10.2.1.146 -> 213.218.XXX.XXX HTTP GET /Arhive/pico.tgz HTTP/1.0
[...]
[2004-08-02 19:11:41 10.2.1.146 26994 bash 0]w[BS]cd /var/tmp
[2004-08-02 19:11:42 10.2.1.146 26994 bash 0]ls
[2004-08-02 19:12:04 10.2.1.146 26994 bash 0]c[BS]ww[BS]get XXX[BS].com/Arhv[BS]ive/[BS][BS][BS][BS][BS][BS]hive/socklist.tgz 
[2004-08-02 19:18:10 10.2.1.146 26994 bash 0]tar v
[...]
[2004-08-02 19:30:34  10.2.1.146 26994 bash 0]rm -rf *z
[2004-08-02 19:30:36  10.2.1.146 26994 bash 0]rm -rf p
[2004-08-02 19:30:38  10.2.1.146 26994 bash 0]rm -rf p.c

(NDLR: [BS] signifie « BackSpace », l’attaquant appuie ainsi sur la touche « retour en arrière » pour se corriger)

Cet exemple nous permet ici de découvrir, grâce au honeypot, la méthodologie de l’attaquant une fois entré dans le système.

Du pot de miel au réseau de miel

Comme l’indique l’article dans la Revue de l’IT qui en parle :

« Pour rendre le piège plus discret, il est possible de créer un réseau de pots de miel ou honeynet »

Un honeynet (réseau de miel) est un ensemble d’honeypots. Le réseau en question n’étant pas un système en production, il n’y a aucune activité de base à part des activités potentiellement malveillantes initiées par des pirates.

Le but principal du honeynet est de récupérer des informations sur les menaces. Ces informations peuvent servir dans le milieu académique à des fins de recherches, ou au sein d’entreprises de sécurité pour créer des solutions antivirus efficaces ainsi que des signature pour les systèmes de détection d’intrusion.

Quelqu’un lit l’article jusqu’ici ?

Bon, dans ce cas je vous fournis un exclusivité une technique applicable par tous:

La Déception !

(Oui on peut l’entendre au sens français littéral, mais l’origine du mot est anglaise).

Il s’agit en fait de piéger nos propres sites, systèmes, comptes avec des faux liens !

Par exemple :

mot_de_passe.rar

photos_privees.zip

etc…

J’ai mis des liens invalides, mais ces liens peuvent tout simplement être ceux d’un service de récupération d’adresses IP ou d’alertes quelconque.

A vous de jouer ! Mais pour plus d’idées de pièges et creuse le sujet avec des exemples, il faudra vous rendre sur Cyberini, …

Le mot de la fin

Je conclurai avec des pistes supplémentaires :

Il n’existe pas que des honeypots systèmes mais aussi des honeypots sur smartphones ainsi que divers projets entrepris dans le domaine.

Je vous laisse les liens :

Et vous, que pensez-vous des honeypots ? Bonne ou mauvaise idée ? N’hésitez pas à contribuer si vous avez quelque chose à ajouter 😉

Articles similaires

Réseaux sociaux

29400
abonnés
Instagram
154000
abonnés
YouTube

Articles Populaires

 

cyberiniFORMEZ-VOUS, apprenez en ligne à VIE et faites carrière dans la cybersécurité.
Accéder à Cyberini
Menu