Les honeypots (pots de miel)

Décembre 2016

Petit historique, il nous faut remonter en Janvier 2004. Les prévisions des analystes américains indiquent un pic en matière de délinquance informatique et de cyber-terrorisme et les experts s'alarment sur la sophistication croissante des crimes informatiques.

Pour tenter de cerner cette menace de l'intérieur et pouvoir étudier les activités de ces cyber pirates, la communauté des experts en sécurité informatique continue de déployer un nouveau concept : celui des honeypots ou, dans sa traduction française, de (systèmes) " pots de miel "...

Un concept "pot-pourri", empruntant différentes techniques anti-intrusion qui forment l'état de l'art actuel, et qui consiste, d'une manière générique, à mettre en place des systèmes volontairement vulnérables, c'est-à-dire conçus pour être scannés, attaqués et compromis, dans le but soit d'observer les comportements et de connaître les outils et les méthodes d'attaque des pirates (honeypots de recherche), soit de contribuer directement à la politique de sécurité d'une organisation (honeypots de production). Un concept, haut en couleurs, à la pointe de la lutte contre la criminalité informatique mais qui se révèle rapidement lui-même en proie à de sérieux questionnements juridiques.

Sommaire :


Honeypots, le "piège à pirates" : mythes et réalité


Le terme de honeypot ou, en français, de système " pot de miel " est un principe consistant à utiliser des systèmes pour attirer et piéger les pirates informatiques par la ruse, afin notamment de collecter des informations sur leurs méthodes. Or, une telle définition suggère très vite que l'on se situe sur un terrain très proche de la provocation aux crimes et aux délits.

Cette association d'idées explique sans doute en partie le faible taux d'utilisation des honeypots dans les environnements de production, l'incertitude quant aux risques juridiques relatifs à ce mécanisme de sécurité tendant ainsi à freiner les organisations dans l'adoption d'un tel système.

Cependant grâce aux travaux de Lance Spitzner, l'un des fondateurs du très médiatique " projet Honeynet (voir NOTA) " cette image de " piège à pirates " assimilée à de la provocation s'avère rapidement une idée trompeuse et permet de convaincre les utilisateurs sceptiques sur l'utilité des honeypots.

NOTA : Projet né en juin 2000, regroupant des professionnels de la sécurité informatique, et consistant dans le déploiement de " réseaux à pirater " en différents endroits de la planète et dont l'objectif est essentiellement pédagogique (apprendre les techniques, stratégies et motivations des pirates informatiques pour mieux s'en défendre et partager cette information). Site web The Honeynet Project

Principe de fonctionnement


Les honeypots sont des systèmes de sécurité qui n'ont aucune valeur de production. Dès lors, aucun utilisateur ni aucune autre ressource ne devrait en principe avoir à communiquer avec lui. L'activité ou le trafic attendu sur le honeypot étant nul à la base, on en déduit a contrario que toute activité enregistrée par cette ressource est suspecte par nature.

Ainsi, tout trafic, tout flux de données envoyé à un honeypot est probablement un test, un scan ou une attaque. Tout trafic initié par un honeypot doit être interprété comme une probable compromission du système et signifie que l'attaquant est en train d'effectuer des connexions par rebond.
Généralement, un honeypot se comporte telle une boîte noire, enregistrant passivement toute l'activité et tout le trafic qui passe par lui.

Il est très important de prendre en compte l'exploitation des données qui va se révéler déterminant dans la définition de l'impact juridique en matière de honeypots.

" Honeypots, tracking hackers" : quelles limites à la capture des données et à la surveillance de l'activité des attaquants ?


Il faut savoir que le trafic capté par les honeypots est à la fois réduit (effet microscope) et suspect par nature. Les fichiers des enregistrements d'évènements (fichiers de logs) sont donc peu volumineux et il est plus aisé d'identifier une activité malveillante. En fonction de la nature des données collectées, on pourra ainsi retracer précisément les flux échangés:
  • provenance,
  • activité,
  • date,
  • durée,
  • volume ... et parfois même,
  • le contenu des données échangées (keystrokes, messages IRC par exemple).


Cependant, la capture de ces données oblige à se poser en droit plusieurs questions :
  • Quelle est la nature des données collectées et le régime juridique applicable? (applicabilité de la législation sur la protection des données à caractère personnel)
  • Quelles sont les limites à la surveillance de l'activité de l'intrus (problématique des "attaquants internes ") et des moyens utilisés pour capter ces données (keystrokes, interception de chat)?

Quelques solutions existantes


Pour faire simple en terme de version actuelle, on retient :

Pour aller plus loin


En terme de sécurité informatique et d'exploitation de faille, mais aussi en terme de sécurité/justice je vous propose de lire également cette astuce sur le Projet Metasploit

A voir également :

Ce document intitulé «  Les honeypots (pots de miel)  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.