Les honeypots

Voici un article publié dans le site Web Securisa.com le 26 octobre 2006 et dans le bulletin « La sécurité simplifiée », vol. 2, no.5 (2002/03/11):

Depuis toujours en cybercriminalité, les coups durs sont donnés par les pirates informatiques. Les organisations se positionnent en mode défensif et attendent la venue de ces prédateurs. Mais depuis quelques temps, il est possible pour ces organismes d’apprendre et de déjouer les procédés de ces méchants grâce à une nouvelle technique: les honeypots.

Qu’est-ce que les honeypots?

Les honeypots sont des programmes qui simulent le fonctionnement de services réseau utilisant les ports de communication habituels (exemples: HTTP, FTP, POP3, etc.) En utilisant un honeypot, un pirate suppose que vous exécutez des services vulnérables qu’il peut employer pour arrêter ou introduire votre système. Lors des attaques effectuées par ce dernier, le honeypot journalise toutes les tentatives d’accès à ces services. Les informations recueillies permettent alors d’en apprendre plus sur les méthodes d’intrusion utilisées et peut être de prévenir une attaque plus concertée.

Comment ça fonctionne?

Il existe peu de différences entre un dispositif de honeypots et un système de production. Au plus, on peut ajouter un serveur de journalisation, chargé d’enregistrer toutes les actions du pirate. Chaque journal est très discrètement dupliqué (pour être analysé dans un environnement sécuritaire). Cette duplication est nécessaire puisque la première action des pirates est, très souvent, de faire disparaître ledit journal afin d’effacer toutes les traces de leur passage.

Cette surveillance peut être complétée par une lecture attentive des alertes du coupe-feu, par de nombreuses vérifications du trafic réseau à l’aide d’un analyseur de protocoles (le bon vieux « sniffer ») et par un IDS classique (système de détection d’intrusion). On peut renforcer le contrôle en utilisant un logiciel de surveillance des modifications des fichiers sensibles (profiles, fichiers système, tables des mots de passe, DLL, etc.). Pourtant, malgré toutes ces précautions, le spécialiste de sécurité qui prépare l’appât ne doit jamais oublier que le danger n’est jamais écarté. Ainsi, on ne reliera jamais, par quelque moyen que ce soit, le honeypot à un réseau de production. De même, on s’assurera que le monde extérieur n’est pas vulnérable à une attaque générée à partir du système en question.

Les types de honeypots

Le premier type de honeypot est celui qui est grossier et qui piège tous les « gibiers » possibles. Il est installé sur un système qui présente une vulnérabilité visible et/ou qui a apparemment déjà été violé. Les pirates de petite envergure se jetterons dessus. Si la structure informatique de l’organisation qui exploite le honeypot est réputée être importante, le pirate chevronné se doutera que les compétences du service informatique sont à la mesure de la taille du réseau protégé, et qu’une liaison Telnet ouverte à tous vents, ou un port TCP béant, n’est qu’un panneau grossier dans lequel il ne tombera pas. Pour ce type de pirate, l’utilisation du deuxième type de « piège » est requis. On parle ici d’un environnement complet constitué de systèmes (réplication fidèle d’un environnement de production censé être « sécurisé ») ayant un honeypot. Pour le piège est évolué, plus grosses seront les prises.

Le futur des honeypots

Les honeypots sont des outils qui gagneront en popularité. Plus cette mode se répandra, plus les pirates douteront du terrain sur lequel ils s’aventurent, jusqu’à éviter, on peut toujours l’espérer, les systèmes ne possédant aucun honeypot. Bien que remontant aux années soixante-dix, l’idée des réseaux factices et des machines sacrificielles commence seulement à apparaître dans le monde des réseaux de micros. En outre, cette pratique commence à connaître un succès relatif aux Etats-Unis.

Conclusion

Les honetpots exigent des connaissances en sécurité informatiques, un budget souvent important pour les maintenir et l’utilisation des réseaux de l’organisme pour établir les leurres. Ils exigent également des nerfs d’acier pour supporter sans broncher les assauts des pirates et un optimisme inébranlable pour entretenir un service « non productif » face, bien souvent, à une direction hermétique à l’intérêt de cette guerre du cyber-espace. Malgré tout, l’utilisation des honeypots est avantageuse; les informations qu’ils retournent vous en apprennent plus sur les façons de faire des pirates. Grâce à ces informations, vous trouverez peut-être une correction à effectuer sur votre environnement.