Qu’est-ce qu’un honeypot ?

Les questions de sécurité sont devenues l’un des aspects les plus importants d’un réseau d’entreprise, en particulier la sécurité du réseau sur le serveur. Celles-ci sous-tendent la nécessité de mettre en place un système capable de détecter les menaces lancées par les cybercriminelles afin de les contrer. Il existe plusieurs manières d’y parvenir, mais avez-vous envisagé d’implémenter un honeypot de malwares ?

Cette solution consiste à attirer volontairement les cybercriminels dans le but de les prendre la main dans le sac. Bref, il s’agit de créer des pièges à pirates.

Attirer les pirates (et éventuellement les malwares) peut sembler contre-intuitif, mais il y a de grands avantages à en installer un honeypot. Explications !

Qu’est-ce qu’un honeypot ?

Essayons de définir en quelques points la signification de ce terme :

Un honeypot est un système en réseau que les administrateurs réseau créent en guise de leurre afin d’attirer les cybercriminels et pour détecter, dévier ou étudier leurs tentatives de piratage.

• Il s’agit d’un système qui a été délibérément rendu vulnérable tel qu’un serveur ou un appareil de grande valeur.
• Un honeypot est donc conçu pour se présenter sur le web comme une cible potentielle pour les pirates.
• Pourtant, un honeypot est une sorte de diversion de l’attention des pirates, qu’ils pensent qu’ils ont réussi à faire tomber en panne un appareil ou un serveur et à récupérer des données sensibles d’un réseau.
• Le honeypot permet de recueillir des informations et de notifier aux administrateurs réseau les tentatives d’accès au faux serveur par des utilisateurs non autorisés, alors que les données que ces derniers obtiennent ne sont pas importantes et que l’emplacement de ces informations est sécurisé.

Les honeypots constituent un outil important pour les grandes entreprises qui souhaitent mettre en œuvre une défense active contre les pirates. Ils permettent également aux chercheurs en cybersécurité d’en savoir plus sur les techniques et les outils utilisés par les attaquants.

Notons que le coût de maintenance d’un honeypot peut être plus ou moins élevé, car sa mise en œuvre et son administration peuvent requérir des compétences spécialisées.

Comment fonctionne un honeypot ?

Un honeypot est généralement constitué d’un ordinateur, de plusieurs applications et de données qui sont utilisés pour simuler le comportement d’un système réel. Il apparaît donc comme un système qui fait partie d’un réseau. Pourtant, il est en réalité isolé et rigoureusement surveillé.

Ces dispositifs peuvent prendre la forme de machines virtuelles délibérément affaiblies et placées dans une zone accessible du réseau. Elles présentent souvent des mises à jour de sécurité critiques manquantes, des ports ouverts, des services inutiles activés, de telle sorte que les pirates puissent les exploiter.

Bien entendu, un système honeypot est également sécurisé par des comptes administrateur, mais les mots de passe sont souvent faibles ou inexistants.

Ceci permet d’augmenter les chances que les pirates s’intéressent aux honeypots. En effet, ces faiblesses en matière de sécurité leur feront croire qu’ils ont trouvé une cible facile à infiltrer.

En réalité, ils perdent leur temps, car les administrateurs réseau surveillent leur activité et bloquent leur accès au reste du réseau. Le temps qu’ils réalisent ce qui se passe, les administrateurs auront déjà recueilli suffisamment d’informations pour renforcer leur réseau ou pour signaler l’activité malveillante aux autorités compétentes.

On utilise généralement les machines virtuelles pour héberger les honeypots. Ainsi, au cas où celles-ci seraient compromises par des malwares, le honeypot pourra être rapidement restauré.

Autre élément important : comme les utilisateurs légitimes n’ont aucune raison d’accéder aux honeypots que vous avez mis en place, toute tentative d’accès à un honeypot particulier doit donc être considérée comme hostile.

Avantages et inconvénients des honeypots

Sachez que la mise en place des honeypots nécessite des ressources importantes. Pourtant, elle offre des avantages non-négligeables dont voici quelques-uns :

• Les honeypots collectent des données provenant des activités non autorisées et des attaques réelles, ce qui fournit aux analystes une riche source d’informations.
• Les technologies ordinaires de détection d’attaques cybercriminelles génèrent des alertes pouvant inclure un volume important de faux positifs. Par contre, les honeypots réduisent ce volume, car les utilisateurs légitimes n’ont aucune raison d’y accéder.
• La mise en place des honeypots offre un bon retour sur investissement puisqu’ils ne nécessitent pas de ressources à haute performance pour analyser de grands volumes de trafic réseau dans le but de rechercher les menaces. En réalité, les honeypots n’interagissent qu’avec des activités malveillantes.
• Les honeypots peuvent détecter les activités malveillantes, même si les pirates utilisent la technique du chiffrement.

Force est toutefois de constater que les honeypots présentent quelques inconvénients :

• Ils ne collectent les informations que lorsqu’une attaque se produit. Le fait qu’aucune tentative malveillante n’accède pas au honeypot ne signifie donc pas qu’il n’y a aucune menace de cybersécurité.
• Le trafic malveillant capturé ne peut être collecté que lorsqu’une attaque vise le réseau de honeypot. Au cas où les attaquants soupçonneraient qu’un réseau est un honeypot, ils pourraient donc l’éviter.
• Les honeypots se distinguent souvent des systèmes de protection légitimes. Autrement dit, les pirates informatiques expérimentés parviennent souvent à différencier un système légitime d’un honeypot en utilisant des techniques avancées.

En résumé, les honeypots peuvent aider les chercheurs et administrateurs réseau à comprendre les menaces qui sont susceptibles de porter atteinte aux systèmes en réseau. Néanmoins, il faut qu’ils soient configurés correctement, sinon ils peuvent constituer un moyen pour les pirates d’accéder à des systèmes légitimes ou servir de rampe de lancement pour d’autres attaques cybercriminelles.

Conseils pratiques sur la mise en place d’un honeypot de malwares

Un honeypot de malwares peut être très bénéfique pour une organisation.

Cependant, il est important de l’installer correctement et d’engager suffisamment de ressources pour sa maintenance et son entretien.

Un honeypot de malwares n’aura que peu d’utilité, sauf s’il peut facilement être identifié comme un faux système et s’il peut être utilisé comme une plate-forme pour attaquer votre système.

Vous trouverez ci-dessous quelques conseils et astuces pour commencer.

Quel degré d’interaction recherchez-vous ?

Lorsque vous configurez un honeypot de malwares, vous devez décider du niveau d’interaction que vous souhaitez. Quelle marge de manœuvre donnerez-vous à un pirate informatique ? Quelle quantité d’activité êtes-vous prêt à autoriser ?

D’une manière générale, plus vous permettez d’interactions, plus vous aurez besoin de temps afin de configurer et de maintenir votre honeypot de malwares.

Vous devez également garder à l’esprit que plus vous permettez d’interactions, plus le risque que l’attaquant s’échappe du honeypot et lance une attaque sur vos systèmes est élevé. En effet, les honeypots de malwares à forte interaction exécutent de véritables systèmes d’exploitation. Par contre, si vous êtes satisfait de l’interaction de bas niveau, vous pouvez utiliser l’émulation, ce qui nécessite moins de maintenance et comporte moins de risques.

Les systèmes de honeypots de malwares prêts à l’emploi sont peut-être le point de départ le plus facile, bien qu’il existe des options open source qui peuvent être modifiées pour répondre à vos besoins. Ce n’est pas parce que vous utilisez un honeypot commercial que vous devez dépenser beaucoup. Il y a beaucoup d’options gratuites à essayer.

Honeypots de malwares, et plus encore…

Un paquet d’attaques informatiques est généralement le point de départ logique avant de passer à des options open source ou à des systèmes de honeypots coûteux et complets.

Vous pouvez évaluer l’intérêt d’utiliser un honeypot pour détecter les malwares. Si cela s’avère utile, vous pouvez consacrer plus de temps et de ressources au développement d’un honeypot entièrement personnalisé pour votre organisation.

Vous pouvez également commencer avec un honeypot de malwares et, si vous êtes satisfait des résultats, configurer un honeypot pour SCADA/ICS et pour vos services Web.

 Les exemples des Honeypots que Nous vous suggérons :

Honeyd

Un excellent choix pour simuler plusieurs hôtes et services sur une seule machine en utilisant la virtualisation. Ce honeypot à faible interaction permet de mettre en place un réseau convaincant impliquant de nombreux systèmes d’exploitation tels que Windows, Linux et Unix au niveau de la pile TCP/IP. Il est capable d’identifier passivement les hôtes distants.

Kippo

Il existe une façon courante de fournir un accès shell à distance sur un système d’exploitation. En effet, vous pouvez utiliser le protocole réseau Secure Shell (SSH). En utilisant ce protocole, vous pouvez établir une connexion distante sécurisée sur un réseau non sécurisé afin d’accéder à un shell distant. Mais pour s’y connecter, l’utilisateur doit d’abord s’authentifier auprès du serveur SSH. Le problème est que les pirates peuvent s’authentifier en récupérant le mot de passe lors d’une attaque par force brute.

Kippo est un honeypot à interaction moyenne conçu pour enregistrer toutes les attaques par force brute et toutes les interactions shell réalisées par les pirates. Il dispose d’un faux système de fichiers qui peut simuler un serveur Debian Linux. C’est ce que les attaquants voient lors de la connexion, c’est-à-dire qu’ils peuvent naviguer sur le serveur, mais ils ne peuvent pas faire de réels dégâts.

Kippo possède également d’excellentes capacités de journalisation et permet de visionner la rediffusion d’une attaque. De plus, il permet de créer des systèmes de fichiers complets.

Dionaea

C’est un bon honeypot de malwares basé sur Windows. Dionaea peut piéger les malwares qui exploitent les vulnérabilités exposées par les services offerts à un réseau.

Son but ultime est d’obtenir une copie du malware.

Ghost USB

Il s’agit d’un honeypot qui détecte les malwares diffusés via des clés USB. En gros, Ghost USB imite un périphérique de stockage USB.

Au cas où votre machine serait infectée par un malware utilisant de tels dispositifs pour se propager, Ghost USB incitera le malware à infecter le dispositif émulé.

Glastopf

Glastopf est un honeypot avec une faible interaction.

Son principe consiste à émuler un serveur web vulnérable qui héberge de nombreuses applications et pages web présentant des milliers de vulnérabilités.

Thug

C’est un honeypot côté client qui imite un navigateur Web. L’outil sert à explorer et interagir avec un site web malveillant afin de détecter le code malveillant ainsi que les objets qu’il contient.

On utilise souvent le terme « Thug » pour l’apprentissage et l’analyse des malwares ou pour la découverte de menaces.

Paquets de honeypots puissants

Il existe trois excellents ensembles complets de honeypots qui sont énumérés ci-dessous. Il peut être préférable de payer pour ces forfaits plutôt que de consacrer le temps et les ressources nécessaires au développement de votre propre système de honeypot personnalisé.

Capteur KFS

C’est un système de honeypots basé sur Windows avec une excellente fonctionnalité et flexibilité. Il est cher, mais c’est le choix des professionnels.

Pourquoi l’utiliser ?

Le Capteur KFS détecte les menaces inconnues, tout en améliorant la sécurité et en offrant une solution économique. C’est une solution économique qui ne nécessite que peu de maintenance.

En tant qu’honeypot, le capteur KFS est conçu pour attirer et détecter les pirates et les malwares en simulant des services système vulnérables.

De plus, il peut être préconfiguré pour surveiller tous les ports UDP, TCP et ICMP. Le honeypot peut démarrer la surveillance dès son installation et il est possible de le personnaliser si vous voulez ajouter des services supplémentaires.

MHN

MHN (ou littéralement Modern Honeypot Network) est un honeypot open source qui permet une configuration et une personnalisation faciles, avec une large gamme d’outils. Il fonctionne à l’aide d’une base de données Mongo.

Pourquoi l’utiliser ?

Ce honeypot est caractérisé par une interaction faible ou forte, selon sa complexité. Les configurations à forte interaction peuvent encourager les pirates à passer beaucoup de temps à exploiter un environnement factice, ce qui laisse de nombreux indices et fait perdre son temps.

Pour les configurations à faible interaction, le honeypot ne recueille que les informations de base sur les comportements invasifs des pirates. Son avantage est qu’il utilise moins de ressources.

HoneyDrive

C’est une application virtuelle (OVA) avec Xubunti pour Linux. Elle est fournie avec une gamme d’outils d’analyse, ainsi qu’un choix de 10 logiciels de honeypot préinstallés.

Pourquoi l’utiliser ?

Ce honeypot vous fait gagner du temps, car les principaux logiciels qui y sont liés sont préconfigurés et préinstallés pour fonctionner dès le départ.

À propos du honeypot CAPTCHA

La capture et le blocage des spams ont créé (et créeront toujours) l’un des plus grands désagréments sur Internet. L’une des solutions pour éviter ce problème est l’utilisation d’un champ CAPTCHA. Il vous protège contre les spams potentiels et de nombreux types d’abus automatisés.

Cette méthode fonctionne bien, mais elle présente quelques inconvénients. En fait, vous devez ajouter un champ de saisie de caractères encombrant sur tous vos formulaires. Là encore, vous pouvez penser que ce n’est pas un problème, mais vous allez souvent vous heurter à la conception, notamment si vous essayez de placer un formulaire de messagerie électronique dans un espace restreint. Pour bloquer rapidement les spams, vous pouvez simplement utiliser un honeypot CAPTCHA.

La méthode du honeypot CAPTCHA est assez simple. Il suffit de mettre un champ supplémentaire dans votre formulaire qui sera caché aux utilisateurs humains (c’est-à-dire que les humains ne devront pas remplir). La plupart des robots de spam recherchent des formulaires, puis ils remplissent tous les champs disponibles et les envoient. Si le robot remplit le champ CAPTCHA du honeypot, vous pourrez reconnaître qu’il s’agit d’un spam.

L’avantage du champ CAPTCHA caché est qu’il n’a pas d’impact sur l’expérience des utilisateurs finaux. Souvent, ces derniers ne savent même pas qu’il est mis en œuvre.

L’inconvénient de cette méthode est que, si les utilisateurs disposent d’une fonction de remplissage automatique ou d’un lecteur d’écran destiné à remplir les champs pour eux, ces outils peuvent aussi voir les champs invisibles et les remplir automatiquement, comme le ferait un spambot. Ceci entraînerait le rejet du formulaire.

Si vous avez installé un honeypot CAPTCHA et que vous recevez encore trop de spams, vous aurez probablement besoin d’une solution supplémentaire pour assurer une protection maximale de votre réseau.