Un pot de miel est, essentiellement, un piège pour les hackers. En éloignant le pirate des systèmes réels (et en perdant son temps avec des fichiers factices et des imitations), le pot de miel peut glaner des informations importantes sur leur origine et leurs méthodes, ainsi que sur la raison de leur intrusion. Souvent, un pot de miel est un système informatique leurre qui a été assaisonné avec quelques vulnérabilités tentantes.
Vous connaissez peut-être les tactiques les plus défensives employées par les entreprises pour protéger leurs réseaux, comme le cryptage et l’authentification des clients, mais un pot de miel est différent en ce qu’il invite activement les cybercriminels à le vérifier. Bien sûr, ils le font à leurs risques et périls! Dans ce guide, nous examinerons certains des avantages de la mise en place d’un pot de miel, ainsi que des variations courantes de pot de miel.
Comment fonctionne un pot de miel?
Un pot de miel est un système informatique qui a été mis en place pour attirer les pirates. Ce système peut ne pas sembler si inhabituel pour un œil non averti – il aura des applications et des données, mais ce n’est qu’un appât et tout est surveillé de très près. Comme il n’y a aucune raison pour un utilisateur régulier d’accéder à un pot de miel, tout trafic qui interagit avec le pot est immédiatement signalé.
Vous pourrez en déduire beaucoup sur le pirate informatique en question une fois qu’il aura pris contact, et par conséquent repousser son attaque.
Le système de pot de miel lui-même doit sembler aussi authentique que possible. Il devra avoir des capacités de reniflage et de journalisation, exécuter tous les processus et applications attendus et contenir une sélection de fichiers comme appât. Pour rendre un pot de miel encore plus intéressant pour un pirate informatique potentiel, c’est aussi une bonne idée d’intégrer des vulnérabilités dans le système – comme un système d’exploitation obsolète, par exemple.
Pourquoi s’appelle-t-il un «pot de miel»?
Si vous entendez le mot «honeypot» et pensez à Winnie l’ourson – vous n’êtes pas seul! Winnie ferait tout son possible pour voler son pot de miel, et «honeypot» est ensuite devenu un terme d’argot pour quelque chose de désirable. Et depuis, il a également été utilisé pour décrire quelqu’un de désirable. Les espions se mettaient parfois à l’aise avec une cible et entamaient une relation amoureuse, tirant parti de cette affection pour exercer leur influence, forcer la marque à remettre des preuves ou simplement les encourager à révéler leurs secrets.
Pourquoi utiliser un pot de miel?
Le plus souvent, les pots de miel sont utilisés par les grandes entreprises, les administrateurs de bases de données et les chercheurs. Il y a beaucoup à glaner en regardant un pirate interagir avec un pot de miel – et vous n’avez pas à mettre le reste de votre réseau en danger pour le faire. Un pot de miel peut informer sur le modus operandi d’un pirate, sa cible dans le système, ainsi que d’où il vient en premier lieu. De plus, un pot de miel peut mettre en évidence des failles de sécurité dans un réseau existant.
Et, comme nous l’avons mentionné précédemment, un pot de miel facilite d’autant plus la détection des tentatives de piratage, car elles ne reçoivent tout simplement pas de trafic régulier. Il peut parfois être difficile de déterminer si une attaque est en cours lors du filtrage de volumes de trafic élevés sur un réseau légitime. Avec un pot de miel, cette interférence est éliminée, ce qui permet à l’administrateur de déterminer un niveau de menace ainsi que les modèles IP.
Les pots de miel constituent également de fantastiques terrains d’entraînement virtuels pour le personnel de sécurité. Le véritable réseau d’entreprise n’est pas en danger car le pot de miel est isolé et permet une inspection et une diffusion approfondies du processus d’un pirate informatique.
Variations du pot de miel
Bien sûr, il existe toutes sortes de pots de miel différents, et ils varient en fonction de leur implication, de leurs objectifs et de ce qu’est l’appât. Jetons d’abord un coup d’œil à la recherche et à la production de pots de miel.
🔭Recherche
Les pots de miel de recherche sont plus intéressés par le monde extérieur que par votre réseau et sont principalement utilisés pour recueillir des informations sur les méthodes, les motivations et les tendances des pirates informatiques, ainsi que sur les souches de logiciels malveillants. Armé de ces données, vous pouvez garder une longueur d’avance sur les attaquants potentiels; vous pouvez améliorer les fonctionnalités de sécurité existantes et développer de nouveaux correctifs. Parce qu’ils sont plutôt difficiles à utiliser, vous trouverez généralement des pots de miel de recherche utilisés par le gouvernement, l’armée et les groupes de recherche.
🔬Production
Les pots de miel de production se tournent vers votre réseau interne. Ce sont les pots de miel que les entreprises utilisent pour repérer les intrusions malveillantes et ensuite chasser le pirate tout en apprenant ce qu’elles peuvent à leur sujet. Ils sont relativement faciles à installer et à utiliser, bien qu’ils ne recueillent pas autant d’informations que leurs cousins en recherche! Cependant, les pots de miel de production peuvent toujours surveiller et collecter des données de cybersécurité à partir du réseau d’entreprise et renforcer la sécurité lorsqu’ils sont positionnés à l’intérieur du réseau à côté des serveurs de production.
Ensuite, nous examinerons les pots de miel à forte interaction et à faible interaction!
💤 Faible interaction
Les pots de miel à faible interaction simplifient les choses. Ils ne consomment pas autant de ressources et collectent une quantité basique d’informations sur les menaces entrantes, comme leur origine et leur gravité. Ces pots de miel peuvent être installés rapidement avec un peu de savoir-faire et certains protocoles TCP, IP et services réseau, et un système physique peut héberger de nombreuses machines virtuelles. Il n’y a pas une surabondance de code compliqué qui entre dans les pots de miel à faible interaction, mais cela signifie également qu’ils ne gardent pas les pirates occupés longtemps – et qu’ils ne rassemblent pas non plus autant d’informations utiles sur leurs méthodes.
🔆Haute interaction
Les honeypots à forte interaction, cependant, sont les fonceurs! Ces pots de miel veulent que le hacker perde son temps afin de pouvoir les surveiller de près et de mieux comprendre leurs méthodes, leurs motivations et tous les exploits utilisés. Une organisation utilisant un honeypot à forte interaction sortira avec un rapport détaillé sur les tendances des pirates informatiques, ce qui est incroyablement utile pour protéger de manière proactive son véritable réseau. Comme vous vous en doutez, les pots de miel à forte interaction utilisent plus de ressources et nécessitent plus de temps pour être installés, et doivent être maintenus assez souvent.
Les pots de miel sont également de toutes formes et tailles virtuelles, en fonction de la menace pour laquelle ils sont conçus. Voici quelques-unes des variantes les plus courantes.
Les pots de miel les plus intelligents sont placés dans des endroits cachés. De cette façon, aucun expéditeur légitime ne peut atteindre l’adresse ou l’envoyer par courrier – juste des collecteurs automatisés. Ainsi, tout courrier qui arrive dans la boîte de réception peut être automatiquement qualifié de spam. Ensuite, il suffit de bloquer les messages et d’ajouter l’adresse IP des expéditeurs à une liste de refus.
♊Décoy
Les pare-feu de base peuvent parfois avoir du mal à détecter les injections SQL – et les attaquants n’hésitent pas à adopter cette tactique. Ainsi, pour éviter cela, les entreprises peuvent décider d’utiliser des pare-feu de base de données, et certains de ces pare-feu prennent en charge les pots de miel. Tout intrus se retrouvera alors face à face avec une fausse base de données, tandis que le réseau actuel reste sécurisé.
🦠Malware
Les honeypots de logiciels malveillants détectent les logiciels malveillants en utilisant des vecteurs d’attaque connus. Ensuite, les clés USB et autres vecteurs de réplication peuvent être inspectés pour les modifications, soit manuellement, soit avec des pots de miel qui émulent des lecteurs.
