"Honeypots" : comment les hackers "éthiques" attirent les utilisateurs malveillants ?

Publié le 07 avril 2022 à 15h45

Concept mis au point par des experts en sécurité informatique, les honeypots sont des pièges à pirates sur le Web qui remontent à plus d'une dizaine d'années. Il s'agit d'une méthode de défense active qui consiste à attirer toute forme malveillante d'activité pour l'identifier et la neutraliser. Utilisée par les pirates que l'on pourrait qualifier d'éthiques, cette méthode a fait ses preuves depuis de nombreuses années et s'est depuis étendue à d'autres domaines, comme l'ingénierie sociale ou le renseignement humain. Alors, concrètement, qu'est ce que c'est, et pourquoi est-ce toujours aussi efficace en 2022 ?

Pour s’en prendre aux hackers malveillants déployant des malwares, les méthodes sont finalement assez nombreuses. Mais parmi les plus connues (malgré le flou populaire qui les entoure), on parle souvent des honeypots, ces « pots de miel » utilisés pour attirer des pirates qui ont soif d’attaques informatiques. Finalement, qu’est ce qu’un honeypot ? S’agit-il d’une méthode réellement efficace pour contrer les potentielles attaques ? Peut-on, en tant que particulier, utiliser un honeypot ?

Meilleur antivirus, le comparatif

Qu’est ce qu’un honeypot ?

L’idée derrière le honeypot est simple : comme un ours, inévitablement attiré par l’odeur du miel (d’où la traduction littérale de l’anglais du terme « pot de miel »), le hacker sera tenté d’effectuer des actions malveillantes sur un serveur mal sécurisé dans le but de déployer des malwares. Le but est donc d’attirer sur des ressources (serveurs, services, programmes…) des personnes malintentionnées dans le but de les identifier et de les stopper dans leur démarche.

Le concept, mis au point par des experts en solutions de sécurité informatique, a déjà plusieurs décennies de pratique derrière lui pour corroborer son efficacité. Le principe ingénieux de ne pas empêcher les pirates d’entrer dans un système d'exploitation, mais en réalité de les piéger lorsqu’ils s’y rendent a prouvé sa force au fil des années. Il s’agit aujourd’hui de l’une des méthodes d’antipiratage les plus craintes par les hackers.

Concrètement, le honeypot, comment ça marche ?

Intégrer un honeypot requiert un choix initial, car deux types sont disponibles pour tenter de piéger un pirate. Il est possible de passer par un honeypot physique, à savoir un ordinateur autonome connecté à un réseau avec sa propre adresse, ou par un service de honeypot virtuel. Ce dernier correspond à un système logique qui reçoit des ressources d’un ordinateur physique grâce à un logiciel de virtualisation. Il est important de préciser qu’un honeypot n’est que très rarement employé seul. En réalité, il doit être utilisé en complément d’autres composants de sécurité informatique, comme l’IDS (système de détection d’intrusion) et les pare-feu.

Il existe par ailleurs une classification en deux types de honeypots :

Le honeypot à faible interaction est fondé sur l’imitation de systèmes réels par l’intermédiaire d’un script. Il s’agit de la méthode la plus simple et la plus sécurisée pour piéger les attaquants. Le but est donc de recueillir un maximum d’informations, le tout pour un minimum de risques.
Le honeypot à forte interaction est quant à lui beaucoup plus risqué pour l’utilisateur. Il repose en effet sur le principe de l’accès potentiel du hacker à de véritables services sur une machine du réseau qui sera plus ou moins sécurisée. Ainsi, ce type de honeypot est généralement un système réel qui permet potentiellement au hacker d'y entrer s’il n’est pas suffisamment protégé. Cette méthode est donc bien plus risquée, mais peut aussi apporter beaucoup plus d’informations en cas de succès.

Seul, un honeypot n’assume aucune fonction. S’il n’est pas attaqué, il s’agit donc en réalité d’un réseau fantôme. Ainsi, chaque activité sur le système peut être immédiatement considérée comme suspecte et comme une attaque potentielle. Il est possible de détecter l’ensemble des données enregistrées par le pot de miel, puis de les conserver pour analyse et de les utiliser a posteriori pour identifier les attaques et les attaquants.

Malgré tout, les informations et les données obtenues via le honeypot ne sont pas toujours exploitables dans leur intégralité, car il est tout à fait possible que l’appât soit trop visible aux yeux des pirates. Ces derniers décideront donc de n’effectuer aucune attaque à l’encontre du honeypot. Une configuration trop simpliste des honeypots pourra par exemple laisser entrer des malwares comme des script-kiddies (pirates débutants) ou des logiciels automatiques qui n’apportent pas de réelles informations. Et, à l’inverse, une configuration trop compliquée pourra faire peur aux pirates les plus chevronnés.

Pour faire clair, l’utilisation des honeypots requiert de grandes connaissances à propos du Web et de l'informatique pour à la fois analyser les attaques, mais aussi configurer et gérer les potentiels problèmes techniques et légaux de la méthode.

Pour aller encore plus loin : le cas des réseaux de miel

Plutôt que de passer par un seul pot de miel, il est également possible de créer tout un réseau de pots de miel. Nommée « honeynet », cette méthode permet de rendre le piège plus discret et moins simple à identifier pour l’attaquant.

Le réseau de miel est un ensemble de honeypots dont le but est de récupérer des informations sur les diverses menaces. Ces mêmes informations servent ensuite d’apprentissage dans le milieu académique, peuvent faire l’objet de recherche ou peuvent être utilisées par des entreprises de cybersécurité afin de créer des antivirus efficaces.

Bitdefender

moodEssai 30 jours
devices3 à 10 appareils
phishingAnti-phishing inclus
local_atmAnti-ransomware inclus
groupsContrôle parental inclus

9.5 / 10

Voir le site

Lire le test

Honeypots : un flou légal problématique ?

La raison principale qui fait que cette technique est encore relativement confidentielle réside dans les potentiels problèmes juridiques qu'elle dissimule. En effet, selon l’article 23 de la loi du 29 juillet 1881 sur la liberté de la presse : « Seront punis comme complices d’une action qualifiée crime ou délit ceux qui, soit par des discours, soit par tout moyen de communication au public par voie électronique, auront directement provoqué l’auteur ou les auteurs à commettre ladite action, si la provocation a été suivie d’effet. »

Autrement dit, le fait de provoquer une action de piratage rend la personne responsable de la provocation complice de l’acte en lui-même. Par ailleurs, le honeypot récupère des données à caractère personnel dont le traitement doit au préalable être déclaré à la CNIL.

Par le passé, plusieurs cybercriminels ont pu échapper à des situations juridiques compliquées à cause de ce simple point. Par exemple, un utilisateur français incriminé pour fraude à la carte bancaire sur Internet a obtenu une annulation de la procédure au motif que les éléments de preuve à son encontre ont été obtenus en violation du principe de loyauté.

Pour faire clair, l’utilisation de honeypots n’est pas recommandée (hormis pour les cadres légaux idoines dans certains pays), car les risques judiciaires liés à leur utilisation sont réels. Le recours aux honeypots est donc encore dans un certain flou légal, ce qui rend leur utilisation sporadique dans l'ensemble.

En tant que particulier, puis-je utiliser un honeypot ?

Comme mentionné plus tôt, le honeypot peut entraîner de véritables problèmes sur le plan juridique. En employer un, c’est donc prendre le statut de justicier solitaire qui ne suit pas la loi et risquer des actions juridiques. Mais ce n’est pas tout : l’emploi de honeypots peut également être un risque direct pour sa propre sécurité, ou du moins celle de son serveur ou de sa machine.

S'il n'est pas assez protégé, un honeypot à forte interaction pourra par exemple servir de porte d'entrée au hacker pour lancer toute une série d'attaques sur d'autres réseaux liés. Autrement dit, il est fortement recommandé d'éviter d'utiliser cette méthode, qui requiert de véritables connaissances en informatique.

Par Benoit Bayle

Geekonoclaste permanent, je m'intéresse autant aux jeux vidéo (avec une petite faiblesse particulière pour les JRPG) qu'à l'high-tech. Je cherche à la fois l'originalité et l'inventivité, que ce soit derrière une manette ou à l'écrit sur mon clavier

Articles de Benoit Bayle

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (8)

pecore

En effet, chez nous on a pas le droit de piéger les malfaiteurs et les délinquants en les incitant à commettre un crime ou un délit. Pourtant il me semble qu’il existe au moins une exception avec les prédateurs sexuels sur internet alors pourquoi ne pas le généraliser, au moins pour les délits en ligne ?

mcbenny

C’est quoi l’intérêt pour un particulier de mettre en place un « honey pot »?
Je veux dire, un particulier veut protéger son système, rarement plus d’une poignée de machines. Il va installer un pare-feu, des anti-virus, faire des sauvegardes sur supports physiques externes et il est bon, non?
Le honey pot c’est pour analyser des attaques potentielles et améliorer la sécurité d’un système grâce à des exemples sans risque. Ça s’adresse à des « groupes » (entreprises, entités gouvernementales, etc.) avec de très nombreuses machines et utilisateurs, pas à un particulier ou une famille…

Il faut être très qualifié dans la sécurité pour utiliser les données récoltées par un honey pot, c’est une activité professionnelle.

Baxter_X

Sinon il y a le terme français de « pot de miel » au lieu de cet immonde anglissisme.
J’en ai mis un en place chez moi il y a 6 mois l’histoire de voir. Ça reste modeste, une distribution Linux avec des services connus qui tournent et un fail2ban pour surveiller et bloquer les comportements douteux

Baxter_X

Mais il engage la sécurité de l’équipement ! Simplement il n’y a rien sur cet équipement qui puisse être intéressant ni exploitable.

Baxter_X

Précise un peu ton propos car c’est très confus. Mon pot de miel n’est en rien un épouvantail. Mais bien une machine virtuelle conçue pour attirer tous les tentatives de piratage.

francoismorin2021

salut parfaitement d’accord avec vous .
car je vois des connerie pas possible sur le sujet .
comme certains youtubeur qui font des vidéo du genre piéger un hacker
en moins de 1O minutes ? vous penser pas que l’on vous prend pour des con ?
étant hacker en encore c’est ridicule de n’a par de dire cela
car les vrai ne vont pas le crier sur les toits .

mais je souhaite que les particulier arrêté de se faire des films sur cela .
déjà que certaines techniques utiliser par nous vont poser
des problème pour les professionnels de la sécurité .

donc comment un utilisateur lambda souhaite t’il nous piéger
en moins de 10 minutes . surtout sans aucune connaissance des techniques
utiliser par nous pour piéger les entreprise voir l’utilisateur débutants .
lambda ?

je donne deux exemple ici .

problème 1

concernant les alertes du honeypot prenez garde aux différents types de faux
positifs . ? par exemple un hacker peut créer une diversion faisant croire
que ce sont vos systèmes de production qui attaquant le honeypot .

votre honeypot détecterait ces fausses attaques et inciterait vos administrateurs
informatiques à enquêter sur elles .
c’est - à - dire sur les attaques prétendument lancées par votre système
de production et visant votre honeypot .

pendant que cette fausse alerte est traitée . le hacker peut se consacrer
à la véritable attaque . oui les hackers sont malins !

n’oublier pas qu’au lieu d’éviter d’être détecté un hacker peut également
fournir de fausses informations au honeypot . incitant ainsi la communauté
de sécurité à porter des jugements erronés et à tirer des conclusions incorrectes le
concernant .

ici l’on passe sur des choses sérieuses donc bonne chance pour les
débutants sans connaissance de cela . et encore l’exemple reste très simple ici . !

détection de pots de miel .
il est possible de détecter un pot de miel ( honeypot ) .

en faisant une sonde pour détecter les services en cours d’exécution .
en effet . il va falloir utiliser des paquets de sonde malveillants pour faire le scan pour
des services tels que http sur https . smtp sur smtps . imap sur imaps .

s’il y a une présence de honeypot les ports avec des services particuliers
en cours d’exécution vont refuser l’établissement de connexion tcp complète .
( 3 - way hanshake ) il y a des outils pour faire la sonde .
comme seid - safe honeypot . hunter . Nessus . hping .

combattre et détecter un honeypot .

surveiller la latence de la réponse . analyser la taille de la fenêtre tcp .
si l’attaquant est dans le même réseau analyser les réponses avec des adresses mac
unique qui agissent comme une sorte de trou noir .

regarder la norme IEEE . pour la plage actuelle des adresses mac
assignées au vmware inc .
réaliser des méthodes d’empreinte digitale tcp basées sur le temps
( syn proxy behavior )

analyser la congestion dans la couche réseau .
analyser les paramètres tcp / ip spécifiques telles que like rtt . tcp timestamp etc .

des outils pour mener à bien cette détection et ce combat send - safe honeyport
hunter .

voilà pour l’info . donc certains youtubeur arrêté de promettre la lune
pour des débutants qui vont avoir aucune connaissance sur cela .
faut déjà avoir une certaines connaissance pour utilser un honeypot
en toutes sécurité . vous penser pas ?

sur ceux très bonne soirée à vous et bravos pour votre remarque très juste .

Palou

@francoismorin2021 2 ans après …

Baxter_X

Oh le superbe ramassis de pseudo science!
Mais ça sent le robot à plein nez.