Qu’est-ce qu’un honeypot informatique ?

Un honeypot est un ordinateur ou un système informatique composé d’applications et de données destiné à servir d’appât pour piéger les pirates. Ils sont configurés pour ressembler à des systèmes réels présentant des vulnérabilités exploitables. La seule différence est qu’ils sont en réalité isolés du reste du réseau et sont soigneusement surveillés. Mais les hackers ne le savent pas. Ils sont donc naturellement attirés par ces systèmes comme des abeilles par le miel. Alors où est le piège ?

Les pots de miel informatiques permettent de détecter les attaques, de les détourner de cibles plus intéressantes et de recueillir des informations sur les cybercriminels et leurs tactiques. Ils peuvent révéler :

• Localiser l’adresse IP du cybercriminel. Ces données peuvent révéler leur emplacement ou leur identité, sauf si le pirate utilise un VPN ou un serveur proxy ;
• Le type de mots de passe que les pirates ont utilisé pour y accéder. Peut-être ont-ils utilisé des mots de passe qui ont fuité. Il est donc temps d’utiliser des mots de passe sécurisés, complexes et uniques. Pour vous faciliter la tâche, NordPass peut vous aider à stocker vos mots de passe en toute sécurité ;
• La technique utilisée pour pénétrer dans le honeypot, qui peut révéler les vulnérabilités de votre système et de vos serveurs web ;
• Où sont allés vos fichiers volés. Les pots de miel peuvent stocker des données avec des identifiants uniques, qui (lorsqu’ils sont volés) peuvent aider leurs propriétaires à trouver où les données ont été envoyées. Ils peuvent également aider à identifier les liens entre différents pirates.

Les honeypots sont donc d’excellents outils de ruse, largement utilisés par les grandes entreprises et les chercheurs en sécurité. Il existe de nombreuses configurations de pots de miel qui sont pour la plupart gratuites et en open source. Certaines peuvent simuler des serveurs et vous aider à analyser les données, vous évitant ainsi d’avoir recours à une grande équipe de recherche.

Les pots de miel présentent des avantages, parmi lesquels :

• Même si les cybercriminels chiffrent leurs données, les honeypots peuvent détecter toute activité suspecte.
• Comme les utilisateurs réguliers n’ont pas besoin d’accéder aux honeypots, ces derniers permettent de réduire considérablement le nombre de fausses alertes.
• Ils permettent de récolter et d’analyser un large volume de données, toutes relatives à des activités malveillantes.
• Ils représentent une source d’informations importante pour les analystes et chercheurs sur les attaques réelles et des activités malveillantes.
• Cet outil peut aussi vous permettre de lutter contre les ransomwares. En effet, en créant un honeypot avec des faux fichiers, vous pouvez surveiller les interactions et ainsi repérer plus facilement les activités suspectes.

Les honeypots informatiques peuvent être catégorisés en fonction de leurs détenteurs et de leur objectif principal.

Les pots de miel de recherche sont principalement utilisés par les spécialistes de la sécurité, les militaires et les gouvernements. Ils sont très complexes et fournissent les informations vitales nécessaires pour étudier et analyser les activités des pirates informatiques et leur progression dans le honeypot. Cela aide les chercheurs à identifier les failles de sécurité et à trouver de nouvelles façons de s’en protéger.

Les pots de miel de production sont généralement utilisés par les entreprises. Ils sont généralement installés à l’intérieur d’un système de production et sont utilisés dans le cadre d’un système de détection d’intrusion (IDS) qui aide à surveiller les activités malveillantes. Ils sont moins complexes et fournissent moins d’informations.

Les systèmes de honeypots peuvent également être classés comme suit :

1. Les honeypots purs, qui sont des systèmes de production complets ne nécessitant aucun autre logiciel. En d’autres termes, ce sont des serveurs de production transformés en pots de miel, et ils sont connectés au reste du réseau. Ce sont les plus crédibles, mais aussi les plus risqués et les plus coûteux.
2. Les pots de miel à forte interaction sont des systèmes d’exploitation non émulés. Ils imitent les systèmes de production et comportent généralement beaucoup de services et de données. Ils nécessitent donc beaucoup de ressources pour fonctionner. Ces honeypots sont en temps normal exécutés sur des machines virtuelles (VM), ce qui permet à plusieurs d’entre eux de fonctionner sur un seul appareil. Cela facilite également le sandboxing des systèmes compromis, leur arrêt et leur restauration.
3. Les pots de miel à faible interaction n’émulent que le système ou le service le plus recherché. Ils nécessitent moins de ressources et sont également utilisés principalement sur des machines virtuelles. Ils sont donc moins risqués et plus faciles à maintenir. D’un autre côté, ils sont plus faciles à identifier par les pirates et sont mieux utilisés pour détecter les logiciels malveillants diffusés par les réseaux de botnets et les vers.

Les chercheurs ou les entreprises peuvent utiliser plusieurs pots de miel pour former un honeynet. Ils peuvent également aller jusqu’à disposer d’une collection centralisée de honeypots et d’outils d’analyse. L’utilisation de honeynets rend les appâts plus crédibles, car les pirates peuvent se déplacer d’un serveur à l’autre comme ils le feraient dans un système réel.

Aussi performants soient-ils, les honeypots présentent certaines limites et vulnérabilités.

• Ils ne collectent des données que lorsqu’il y a une attaque.
• Ils ne sont pas vraiment confidentiels. Les pirates expérimentés peuvent utiliser des techniques d’empreinte digitale pour identifier un pot de miel. Par conséquent, ils l’éviteront et pourront éventuellement porter leur attention sur un réseau ou un serveur plus intéressant.
• Ils ne peuvent pas détecter les attaques extérieures à leurs systèmes.
• S’ils ne sont pas configurés correctement, en particulier un pot de miel pur, ils peuvent agir comme une passerelle vers d’autres systèmes et réseaux.
• Comme tout autre système d’exploitation, ils peuvent présenter des vulnérabilités technologiques telles que des pare-feu et des chiffrements faibles ou peuvent tout simplement ne pas identifier les attaques. Les pots de miel ne sont tout simplement pas parfaits.