Les honeypots sont un élément de base de la boîte à outils de la sécurité réseau pour les administrateurs système. Ils peuvent offrir des avantages uniques aux entreprises. Pour ceux qui ne sont peut-être pas familiers avec ce terme, un honeypot est un système informatique qui est tout particulièrement fait pour être attaqué, scanné ou exploité.

Mais pourquoi se donner la peine d’affaiblir volontairement son système informatique ? N’avons-nous pas assez de problèmes pour assurer la sécurité de nos systèmes ?

Aussi valables que ces questions puissent être, elles passent complètement à côté du sujet. En réalité, les honeypots peuvent nous permettre d’observer le comportement d’un attaquant, lui faire perdre son temps, le frustrer et, généralement, le tenir éloigné des systèmes et réseaux auxquels nous tenons vraiment. Chaque fois qu’un attaquant passe du temps à interagir avec un honeypot, il ne passe pas du temps à attaquer un système réel.

Il existe de nombreux types de honeypots. Certains sont bons pour simuler une topologie réseau entière avec de nombreux hôtes, chacun exécutant différents systèmes d’exploitation et services. Les honeypots ont été largement utilisés par les chercheurs pour étudier les méthodes des attaquants, ils peuvent aussi être très utiles pour les systèmes de défense informatiques.

HONEYD

Honeyd est un outil particulièrement utile que vous pouvez obtenir à l’adresse http://www.honeyd.org. L’extrait suivant est tiré de ce site Web :

Honeyd est un petit démon qui crée des hôtes virtuels sur un réseau. Les hôtes peuvent être configurés pour exécuter des services arbitraires, ils peuvent également être adaptés pour donner l’impression d’utiliser des systèmes d’exploitation différents. Honeyd permet à un seul hôte de revendiquer plusieurs adresses (personnellement, j’ai testé jusqu’à 65536) sur un réseau local pour la simulation de réseau. Honeyd améliore donc la posture de sécurité en fournissant des mécanismes de détection et d’évaluation des menaces et dissuade les pirates informatiques en cachant les systèmes réels au milieu des systèmes virtuels.

Voici quelques caractéristiques intéressantes qui ont attiré mon attention :

  • Honeyd a la capacité de simuler de nombreux hôtes virtuels en même temps.
  • Il utilise l’empreinte digitale passive pour identifier les hôtes distants (attaquants).
  • Il simule plusieurs piles TCP/IP (OS X, Windows, Linux etc.) en utilisant les fichiers de signatures NMAP et NPROBE. Cette fonctionnalité spécifique m’a vraiment époustouflé !
  • Il peut simuler des topologies de réseau arbitraires et même vous permettre d’ajuster la latence et la perte de paquets.
  • Vous pouvez également exécuter de vraies applications UNIX sous des adresses IP virtuelles Honeyd (serveurs HTTP, serveurs FTP… bref, tout ce que vous voulez !).

Ce que notre administrateur système avait à dire

Nous avons parlé à Arona Ndiaye, notre administrateur système expert en Linux et basée aux Pays-Bas. Nous lui avons demandé de jeter un coup d’oeil à Honeyd et de nous faire part de ses commentaires. Voici ce qu’elle a dit :

« J’utilise principalement les systèmes *nix et Linux, donc je ne peux pas parler d’OS X ou Windows. Mais l’installation de cet honeypot sur Kali Linux m’a simplement demandé d’ajouter une ligne à mon fichier sources.list et d’exécuter apt-get update && apt-get install Honeyd. Pour le configurer, il fallait éditer un fichier de configuration textuel et s’assurer que mon pare-feu avait les bonnes permissions. Le site Web de l’outil contient la plupart des informations dont vous aurez besoin pour commencer…

… le reste peut être facilement récupéré en utilisant l’outil et en l’attaquant vous-même, ce qui est exactement ce que j’ai fait au début. J’ai été étonné de ce que me disait le NMAP et j’ai immédiatement voulu savoir comment j’avais réussi à le tromper. Il s’avère que l’installation de Honeyd inclut un fichier appelé nmap.prints. Le contenu de ce fichier est ce qui permet à Honeyd d’émuler un système d’exploitation spécifique. J’ai quelques honeypots en cours d’exécution sur les instances d’Amazon EC2 et le type d’informations que vous pouvez recueillir sur les scans et les attaques est tout simplement impressionnant ».

KIPPO

Kippo est aussi un honeypot, mais il se concentre sur la falsification d’un serveur SSH et laisse les attaquants le “forcer brutalement” en lui attribuant un mot de passe très facile à deviner, tel que 123456. Ce qui est intéressant avec Kippo, c’est ce qui se passe après que l’attaquant a réussi à se connecter à votre système. En effet, vous pouvez simuler un système de fichiers entier et même cloner la structure de fichiers d’un système installé. Notre administrateur système a également expérimenté cette possibilité et voici ce qu’elle a dit :

“Je l’ai fait avec Kali Linux et je m’y suis connecté à partir d’une autre machine. En utilisant divers utilitaires système, j’ai pu voir quelque chose qui ressemblait à une installation Kali normale. Je pouvais naviguer dans les dossiers, demander le contenu des fichiers, télécharger des fichiers, etc. Tout cela était bien sûr enregistré par Kippo.”

Voyez jusqu’où vous pouvez aller pour faire perdre du temps à un pirate informatique

“Ce que j’ai trouvé fascinant avec cet outil, c’est jusqu’où vous pouvez aller pour gaspiller le temps ou les ressources d’un éventuel attaquant. Kippo vous permet de spécifier le contenu des fichiers pour des fichiers spécifiques, tels que /etc/passwd, ce qui signifie que vous pouvez vraiment aller très loin pour truquer un système de fichiers spécifique. Le fait que toute interaction avec le système soit enregistrée signifie que tout code d’exploitation, shellcode ou malware téléchargé est enregistré. Il peut donc être disséqué ultérieurement dans une machine virtuelle”.

Pour en savoir plus sur Kippo, rendez-vous sur https://github.com/desaster/kippo.

Kippo et Honeyd ne sont que deux outils parmi tant d’autres. La plupart d’entre eux sont open source, ce qui signifie que le fait de pouvoir les modifier pour les adapter à vos besoins est une véritable opportunité. Beaucoup de gens construisent des combo-honeypots où ils utilisent plusieurs outils pour construire des réseaux, des hôtes et des services élaborés. Tous ces outils sont faux, mais ils semblent bien réels.

Cinq avantages que les honeypots peuvent apporter à votre entreprise

Ce qui rend les honeypots intéressants, c’est qu’ils permettent de :

  1. Gaspiller les ressources, le temps et l’attention des cybercriminels.
  2. Recueillir des informations sur les attaques, les kits d’exploitations, les tendances et les malwares pour former votre équipe de sécurité.
  3. Observer les comportements des attaquants.
  4. Connaître le profil des attaquants et leurs méthodes.
  5. Améliorer éventuellement votre posture de sécurité globale, à condition qu’elle soit bien gérée.

Un honeypot doit être maintenu et mis à jour

Je ne recommanderais pas de faire entièrement confiance à votre honeypot. Voici les raisons :

  • Un attaquant expérimenté peut écrire des scripts pouvant confirmer si une machine spécifique est un honeypot ou non.
  • Comme tout autre outil, un honeypot a des scénarios qui lui conviennent parfaitement et d’autres qui ne le sont pas.
  • Vous avez besoin d’une personne capable de gérer en permanence le honeypot et qui sera toujours prête à faire face aux éventuels problèmes.
  • Le honeypot doit être entretenu et mis à jour, tout comme les autres machines. Vous devez donc décider si le gain en vaut la peine.
  • Le simple fait d’“ajouter un honeypot” n’augmentera pas la sécurité de votre réseau et pourrait même constituer une faille de sécurité si le honeypot n’est pas aussi bien isolé.

Êtes-vous un fan de honeypots ? Sinon, pourquoi pas ?