Honeypot : l’histoire d’un petit pot de miel…
En 1986, à l’époque où chacun n’avait pas encore d’ordinateur chez lui, le responsable d’un supercalculateur découvre qu’un de ses anciens utilisateurs, qui n’a pourtant plus de compte actif, continue d’utiliser la machine, et ce en mode administrateur (root) ! Profitant d’une faille dans un logiciel (emacs), l’utilisateur a pu augmenter ses propres privilèges, et navigue désormais sans remords dans les dossiers de ses collègues, consulte leurs mails, etc.
L’administrateur aurait pu s’en tenir à prendre quelques mesures de sécurité, mais combien de temps aurait-il fallu pour que l’utilisateur revienne assez énervé pour se venger de s’être fait jeter ? L’idée qu’il a suivie a été de créer de faux projets et de faux documents, de s’envoyer des faux mails, que le pirate a gentiment pris pour argent comptant, de manière à l’occuper et à gagner du temps… Jusqu’à ce que les services secrets interviennent !
Une histoire de pirates comme on les aime (So 1980′s!), qui est une très bonne introduction au sujet des Honeypots – littéralement Pots de miel – ces machines piégées destinées à attraper un pirate en lui faisant croire qu’il a piraté un vrai système…
Il est possible de distinguer deux types de Honeypots : ceux de faible interaction et ceux de forte interaction.
Les Honeypots de faible interaction simulent un réseau, de manière à ce que le pirate imagine qu’il y a plusieurs machines (adresses MAC et IP spécifiques, etc.) alors qu’en réalité il n’y a qu’un logiciel sur un seul ordinateur, qui enregistre toutes les connexions qu’il reçoit. Ces honeypots permettent surtout de détecter des vers (qui se propagent automatiquement sur toutes les machines d’un réseau), puisqu’ils ne piègeront pas bien longtemps un pirate d’un niveau correct. Avantage : il est possible de remarquer rapidement qu’un virus se propage sur le réseau, pour pouvoir l’éradiquer assez vite.
Les Honeypots de forte interaction sont de vraies machines non-protégées (pas de firewalls ou pas d’application des derniers patchs et mises à jour) qu’on laisse à la merci du pirate. Le pirate entre dans la machine, installe ses outils, camoufle son œuvre, et s’ouvre une porte d’entrée pour pouvoir revenir rapidement les fois suivantes. Ceux-ci sont très utiles pour étudier une vraie attaque dans un contexte réel (tout ce que fait le pirate est enregistré et retransféré à un serveur distant qui loggue), ou découvrir de nouvelles failles, mais aussi plutôt dangereux, puisque le pirate peut s’en servir pour attaquer le reste du réseau si la protection du honeypot n’est pas suffisante.
D’autres modèles de Honeypots existent, qui ne sont pas tout à fait destinés aux mêmes buts : les honeyclients par exemple, permettent à une équipe (comme Microsoft) de se connecter à des sites de spam de manière automatique (vous savez, les liens que l’on reçoit dans les mails de spam), pour vérifier que leur navigateur web ne plante pas. S’il plante, c’est que le site utilise des techniques malicieuses, et c’est peut-être un indice pour détecter des failles dans les navigateurs ou les systèmes d’exploitation.
Ceci n’était qu’une introduction destinée aux néophytes du domaine. Il y aurait bien plus à dire sur ce sujet, mais il faut bien commencer quelque part.
