Page d'accueil	encyclopedie-enligne.com en page d'accueil
Liste Articles: [0-A] [A-C] [C-F] [F-J] [J-M] [M-P] [P-S] [S-Z] | Liste Catégories | Une page au hasard | Pages liées

Honeypot

Littéralement Pot de miel, il s'agit d'un ordinateur ou d'un programme volontairement vulnérable destiné à attirer et à piéger les pirates informatiques.

Principes de fonctionnement

Le but de ce leurre est de faire croire à l'intrus qu'il a pris la main sur une véritable machine de production pour observer les moyens de compromissions des pirates et pouvoir se prémunir contre de nouvelles attaques et laisser ainsi un temps supplémentaire de réaction à l’administrateur.

Une utilisation correcte d’un honeypot repose essentiellement sur la résolution et la mise en parallèle de trois problématiques :

• la surveillance
• la collecte d'information
• l'analyse d'information

La surveillance

Il faut partir du principe que toute information circulant sur le réseau à destination ou non du honeypot est importante. De ce fait, la surveillance doit absolument être constante et doit porter aussi bien au niveau local qu’au niveau distant. Cette surveillance de tous les instants repose sur :

• l'analyse du traffic réseau
• l'analyse pré compromission
• la journalisation des évènements

La collecte d'information

La collecte d’information est possible grâce à des outils appelés renifleur qui étudient les paquets présents sur le réseau et stockent les événements dans des bases de données. On peut également collecter des informations brutes grâce à des analyseurs de trames.

L'analyse d'information

C'est grâce à l'analyse des informations recueillies que l'on va pouvoir découvrir les défaillances du réseau à protéger et les motivations des pirates.

Les différents types de honeypot

On compte deux types de honeypots qui ont des buts et des fonctionnalités bien distinctes :

• les honeypots à faible interaction
• les honeypots à forte interaction

Les honeypots à faible interaction

Ils sont les plus simples de la famille des honeypots. Leur but est de récolter un maximum d’informations tout en offrant un minimum de privilèges aux pirates et donc en limitant au maximum les risques.

On peut ranger l’exemple de netcat dans cette catégorie. Puisque netcat se limite à l’écoute d’un port particulier tout en loguant toutes les commandes entrées, on peut donc écrire dans un fichier toutes les commandes entrées par un agresseur par exemple. Cependant, ce type d’écoute reste très limité car spécifique à un seul port.

Dans la même famille, on pourra citer :

• Honeyd de Niels Provost qui est un honeypot virtuel capable d’émuler des machines ou un réseaux virtuel dans le but de leurrer les hackers. C’est l’un des honeypots à faible interaction qui offre le plus de possibilités.
• Specter qui permet d’émuler des services classiques (web, FTP, etc.). Il ne permet pas un accès total sur un système d’exploitation à l’attaquant ce qui limite son intérêt.

Les honeypots à forte interaction

Ce type de honeypots peut être considéré comme le coté extrême du sujet puisqu’il repose sur le principe de l’accès à de véritables services sur une machine du réseau plus ou moins sécurisée.

Les risques sont bien entendu beaucoup plus importants que pour les honeypots à faible interaction. Il apparaît donc nécessaire de sécuriser au maximum l’architecture du réseau pour que l’attaquant ne puisse pas rebondir et s’en prendre à d’autres machines.

Les deux grands principes d’un tel honeypot sont :

• le contrôle de données : pour observer le maximum d’attaques, le honeypot à forte interaction doit bien entendu accepter toute les connexions entrantes et au contraire limiter les connexions sortantes pour éviter tout débordement. Cependant, il ne faut en aucun cas interdire toutes les connexions sortantes pour ne pas alerter le pirate. Un bon compromis entre sécurité et risque de découverte du leurre est donc nécessaire.
• la capture des données : avec un pare-feu ou un Système de Détection d'Intrusion (SDI).
  • le pare-feu permet de loguer et de rediriger toutes les tentatives d’attaque aussi bien internes qu’externes.
  • le SDI permet d’enregistrer tous les paquets circulant pour pouvoir reconstruire la séquence d’attaque. Il peut permettre également, grâce aux IPtables, de rediriger les paquets compromis vers le honeypot. Il vient donc en complément d’un pare-feu et sert également de sauvegarde au cas ou celui-ci tomberait.
  • les informations générées seront redirigées vers une machine distante et non stockées sur la machine compromise en raison du risque de compromission de ces données.

Il faut également relever l’existence de honeypots plus spécifiques comme les honeypots anti-spam ou anti-virus.

Les projets en cours

Un grand nombre de projets sur les honeypots ont vu le jour pour collecter des informations sur les outils utilisés par les pirates, leurs méthodes d’attaque et les failles de sécurité qu’ils exploitent mais aussi et surtout leurs motivations.

Dans cette perspective a débuté en juin 2000 le Honeynet Project . Ce projet est une association à but non lucratif composée de professionnels de la sécurité informatique. Leur philosophie est « connaît ton ennemi » en référence à l'Art de la guerre. Leurs objectifs:

• déclencher une prise de conscience sur la réalité des menaces provenant d’Internet.

• enseigner et informer, donner toutes les informations nécessaires pour l’amélioration de la protection des ressources.

• diffuser leurs outils et stimuler la recherche pour accroître leur potentiel de recherche.

On notera encore d'autres projets intéressants:

• HOSUS (Honeypot Surveillance System) de Lance Spitzner.
• Honeypots : Monitoring and Forensics de Ryan Barnet.
• Florida Honeynet Project.