Les honeypots (littéralement « pot de miel ») sont aujourd’hui un outil essentiel en matière de cybersécurité pour aider les entreprises à se protéger des cyberattaques. Ils permettent à la fois de détecter différents types d’attaques, mais également de mieux comprendre les techniques utilisées par les pirates pour pouvoir s’en protéger davantage par la suite.
Définition d’un honeypot
Un honeypot est un système informatique fictif, mais ayant tout d’un système réel. Il est destiné à piéger les hackers pour permettre aux entreprises de détourner de potentielles attaques. L’objectif est donc d’attirer la cible sur le système surveillé et de récupérer ensuite les diverses informations afin d’éviter, mais aussi d’étudier la tentative de piratage afin d’améliorer le système de sécurité de l’entreprise.
L’honeypot se constitue d’un ordinateur, d’applications et de données. Sa sécurité est volontairement affaiblie pour attirer la cible qui pense donc avoir accès à de véritables données sensibles… En vérité, c’est l’entreprise ayant mis en place le honeypot qui va pouvoir récupérer des informations essentielles à la cybersécurité.
Attention ! Les honeypots doivent être minutieusement configurés par des experts au risque qu’ils ne servent en réalité de passerelle vers les systèmes réels.
Les avantages d’un honeypot pour une entreprise
La mise en place d’un honeypot permet notamment de :
- Prévenir une cyberattaque
- Prévenir une activité malveillante
- Récolter et étudier des données permettant de comprendre les techniques utilisées pour la cyberattaque
- Comprendre quelles sont les cibles susceptibles d’attaquer
- Comprendre les failles des mesures de cybersécurité mises en place au sein de l’entreprise
- Mettre en place de nouvelles mesures plus adaptées à la sécurité du réseau
- Adopter de nouvelles politiques de sécurité au sein de l’entreprise
Les honeypots sont des outils extrêmement efficaces qui permettent aux entreprises de gagner un temps considérable pour se défendre en matière de cybercriminalité. Plus besoin de chercher les pirates, avec un honeypot savamment installé, ces derniers mordront facilement à l’hameçon.
Objectifs des honeypots
Avant d’installer un honeypot, il est important de déterminer l’objectif recherché. Il existe deux objectifs distincts : recherche et production.
Honeypot de recherche
Les honeypots de recherche sont des systèmes complexes destinés à des fins d’études et d’authentifications par des spécialistes de la cybersécurité. Ces derniers analysent minutieusement les données et informations collectées pour évaluer le degré de vulnérabilité de l’entreprise et développer de nouvelles techniques pour remédier aux différentes failles détectées.
Honeypot de production
Les honeypots de production sont les plus fréquemment utilisés par les entreprises. Ils permettent de collecter des informations tels que l’adresse IP utilisée, les types de mots de passes utilisées, la date et l’heure de la cyberattaque, la destination des fichiers volés ou encore le volume de trafic.
Classification des honeypots
Il existe plusieurs types de classification pour les honeypots.
Classification des honeypots par degré d’interaction
Il existe deux types de degré d’interaction :
Honeypot à faible interaction : ce honeypot est relativement simple à concevoir et à gérer, mais il ne permet que de collecter des données limitées sur la cyberattaque. Il est aussi plus facilement repérable par les attaquants. Il est toutefois intéressant pour détecter des logiciels malveillants. Les honeypots à faible interaction sont majoritairement des honeypots de production.
Honeypot à forte interaction : ce type de honeypot requiert beaucoup de ressources, mais s’inscrit sur la durée. Le système étant plus complexe, l’hacker mettra plus de temps à le contourner. Ainsi il permettra à l’entreprise d’avoir plus de temps pour récupérer un plus grand nombre d’informations sur ses cyberadversaires et ajuster les protocoles de cybersécurité. S’il est plus pertinent que les honeypots à faible interaction, il nécessite toutefois un système de sécurité et de surveillance renforcée : la mise en place d’un honeywall est recommandée (logiciel permettant de sécurise le honeypot). Les honeypots à forte interaction sont majoritaires des honeypots de recherche.
Classification des honeypots par type d’activités
✉️ Piège à e-mails
Les pots de miel d’e-mails sont des comptes de messagerie créés dans le but de détecter les spammeurs. Généralement, ces pots de miel sont des comptes inactifs, car on suppose que si un compte qui n'a pas choisi de recevoir des e-mails les reçoit, l'expéditeur est très probablement un spammeur.
🍞 Breadcrumbs
Les breadcrumbs (littéralement « miettes de pain ») sont des répliques de fichiers, d'informations d'identification ou de clés de registre sont intentionnellement placées dans des emplacements spécifiques de la mémoire pour simuler ce que l'on trouve habituellement sur un système utilisé par un utilisateur réel et sont utilisés comme des appâts.
👾 Honeypot logiciel malveillant
Ce type de honeypot imite les applications logicielles et les API (Application Programme Interface) et permet de détecter des logiciels malveillants pour ensuite pouvoir notamment développer des mesures de protection.
Mise en place d’un honeynet
Pour être encore plus performant et plus crédible, il est recommandé aux entreprises de mettre en place plusieurs honeypots afin de former un honeynet, soit un véritable réseau de pot de miels qui permettra aux cybercriminels de naviguer entre les serveurs. Un honeynet ressemble à un réseau authentique et se compose de plusieurs systèmes. L’étendue du honeynet lui permet de surveiller et d’obtenir des informations sur de vastes réseaux. En plus d’ajouter de la crédibilité, le honeynet permet également de retenir les pirates informatiques davantage de temps. Les entreprises peuvent donc compiler un plus grand nombre d’informations qui sera essentiel à l’adaptation de leur protocole de cybersécurité.
Ballpoint propose une solution innovante facilitant l’installation d’un honeynet : Trapster. Trapster est un outil qui s’installe en moins de 3 minutes. Il se compose d’un ensemble de leurres reproduisant des serveurs attrayants pour les cibles. Dès qu’un hacker interagit avec Trapster, une notification est envoyée.
La mise en place d’honeypots et de honeynets au sein d’une entreprise est fondamentale pour aider cette dernière à mieux combattre la cybercriminalité et à adapter ses protocoles en matière de cybersécurité. Par ailleurs, pour réduire drastiquement le nombre de failles de sécurité qu’elle comporte dans son système et être plus à même de se protéger en décelant les techniques toujours plus innovantes des hackers, l’entreprise doit également réaliser des pentests ou test d’intrusion régulièrement.