La messagerie électronique contient une propriété intellectuelle précieuse qui doit être protégée contre la perte. Quelles sont les alternatives qui s’offrent à vous pour atteindre cet objectif ?
La propriété intellectuelle est l’ensemble des idées, des inventions et des conceptions qui donnent de la valeur à votre entreprise. Bref, c’est votre capital intellectuel. Pour Google, ce sont les secrets de leur algorithme de recherche. Pour Lockheed Martin, c’est le design de leur nouveau chasseur furtif. Pour Pixar, c’est le logiciel qu’il a développé pour créer des graphiques de qualité supérieure.
Le terme propriété intellectuelle désigne la propriété incorporelle comme les brevets, les marques de commerce, les droits d’auteur et les secrets commerciaux. Les brevets, les marques de commerce et les droits d’auteur sont déposés dans les coffres de l’État, où le gouvernement est responsable de leur catalogage. Dans le cas d’un nouvel algorithme de tri ou d’une nouvelle conception de puce, ces documents de conception détaillés deviennent une affaire publique, de sorte que personne ne puisse la copier ou, si tel est le cas, le titulaire des droits puisse invoquer la contrefaçon.
Mais les secrets commerciaux prennent de nombreux formats différents. Cela comprend les e-mails et les documents qui y sont joints. Quel que soit le système que vous utilisez pour la messagerie, Exchange ou Zimbra, ceux-ci contiennent l’historique chronologique complet du développement de votre produit, de sa conception à sa révision, en passant par sa publication.
Pourquoi des archives fiables sont-elles importantes ?
Ces documents ont été stockés dans différents référentiels au fil des ans, à mesure que les technologies évoluaient. D’abord les disques partagés, puis Lotus Notes, puis SharePoint.
Lorsqu’une entreprise passe d’une plate-forme à l’autre, ces données sont censées être migrées, mais le document ou l’e-mail que vous avez écrit il y a 7 ans et enregistré sur un point de montage partagé sur le réseau risque de ne plus exister. C’est pourquoi il est important de disposer d’archives fiables.
De plus, la perte de documents archivés et de leurs pièces jointes expose l’entreprise à des risques réglementaires et juridiques importants.
Législation concernant la conservation des documents
Le gouvernement a des exigences particulières en matière de conservation des documents. Aux États-Unis, ces règles sont plus strictes qu’au sein de l’UE.
Suite à la faillite d’Enron, la loi Sarbanes-Oxley (SOX) a été adoptée afin que les entreprises puissent documenter l’exactitude de leurs états financiers.
La réforme des soins de santé s’est accompagnée de la loi HIPPA (Health Insurance and Patiently Portability Act).
La mise à jour de la loi Gramm-leach-Bliley, Franks-Dodds, était également apparue avec la récente récession et l’effondrement des frères Lehman.
L’objectif de toutes ces législations est d’obliger les entreprises à tenir des registres électroniques afin qu’elles puissent les produire en cas de litige, d’accusations de fraude ou de différend entre une entreprise et des actionnaires ; des intervenants ou des organismes de réglementation. Certaines de ces règles, comme la SEC 17a-3-4, stipulent le format requis – cette règle stipule que les dossiers électroniques doivent être conservés dans des installations sécurisées hors site et inviolables.
Les personnes accusées d’avoir altéré des dossiers électroniques sont passibles d’une peine d’emprisonnement pouvant aller jusqu’à 20 ans. Les exigences de conservation sont de 5 ans pour les dossiers des Sox et de 6 ans dans le cadre de l’HIPAA. Par ailleurs, en cas de litige, il est préférable d’avoir des archives permanentes.
Qu’en est-il de la propriété intellectuelle ?
Ce n’est pas seulement le modèle de conception d’un produit qu’il faut protéger, mais toute son évolution. Si votre entreprise intente une action contre un concurrent pour contrefaçon de brevet ou violation de droit d’auteur, c’est à ce moment que vous aurez besoin d’un e-mail pour documenter la piste qui a mené au développement de ce produit.
Les e-mails entre les dirigeants, les clients et les fournisseurs peuvent dans ce cas aider les avocats à démontrer que le concurrent tire profit de gains mal acquis.
Ce qu’on appelait autrefois la découverte s’appelle maintenant e-Discovery
C’est là que les archives sont d’une importance cruciale. L’omission de maintenir un centre d’archives pourrait constituer une infraction aux règlements ou même un outrage au tribunal.
Il existe plusieurs façons d’archiver les e-mails. La façon peu pratique et peu flexible est de copier les fichiers de données PST et NSF vers un stockage à long terme, puis d’importer ces données en ligne lorsque vous recherchez quelque chose qui date de quelques mois ou quelques années auparavant. C’est un peu comme si vous exportiez une base de données Oracle vers un format d’archivage et que vous l’importiez de nouveau lorsque vous recherchez quelque chose qui n’est pas en ligne.
La meilleure alternative est d’archiver les e-mails de manière à ce que les utilisateurs ne semblent pas du tout hors connexion. C’est ce que fait un fournisseur de solutions d’archivage d’emails dans le cloud. Ce type de configuration permet aux utilisateurs d’effectuer des recherches dans les archives et de récupérer des documents dans les dossiers de messagerie électronique actifs à l’aide d’un système d’archivage d’e-mails dans le cloud, comme ArcTitan, tout en respectant les règles relatives aux archives hors site, sécurisées et protégées.
Autres raisons de conserver des archives protégées
La violation des réglementations gouvernementales n’est pas la seule raison de conserver des archives protégées. Vous aurez besoin de ces documents en cas de poursuites judiciaires. Il peut s’agir de poursuites pour harcèlement sexuel, de congédiements illégaux, de responsabilité liée à des produits, voire de plaintes criminelles.
Les archives sont également importantes en cas de litige entre vendeurs ou entre contractants et en cas de questions concernant les garanties de produits telles qu’elles figurent dans l’e-mail : factures, contrats numérisés et accords.
Enfin, les archives sont importantes lorsque vous perdez les détails techniques sur la façon de faire quelque chose que vous avez réalisé il y a 3 ans, lorsque l’employé qui l’a conçu était toujours dans votre entreprise.
Réduisez donc les risques pour votre entreprise en mettant vos archives d’e-mails dans le cloud sécurisé, en vous fiant à un professionnel spécialisé dans ce domaine.
Beaucoup de gens croient que seules les entreprises réglementées doivent conserver les e-mails et d’autres fichiers numériques. C’est une idée fausse et dangereuse. Les lois sur la conservation des données touchent la plupart des entreprises, qu’elles soient réglementées ou non.
Les lois que vous devez respecter dépendent du pays dans lequel vous exercez vos activités. Aux États-Unis, la liste des réglementations est longue : SOX, HIPPA, Franks-Dobbs, Gramm Leach Bliley, et même le USA Patriot Act. En Europe, il existe des lois spécifiques pour les pays membres de l’UE, ainsi que pour l’Union européenne dans son ensemble.
Saviez-vous que vous pourriez commettre un crime si vous supprimez un e-mail ? Vous réutilisez des supports de sauvegarde qui peuvent aller à l’encontre de la loi ? Faites cela avec une intention malveillante et vous risquez de purger 20 ans de prison aux États-Unis. Le défaut de produire des e-mails pour les vérificateurs peut également amener la SEC (Security and Exchange Commission) à imposer une amende aux entreprises financières.
Voici un résumé de certains des règlements particuliers et voici comment ils ont vu le jour. En raison du grand nombre d’organismes de réglementation et de règles qui se chevauchent, certaines organisations décident de tout conserver, et pour toujours. La raison est que certaines règles stipulent que le document A doit être conservé pour la période B et le document C doit être conservé pour la période D.
Les règlements peuvent encore se compliquer, car les différentes périodes et règles de conservation s’appliquent à différents types de données. Il est plus simple de supposer que vous avez besoin d’une copie inviolable et hors site de toutes les communications commerciales, des dossiers de paie et de santé, et des transactions comptables, et ce, pour toujours.
SOX
Après le scandale Enron aux États-Unis, le Congrès a adopté la loi Sarbanes-Oxley de 2002 pour faire en sorte que les entreprises démontrent la véracité de leurs états financiers. L’objectif était d’étayer l’affirmation « Tout va bien ici. Les affaires vont bien » avec des faits réels pour protéger les investisseurs contre la fraude (dans le cas d’Enron).
À cette fin, tout type de données comptables doit être conservé pendant 7 ans. Étant donné que les e-mails peuvent contenir des informations concernant les audits de la société et l’examen des états financiers réalisés par le comptable, ils doivent alors être conservés pendant cette période.
Les mesures prises dans le cadre de l’exploitation de l’entreprise sont également liées aux résultats financiers, de sorte qu’elles doivent être conservées pendant sept ans. Bref, le mieux serait donc de conserver tous vos e-mails pendant au moins 7 ans.
HIPAA
L’HIPAA est la Loi sur la transférabilité et la responsabilité en matière d’assurance maladie. Il a été adopté sous le mandat du président Clinton pour permettre aux Américains de conserver leur assurance maladie lorsqu’ils perdent leurs emplois. Cette cruelle partie du capitalisme a été remplacée par la nouvelle loi sur la santé du président Obama, mais les exigences de l’HIPPA en matière de paperasserie demeurent.
On pourrait penser qu’une loi appelée « assurance maladie… » s’adresserait uniquement aux professionnels de la santé. Bien au contraire, la loi s’applique aux discussions sur la santé de toute personne, y compris votre personnel. Il peut s’agir d’un employé qui demande un congé médical pour consulter un médecin ou pour s’occuper d’un enfant malade ; ou bien d’un parent vieillissant. Du moment que la communication se fait par e-mail, l’HIPPA exige que vous conserviez le message pendant six ans.
Les règles au Royaume-Uni
Watson et Hall ont passé en revue les règles en matière de détention de documents au Royaume-Uni. Leur matrice regroupe les exigences de communication et de conservation par secteur : finance, gouvernement, communication et conformité interentreprises.
Selon Watson et Hall, les entreprises basées au Royaume-Uni sont tenues de conserver les dossiers fiscaux pendant trois ans ; les messages texte sur téléphone cellulaire pendant un an (ce serait difficile) ; et les e-mails pendant un an, à moins que vous soyez une entreprise financière, auquel cas l’exigence est de six ans.
Les fournisseurs d’accès internet (FAI) et les entreprises hébergeant des sites web sont tenus de conserver un registre de leur activité sur internet pendant 4 jours et des informations sur la connexion Internet pendant un an.
Lois allemandes sur la conservation des données
Iron Mountain, l’entreprise américaine d’archivage de documents et de données informatiques, a dressé une liste pour l’Allemagne. En effet, les entreprises allemandes et les entreprises opérant en Allemagne sont tenues de conserver les communications commerciales pendant 6 ans et les données salariales et comptables pendant 10 ans.
Archivage des e-mails avec ArcTitan Cloud
Les exigences eDiscovery stipulent que les e-mails doivent être conservés et consultables pendant 6 ans. Par conséquent, il est important d’utiliser un système d’archivage d’e-mails – comme ArcTitan – qui donne aux utilisateurs un accès en ligne à ce qui est archivé hors ligne et hors site.
Il existe une alternative consistant à suivre un processus fastidieux pour restaurer des fichiers de données d’e-mails à partir d’une sauvegarde afin de rechercher ce qui pourrait être demandé à votre entreprise. Cependant, il s’agit d’un processus lourd et sujet aux erreurs.
ArcTitan inclut un navigateur en langage naturel via lequel vous pouvez rechercher dans les archives de votre messagerie électronique tous les éléments liés, par exemple, à « Fusion avec Acme Company ». Cet outil permet à votre entreprise de rester en conformité avec les réglementations en vigueur et de se conformer facilement aux exigences eDiscovery.
Faire face aux implications des médias sociaux sur la sécurité des réseaux d’entreprise
Les médias sociaux sont désormais l’affaire de tous. Une nouvelle étude indique que l’utilisation des médias sociaux sur les réseaux d’entreprise est en nette augmentation. L’étude Osterman Research a révélé que 36 % des employés d’entreprises utilisent Facebook au travail, contre 28 % il y a 12 mois. L’utilisation de Twitter est passée de 11 % à 17 %, et celle de LinkedIn de 22 % à 29 %.
L’utilisation des médias sociaux dans les entreprises comporte de nombreux aspects commerciaux, y compris les implications informatiques et du contrôle sécuritaire. À cela s’ajoutent les problèmes liés aux utilisateurs finaux, notamment l’utilisation personnelle des médias sociaux sur le lieu de travail.
Les malwares sont omniprésents dans les médias sociaux
Ladite étude a également mis en évidence que les malwares sont omniprésents dans les médias sociaux. Les responsables informatiques et réseaux doivent désormais gérer et sécuriser les nouveaux points d’accès réseau créés par l’utilisation des médias sociaux. En fin de compte, plus il y a de personnes qui les utilisent, plus il y a de risques de problèmes de sécurité et d’attaques réussies.
Les spams et les attaques de phishing qui se propagent sur les réseaux sociaux peuvent avoir des conséquences dévastatrices pour les entreprises. Parmi celles qui ont permis l’utilisation de Facebook dans le milieu de travail, 24 % ont vu des malwares infiltrer leurs réseaux, contre 7 % pour Twitter et LinkedIn. Cependant, une proportion importante des personnes interrogées ne savaient tout simplement pas si elles avaient été victimes de malwares via les médias sociaux ou non.
Les utilisateurs professionnels sont tout aussi vulnérables aux attaques de phishing et de malwares que les consommateurs
Les employés passent de plus en plus de temps sur les réseaux sociaux. Ils partagent des informations personnelles et parfois, involontairement, des données sensibles concernant l’entreprise. L’augmentation du nombre d’attaques ciblées de spear phishing nous indique que les réseaux sociaux sont non seulement une excellente source d’information pour les cybercriminels, mais aussi (et le plus souvent) la plate-forme choisie par les pirates pour lancer des attaques.
Les entreprises et les utilisateurs individuels doivent donc s’efforcer continuellement de se protéger contre les attaques de phishing ciblées qui les exposent au risque d’usurpation d’identité, d’offres frauduleuses et d’attaques de malwares. Nous connaissons tous le scénario : un employé visite un site de média social à partir de son ordinateur de travail pendant son temps libre et finit par attraper un cheval de Troie via ce site.
Il est possible qu’un dirigeant d’une entreprise soit victime d’une telle escroquerie, mais les utilisateurs professionnels sont tout aussi vulnérables aux attaques de phishing et de malwares que les consommateurs. La différence est que, dans l’environnement commercial, les enjeux peuvent être plus élevés. Si l’utilisateur utilise le même mot de passe pour un site de média social personnel que pour votre réseau, il y a deux fois plus de risque.
Certains malwares surveillent l’activité de l’ordinateur et peuvent enregistrer les frappes au clavier réalisées par les utilisateurs. Les informations pourraient être utilisées par les pirates pour accéder à des comptes de messagerie électronique, à des comptes en ligne, à des comptes bancaires et à d’autres renseignements de ce genre. Elles ne devraient donc pas être partagées, car elles risquent d’être envoyées à une personne qui ne devrait pas y avoir accès.
Qui est responsable de la protection contre le spam et les malwares sur les médias sociaux ?
Il est clair qu’une approche multicouche de la sécurité est indispensable. Les entreprises doivent déployer une variété d’outils, et de manière intelligente, pour s’assurer que le réseau est protégé contre les attaques par e-mail et par Internet.
Du point de vue des réseaux sociaux, les entreprises doivent surveiller, gérer et contrôler leur utilisation sur le lieu de travail et protéger les données de l’entreprise contre les malwares et autres menaces Internet telles que les virus, les spywares et le phishing.
La croissance continue du Web 2.0 sur le lieu de travail et la prolifération du spam de réseau social constitue une nouvelle frontière en matière de responsabilité des employés dans le domaine de la sécurité réseau. Une escroquerie par phishing réussie peut entraîner des pertes financières et la perte de données des clients. Les organisations doivent donc rester vigilantes et suivre des directives éprouvées, à savoir de ne pas cliquer sur des liens ou des pièces jointes dans les e-mails non sollicités.
La formation et la sensibilisation des utilisateurs sont essentielles et devraient faire partie intégrante de tout programme de sécurité de l’entreprise. Les réseaux sociaux ont eux aussi un rôle à jouer dans la réussite des attaques cybercriminelles. La mise en œuvre et le renforcement des filtres antispam sociaux s’avèrent donc inévitables.
L’utilisation des réseaux sociaux se développe rapidement, mais les entreprises ont peu d’informations à ce sujet
Cette recherche nous a appris qu’aujourd’hui, l’utilisation des médias sociaux dans le milieu de travail est au même niveau que celle des e-mails au milieu des années 90.
En effet, leur utilisation croît rapidement, mais la surveillance ou la compréhension de cette utilisation sont insuffisantes. Cela laisse les entreprises vulnérables à un large éventail de menaces, notamment l’infiltration de malwares, les fuites de données, l’impossibilité d’archiver les enregistrements de l’entreprise publiés via les réseaux sociaux. Bien entendu, il y a d’autres risques qui coûtent beaucoup plus que les technologies pouvant être déployées pour s’en protéger.
Kaspersky Labs a été accusé par plusieurs anciens employés anonymes de créer de faux malwares afin que les produits antivirus concurrents signalent les faux positifs et soient discrédités. Lorsqu’il s’agit de sources anonymes, ce qui rend les informations de Kaspersky moins transparentes, la prudence est de mise. Nous avons contacté Kaspersky pour obtenir plus d’informations.
Kaspersky Labs nie strictement ces accusations et nous a fourni cette déclaration :
« Contrairement aux allégations faites dans un reportage de Reuters, Kaspersky Lab n’a jamais mené de campagne secrète pour tromper ses concurrents et les amener à générer de faux positifs afin de nuire à leur position sur le marché. De tels actes sont contraires à l’éthique. Elles sont malhonnêtes et illégales. Les accusations d’anciens employés anonymes et mécontents — selon lesquelles Kaspersky Lab, ou son PDG, aurait été impliqués dans ces incidents — sont sans fondement et tout simplement fausses. En tant que membre de la communauté de sécurité informatique, nous partageons avec d’autres fournisseurs nos données de renseignements sur les menaces et les Indicateurs de compromission (IOCs) sur les acteurs de menaces avancées. Nous recevons et analysons également les données sur les menaces fournies par d’autres fournisseurs. Bien que le marché de la sécurité soit très concurrentiel, l’échange de données fiables sur les menaces est un élément essentiel de la sécurité globale de l’ensemble de l’écosystème informatique. Nous nous efforçons de faire en sorte que cet échange ne soit pas compromis ou corrompu.
En 2010, nous avons effectué une expérience ponctuelle en téléchargeant seulement 20 échantillons de fichiers non malveillants sur le multiscanner VirusTotal, ce qui ne causerait pas de faux positifs, car ces fichiers étaient absolument propres, inutiles et sans danger. Après l’expérience, nous l’avons rendue publique et avons fourni tous les échantillons utilisés aux médias pour qu’ils puissent la tester eux-mêmes. Nous avons mené cette expérience pour attirer l’attention de la communauté de sécurité sur le problème de l’insuffisance de la détection multiscanner lorsque les fichiers sont bloqués uniquement parce que d’autres fournisseurs les ont détectés comme étant malveillants, sans examen réel de leurs activités.
Après cette expérience, nous avons eu une discussion avec l’industrie de l’antivirus à ce sujet et nous avons compris que nous étions d’accord sur tous les points importants.
En 2012, Kaspersky Lab faisait partie des entreprises touchées par une source inconnue qui a téléchargé des fichiers défectueux vers VirusTotal, ce qui a entraîné un certain nombre d’incidents avec des détections de faux positifs. Pour résoudre ce problème, en octobre 2013, lors de la conférence VB à Berlin, il y a eu une réunion privée entre les principaux fournisseurs d’antivirus dans le but d’échanger des informations sur les incidents ; de déterminer les motifs de cette attaque et d’élaborer un plan d’action. On ne sait toujours pas qui était derrière cette campagne. »
Selon Ronan Kavanagh, PDG de TitanHQ, « Kaspersky est un excellent produit. Nous n’avons jamais eu de problème avec lui, bien au contraire. Bien entendu, nous avons vu de faux positifs, nous avons été ciblés par de mauvais échantillons comme beaucoup d’autres fournisseurs de sécurité, mais nous n’aurions aucune visibilité sur les auteurs de ces attaques. L’essentiel, c’est qu’en tant qu’industrie, nous travaillons ensemble pour riposter aux éventuelles menaces.
Eugene Kaspersky n’a pas été content de l’article de Reuters et a décidé de nier vigoureusement ces revendications sur Twitter.
Avez-vous déjà demandé à un logiciel de sécurité de renvoyer de faux positifs ?
Les honeypots sont un élément de base de la boîte à outils de la sécurité réseau pour les administrateurs système. Ils peuvent offrir des avantages uniques aux entreprises. Pour ceux qui ne sont peut-être pas familiers avec ce terme, un honeypot est un système informatique qui est tout particulièrement fait pour être attaqué, scanné ou exploité.
Mais pourquoi se donner la peine d’affaiblir volontairement son système informatique ? N’avons-nous pas assez de problèmes pour assurer la sécurité de nos systèmes ?
Aussi valables que ces questions puissent être, elles passent complètement à côté du sujet. En réalité, les honeypots peuvent nous permettre d’observer le comportement d’un attaquant, lui faire perdre son temps, le frustrer et, généralement, le tenir éloigné des systèmes et réseaux auxquels nous tenons vraiment. Chaque fois qu’un attaquant passe du temps à interagir avec un honeypot, il ne passe pas du temps à attaquer un système réel.
Il existe de nombreux types de honeypots. Certains sont bons pour simuler une topologie réseau entière avec de nombreux hôtes, chacun exécutant différents systèmes d’exploitation et services. Les honeypots ont été largement utilisés par les chercheurs pour étudier les méthodes des attaquants, ils peuvent aussi être très utiles pour les systèmes de défense informatiques.
HONEYD
Honeyd est un outil particulièrement utile que vous pouvez obtenir à l’adresse http://www.honeyd.org. L’extrait suivant est tiré de ce site Web :
Honeyd est un petit démon qui crée des hôtes virtuels sur un réseau. Les hôtes peuvent être configurés pour exécuter des services arbitraires, ils peuvent également être adaptés pour donner l’impression d’utiliser des systèmes d’exploitation différents. Honeyd permet à un seul hôte de revendiquer plusieurs adresses (personnellement, j’ai testé jusqu’à 65536) sur un réseau local pour la simulation de réseau. Honeyd améliore donc la posture de sécurité en fournissant des mécanismes de détection et d’évaluation des menaces et dissuade les pirates informatiques en cachant les systèmes réels au milieu des systèmes virtuels.
Voici quelques caractéristiques intéressantes qui ont attiré mon attention :
Honeyd a la capacité de simuler de nombreux hôtes virtuels en même temps.
Il utilise l’empreinte digitale passive pour identifier les hôtes distants (attaquants).
Il simule plusieurs piles TCP/IP (OS X, Windows, Linux etc.) en utilisant les fichiers de signatures NMAP et NPROBE. Cette fonctionnalité spécifique m’a vraiment époustouflé !
Il peut simuler des topologies de réseau arbitraires et même vous permettre d’ajuster la latence et la perte de paquets.
Vous pouvez également exécuter de vraies applications UNIX sous des adresses IP virtuelles Honeyd (serveurs HTTP, serveurs FTP… bref, tout ce que vous voulez !).
Ce que notre administrateur système avait à dire
Nous avons parlé à Arona Ndiaye, notre administrateur système expert en Linux et basée aux Pays-Bas. Nous lui avons demandé de jeter un coup d’oeil à Honeyd et de nous faire part de ses commentaires. Voici ce qu’elle a dit :
« J’utilise principalement les systèmes *nix et Linux, donc je ne peux pas parler d’OS X ou Windows. Mais l’installation de cet honeypot sur Kali Linux m’a simplement demandé d’ajouter une ligne à mon fichier sources.list et d’exécuter apt-get update && apt-get install Honeyd. Pour le configurer, il fallait éditer un fichier de configuration textuel et s’assurer que mon pare-feu avait les bonnes permissions. Le site Web de l’outil contient la plupart des informations dont vous aurez besoin pour commencer…
… le reste peut être facilement récupéré en utilisant l’outil et en l’attaquant vous-même, ce qui est exactement ce que j’ai fait au début. J’ai été étonné de ce que me disait le NMAP et j’ai immédiatement voulu savoir comment j’avais réussi à le tromper. Il s’avère que l’installation de Honeyd inclut un fichier appelé nmap.prints. Le contenu de ce fichier est ce qui permet à Honeyd d’émuler un système d’exploitation spécifique. J’ai quelques honeypots en cours d’exécution sur les instances d’Amazon EC2 et le type d’informations que vous pouvez recueillir sur les scans et les attaques est tout simplement impressionnant ».
KIPPO
Kippo est aussi un honeypot, mais il se concentre sur la falsification d’un serveur SSH et laisse les attaquants le “forcer brutalement” en lui attribuant un mot de passe très facile à deviner, tel que 123456. Ce qui est intéressant avec Kippo, c’est ce qui se passe après que l’attaquant a réussi à se connecter à votre système. En effet, vous pouvez simuler un système de fichiers entier et même cloner la structure de fichiers d’un système installé. Notre administrateur système a également expérimenté cette possibilité et voici ce qu’elle a dit :
“Je l’ai fait avec Kali Linux et je m’y suis connecté à partir d’une autre machine. En utilisant divers utilitaires système, j’ai pu voir quelque chose qui ressemblait à une installation Kali normale. Je pouvais naviguer dans les dossiers, demander le contenu des fichiers, télécharger des fichiers, etc. Tout cela était bien sûr enregistré par Kippo.”
Voyez jusqu’où vous pouvez aller pour faire perdre du temps à un pirate informatique
“Ce que j’ai trouvé fascinant avec cet outil, c’est jusqu’où vous pouvez aller pour gaspiller le temps ou les ressources d’un éventuel attaquant. Kippo vous permet de spécifier le contenu des fichiers pour des fichiers spécifiques, tels que /etc/passwd, ce qui signifie que vous pouvez vraiment aller très loin pour truquer un système de fichiers spécifique. Le fait que toute interaction avec le système soit enregistrée signifie que tout code d’exploitation, shellcode ou malware téléchargé est enregistré. Il peut donc être disséqué ultérieurement dans une machine virtuelle”.
Kippo et Honeyd ne sont que deux outils parmi tant d’autres. La plupart d’entre eux sont open source, ce qui signifie que le fait de pouvoir les modifier pour les adapter à vos besoins est une véritable opportunité. Beaucoup de gens construisent des combo-honeypots où ils utilisent plusieurs outils pour construire des réseaux, des hôtes et des services élaborés. Tous ces outils sont faux, mais ils semblent bien réels.
Cinq avantages que les honeypots peuvent apporter à votre entreprise
Ce qui rend les honeypots intéressants, c’est qu’ils permettent de :
Gaspiller les ressources, le temps et l’attention des cybercriminels.
Recueillir des informations sur les attaques, les kits d’exploitations, les tendances et les malwares pour former votre équipe de sécurité.
Observer les comportements des attaquants.
Connaître le profil des attaquants et leurs méthodes.
Améliorer éventuellement votre posture de sécurité globale, à condition qu’elle soit bien gérée.
Un honeypot doit être maintenu et mis à jour
Je ne recommanderais pas de faire entièrement confiance à votre honeypot. Voici les raisons :
Un attaquant expérimenté peut écrire des scripts pouvant confirmer si une machine spécifique est un honeypot ou non.
Comme tout autre outil, un honeypot a des scénarios qui lui conviennent parfaitement et d’autres qui ne le sont pas.
Vous avez besoin d’une personne capable de gérer en permanence le honeypot et qui sera toujours prête à faire face aux éventuels problèmes.
Le honeypot doit être entretenu et mis à jour, tout comme les autres machines. Vous devez donc décider si le gain en vaut la peine.
Le simple fait d’“ajouter un honeypot” n’augmentera pas la sécurité de votre réseau et pourrait même constituer une faille de sécurité si le honeypot n’est pas aussi bien isolé.
Êtes-vous un fan de honeypots ? Sinon, pourquoi pas ?
