Les honeypots présentent de nombreux avantages, en particulier le fait qu’ils peuvent améliorer considérablement votre sécurité informatique. Toutes les organisations devraient envisager d’en mettre en place un et d’évaluer ses avantages et inconvénients.
Cet article tente de détailler les avantages et inconvénients des honeypots afin que vous puissiez décider si un honeypot est approprié ou non à votre organisation.
Qu’est-ce qu’un honeypot et pourquoi l’utilise-t-on ?
Un honeypot est une couche de sécurité supplémentaire qui peut être utilisée avec un pare-feu et d’autres solutions de sécurité informatique. Il vous permet de mieux protéger votre réseau contre les pirates.
Les honeypots se présentent comme un maillon faible de votre système informatique dans le but de détourner l’attention des cybercriminels. Plutôt que de concentrer leurs efforts sur l’attaque d’un autre système qui pourrait causer des dommages importants, les pirates vont donc être attirés par les honeypots.
Les pirates pourront s’attaquer à ce semblant de point d’entrée facile dans un réseau, sans qu’ils puissent causer des dégâts. Mais cela permet aussi aux équipes informatiques de recueillir des informations précieuses sur eux lorsqu’ils tentent d’accéder à votre réseau.
Contrairement à un pare-feu, conçu uniquement pour empêcher les attaquants externes d’entrer, un honeypot peut également identifier les menaces et attaques internes. Et sachez que de nombreuses entreprises ne sont pas conscientes de l’existence de ces attaques de l’intérieur.
Bref, un honeypot offre une visibilité accrue et permet aux équipes de sécurité informatique pour qu’ils puissent se défendre contre les attaques que le pare-feu ne parvient pas à bloquer.
Mais les honeypots offrent également de nombreux autres avantages. C’est pour cette raison que de nombreuses organisations les utilisent actuellement en guise de protection supplémentaire contre les attaques internes et externes.
Les honeypots présentent de nombreux avantages !
Un honeypot est un système conçu dans le but unique d’être attaqué. Il s’agit d’un système qui peut être exploité, piraté, infecté par des malwares et abusé par un tiers malintentionné. Vous allez peut-être vous demander pourquoi vous devriez en adopter un. Alors, voici quelques explications.
Vous vous demandez pourquoi vous devriez consacrer votre temps, vos efforts et votre argent à mettre en place un système qui attirera les pirates informatiques ? Pourquoi devriez-vous délibérément créer un système avec des défenses affaiblies et qui seront sans aucun doute exploitées par des pirates informatiques ? Pour quelles raisons devriez-vous attirer leur intérêt ?
Il y a trois bonnes raisons à cela.
Premièrement, un honeypot fait perdre le temps d’un hacker. De cette manière, il aura moins de temps pour attaquer un système sécurisé, car s’il réussit, les conséquences seront importantes pour votre organisation.
Deuxièmement, en créant un honeypot, vous pourrez voir qui sont les pirates qui tentent de vous attaquer et quelles sont les méthodes qu’ils utilisent. Grâce à cela, vous aurez une bonne idée des types d’attaques utilisées, et donc des défenses que vous devrez installer pour protéger votre parc informatique et vos données.
Troisièmement, une attaque sur un honeypot est susceptible de frustrer suffisamment un cybercriminel et de l’empêcher de pirater vos systèmes informatiques.
Les chercheurs en matière de sécurité informatique sont bien conscients des avantages des honeypots. Ils ont joué un rôle essentiel dans l’étude du comportement des pirates. Ils peuvent également être utilisés pour déterminer comment les systèmes peuvent-ils être attaqués et comment les protéger efficacement.
La question n’est donc pas de savoir si vous devez installer un honeypot ou non, mais plutôt de savoir pourquoi vous ne l’avez pas encore fait.
Il existe différents types de honeypots qui peuvent être mis en œuvre. Vous pouvez par exemple configurer un système factice avec une topologie réseau complète si vous le souhaitez. Vous pouvez également opter pour de nombreux hôtes différents, et inclure une large gamme de services, voire différents systèmes d’exploitation.
Bref, vous pouvez tout mettre en œuvre pour permettre à votre honeypot de paraître comme une faille authentique et inciter ainsi les pirates à l’attaquer.
Dans cet article, nous allons nous focaliser sur deux des honeypots les plus populaires : Honeyd et Kippo.
Le honeypot Honeyd
Honeyd est un petit démon qui peut être utilisé pour créer un réseau contenant de nombreux hôtes virtuels.
Chacun de ces hôtes peut être configuré différemment. Vous pouvez alors exécuter une gamme de services arbitraires sur chacun d’eux et les configurer pour qu’ils semblent utiliser des systèmes d’exploitation différents.
Pour la simulation réseau, vous pouvez créer des dizaines de milliers d’hôtes différents sur votre réseau local en utilisant Honeyd si vous le souhaitez. Enfin, ce honeypot peut servir pour cacher votre système réel, identifier les menaces, évaluer les risques et améliorer votre sécurité.
Avantages de Honeyd
- Simuler plusieurs hôtes virtuels simultanément
- Identifier les cyberattaques et attribuer aux pirates une empreinte digitale passive
- Simuler de nombreuses piles TCP/IP
- Simuler des topologies de réseau
- Configurer de vrais serveurs FTP et HTTP, et même des applications UNIX sous des adresses IP virtuelles.
Le point sur Honeyd
Nous avons invité l’administrateur système Arona Ndiaye pour nous faire part de ses commentaires sur le honeypot Honeyd pour connaître les avis d’un administrateur Linux.
Elle utilise principalement les systèmes d’exploitation Linux et *nix, et a essayé Honeyd pour se faire une idée de son fonctionnement, ses possibilités et ses perspectives. Arona Ndiaye a installé le honeypot sur Kali Linux, un processus simple nécessitant une seule ligne à ajouter au fichier sources .list, exécutant apt-get update & apt-get install Honeyd.
Quelques ajustements ont été nécessaires pour s’assurer que le pare-feu eût les permissions correctes ; ainsi que quelques modifications de texte simples dans un fichier de configuration. C’était tout ce qu’il fallait.
Lorsqu’Arona Ndiaye a essayé d’attaquer le système, elle a été particulièrement impressionnée par les informations qui pouvaient être recueillies sur les attaques et les scans. Les méthodes d’attaque ont été enregistrées dans les moindres détails, y compris la manière utilisée pour tromper le NMAP.
Son verdict ? « Très impressionnant ».
Le honeypot Kippo
Nous avons aussi mis Kippo à l’épreuve. Cet autre honeypot populaire sert à créer un serveur SSH factice qui permet aux attaquants de mener des attaques par force brute. Le honeypot peut être configuré avec un mot de passe root particulièrement facile à deviner, telle qu’une simple chaîne de chiffres du genre 123456.
Il est également possible de configurer Kippo avec un système de fichiers complet ou, mieux encore, cloner un vrai système pour plus de réalisme. L’objectif est de convaincre le pirate qu’il attaque un système réel. Une fois que le pirate réussit à se connecter, toutes ces actions seront enregistrées, ce qui permet de voir exactement ce qui se passe quand le système est attaqué.
Ce qui rend d’autant plus intéressant l’honeypot Kippo, c’est le niveau de détail du faux système. En réalité, vous pouvez faire perdre un temps considérable à un pirate informatique et obtenir une idée précise de ce qu’il essaie de réaliser, des fichiers qu’il télécharge, des malwares et des exploits kits qu’il installe ou encore de l’endroit où il les met. Vous pouvez ensuite utiliser une machine virtuelle pour analyser l’attaque en détail quand vous le souhaitez.
Mettre en place des combo-honeypots pour créer un réseau très élaboré
Kippo et Honeyd sont des honeypots open source. Il est donc possible de les adapter à vos propres besoins et exigences, voire les combiner pour créer des réseaux extrêmement élaborés, en spécifiant des contenus de fichiers spécifiques et en créant de faux systèmes qui semblent parfaitement réels. C’est à vous de décider du temps que vous y consacrerez et du niveau de détail que vous souhaitez y ajouter.
Si vous voulez savoir exactement comment les systèmes sont attaqués pour mieux préparer votre système réel, Kippo et Honeyd sont tous deux de très bons outils que vous pouvez utiliser.
L’ajout d’un honeypot peut vous aider à améliorer votre sécurité informatique, mais ce n’est pas suffisant. Malheureusement, pour bénéficier des avantages des honeypots, vous devrez investir plus de temps dans la mise en place d’un réseau réaliste et dans sa mise à jour.
Pour qu’il soit efficace, vous devez donc le considérer et le traiter comme les autres machines ou systèmes que vous utilisez. Il convient également de vous assurer qu’il est isolé. Autrement dit, le faux système qui est facile à attaquer ne devrait pas donner à un hacker un point d’entrée facile dans votre système réel.
Résumé : principaux avantages des honeypots
Ce qu’il faut retenir des avantages des honeypots, c’est qu’ils vous permettent :
- D’observer les pirates en action et connaître leur comportement
- De recueillir des renseignements sur les vecteurs d’attaque, les malwares et les exploits kits. Vous pouvez ensuite utiliser ces informations pour former votre personnel informatique
- De créer des profils de pirates qui essaient d’accéder à vos systèmes
- D’améliorer votre sécurité informatique
- De gaspiller le temps et les ressources des cybercriminels
- De démontrer que votre organisation est susceptible d’être attaquée et que les données sont précieuses lorsque vous essayez d’obtenir des augmentations budgétaires pour la sécurité informatique.
Inconvénients des honeypots
Nous avons parlé des avantages des honeypots, mais y a-t-il d’autres inconvénients que le besoin de temps pour leur mise en place ?
Aucun système n’est parfait et les honeypots présentent des inconvénients notables. L’un des principaux problèmes est que le système est conçu pour être attaqué. Lorsque les attaques auront vraiment lieu et que le honeypot sera accessible aux pirates, ceux-ci pourront donc s’en servir comme rampe de lancement pour d’autres attaques. Ces attaques pourraient être menées au sein de votre organisation ou dans une autre entreprise, auquel cas votre responsabilité juridique pourrait être engagée.
Au cas où votre honeypot serait utilisé dans une attaque contre une autre entreprise, vous pourriez être poursuivi en justice. Le niveau de risque que cela puisse introduire dépendra bien entendu du honeypot, car plus il est complexe, plus le risque est élevé.
Ensuite, il ne faut pas oublier les ressources dont vous aurez besoin pour mettre en place le système. Si vous voulez créer un système réaliste qui trompera les pirates, il doit ressembler et se comporter exactement comme le système réel qu’il doit imiter.
Désormais, vous pouvez trouver des options gratuites qui vous permettront d’installer un honeypot à moindre coût, mais cela va toujours nécessiter d’autres ressources, notamment celles liées à son entretien et sa surveillance. Et sachez que le coût de ces ressources peut être non négligeable pour certaines entreprises.
Cela dit, il existe un autre moyen de réduire au minimum les couts liés à l’exploitation et l’entretien des honeypots. Dans de nombreux cas, ils peuvent être installés et laissés en tant que tel sur du vieux matériel existant isolé. Il n’y a donc pas besoin de les surveiller, car des alertes automatiques seront générées lorsqu’une attaque est en cours. Ainsi, toute donnée générée sera considérée comme une attaque réelle.
Gardez toujours à l’esprit que les honeypots peuvent ajouter de la complexité à votre réseau. Plus votre réseau est complexe, plus il sera difficile de le sécuriser. En outre, le honeypot pourrait introduire des vulnérabilités qui pourraient être exploitées par les pirates cherchant à accéder à vos vrais systèmes et données.
Pour finir, il convient de noter que le honeypot ne peut vous fournir des renseignements sur une attaque en cours que s’il est directement concerné. Si l’attaque implique d’autres systèmes et qu’il n’est pas concerné, par exemple s’il a été identifié comme tel et évité par les pirates informatiques, il est donc nécessaire de compter sur d’autres mécanismes pour identifier et contrer l’attaque.
La question de savoir si les avantages des honeypots l’emportent sur les inconvénients dépendra de la nature de votre entreprise, de la probabilité que des tentatives d’attaque de votre réseau se produisent et des ressources dont vous disposez pour la sécurité informatique.
Dans certains cas, il est plus judicieux de dépenser votre argent dans d’autres solutions de sécurité. Dans la foulée, votre équipe informatique pourra économiser le temps qu’elle aurait dû allouer à la surveillance des autres systèmes, à la résolution des vulnérabilités et à la mise à jour de vos logiciels.