Qu'est-ce qu'un Honeypot ?
Un Honeypot est un outil informatique présent depuis peu, qui permet d'être proactif au niveau de la sécurité de son système d'information. "Honeypot" est un mot anglais qui signifie en français "pot de miel" sert d'appât pour les hackeurs.
Comment ça fonctionne ?
Honeypots à faible interaction
Les plus simples honeypots : Ceux-ci ne font que simuler un service, ce qui ne laisse à l’attaquant que peu de choix, il peut scanner les ports ou encore taper des commandes qui ne lui renverront rien. Peu de risque d’intrusion sur le système hôte.
Honeypots à haute interaction
Ils offrent beaucoup de possibilités à l’attaquant, celui-ci peut s’attaquer à un vrai système ou de nombreuses failles sont à exploiter. Ces honeypots présentent plus de risques pour le système hôte mais les bénéfices de ces risques sont la récolte d’une grande quantité d’informations.
Quelques spécifications...
· Les honeypots peuvent se faire de manière virtuelle (virtualisation d’un ordinateur/serveur) ou de manière physique (vrai machine connecté au réseau).
· Un ensemble de honeypots qui simulent un réseau entier s’appelle « Honeynet » ou en français réseau de miel.
Les différents acteurs
White hats
Un chapeau blanc (en français) est un hacker éthique ou un expert en sécurité informatique qui réalise des tests d’intrusion et d’autres méthodes de test afin d’assurer la sécurité des systèmes d’informations d’une organisation.
Grey Hats
Un chapeau gris (en français) est un pirate informatique ou un expert en sécurité informatique qui peut avoir enfreint les lois ou les normes éthiques, mais n’a pas l’intention malveillante d’un pirate à chapeau noir; il se situe entre les deux.
Black hats
Un chapeau noir (en français) est un hacker qui s’introduit dans des réseaux sécurisés pour détruire, modifier ou voler des données, ou pour rendre les réseaux inutilisables pour les utilisateurs autorisés du réseau. Il fait cela uniquement pour son gain personnel.
les différents types de honeypots
Honeypots de recherche
Ce type de honeypot a pour but de collecter un maximum d’informations sur les tactiques et motivations des « black hats ». Ils ne sont pas déployés dans une organisation spécifique mais dans un environnement de recherche pour en apprendre le plus possible dans le but de mieux se protéger contre ces menaces. Ils sont principalement utilisés dans la recherche, militaire ou dans les organisations gouvernementales.
Honeypots de production
Simple d’utilisation, ces honeypots sont placés dans un environnement rempli de serveur dans le but de renforcer la sécurité de cet ensemble en attirant toute l’attention sur eux. Ils donnent donc moins d’informations sur l’attaque mais sont plus faciles à déployer.
Démonstration
Dans cette démonstration, on peut voir l’utilisation et le fonctionnement du Honeypot « Pentbox ». Tout d’abord, lors de la configuration du Honeypot, on a la possibilité de choisir nous-même sur quel port mettre le honeypot et même un message à afficher pour celui qui essaiera de s’y connecter. Par exemple, le port 23 , qui correspond généralement au port de connexion telnet (client-serveur). Dans notre exemple, la personne qui tentera de se connecter en telnet sur le port 23 sera directement stoppée avec un message qu’on aura déterminé plus tôt. Une notification d’intrusion apparaîtra également de notre côté pour nous avertir. Le port utilisé par défaut est le port HTTP (80) qui sert à afficher les pages web. Cette technique d’Honeypot est surtout appliquée dans les entreprises pour se protéger au maximum des hackeurs.