On
n'attrape pas les pirates avec du vinaigre, mais avec
du miel !
Créer une configuration peu sécurisée pour attirer les pirates et mieux connaître leur mode opératoire, tel est l'objectif des honeypots (pots de miel). Une arme de plus dans le dispositif sécurité de l'entreprise. (Mercredi 26 novembre
2003)
"Efforcez-vous de vaincre
par la ruse, sans livrer combat. Les grands stratèges
remportent le succès en découvrant le jeu caché de leurs
adversaires, en déjouant leurs plans [...]". Tel
était le conseil du chinois Sun-Zu, dans son ouvrage
"L'art de la guerre", daté
du IVème siècle avant J.-C.
Au 21e siècle, le principe est toujours d'actualité
et certaines entreprises n'hésitent désormais
plus à créer ce que l'on appelle des "honey
pots", littéralement pots de miel, systèmes
destinés à attirer les pirates pour mieux
comprendre et étudier leur mode de fonctionnement.
Une stratégie qui peut même être appliquée
à la lutte contre le spam.
Veille
ou réplique opérationnelle ? Les dispositifs
honeypots peuvent être de différentes sortes.
Certains sont résolument passifs, d'autres plus
interactifs. Complémentaires des systèmes
anti-intrusion et des pare-feu, ils ont pour objectif
- en tant que leurres -, de collecter de précieuses
informations sur le mode opératoire des pirates.
Certaines entreprises s'en servent comme d'un outil de
veille, pour détecter des types d'attaques émergents,
d'autres comme d'un outil plus opérationnel destiné
à contre-carrer une attaque en cours.
Dans ce dernier cas, le pot de miel permet d'analyser
en temps réel les caractéristiques d'une
attaque, sans que les systèmes en production ne
soient concernés et ne doivent le cas échéant
être arrêtés, sans non plus que l'intégralité
des données opérationnelles n'aient à
être passées en revue pour déterminer
précisément à quels agissements le
pirate s'est livré (quels fichiers ont été
lus, écrits, dégradés, détruits,
quels systèmes ont été visités...).
Des
degrés d'interactivité variables, une réponse
au spam Deux types de pots
de miel sont envisageables. Les premiers consistent à
émuler un environnement donné et à
enregistrer les actions entreprises par le pirate dans
ce cadre précis. Peu de place est laissée
à l'improvisation puisque seuls les comportements
prédéfinis par l'entreprise pourront être
détectés. Les deuxièmes, plus complexes,
offrent la possibilité d'interagir avec le pirate.
Ce sont de vrais systèmes opérationnels
qui ne préjugent pas de la manière avec
laquelle l'attaquant va agir, offrant de ce fait un terrain
de "jeu" sans barrière à l'intrus
et par là même une analyse plus globale.
Les pots de miel peuvent également
être déployés sous forme de vrais-faux
serveurs open-relay, ces serveurs de messagerie
utilisés frauduleusement par les spammeurs pour
envoyer leurs courriels (lire notre
article sur le sujet). L'idée est de collecter,
grâce à ces appâts, des données
sur les auteurs du spam. Mais le risque est d'être
soi-même fiché dans les listes noires de
certains organismes ce qui, au final, invalide la démarche
puisque tout courriel envoyé depuis ce type de
serveurs est banni.