Techn'o'Matic

À faible interaction : C'est le type de systèmes pot de miel le plus simple, il permet de capturer des informations sans donner au pirate des droits plus élevés qu’un simple utilisateur. Les hackers n'ont donc pas directement accès au système d'exploitation.
Ils sont basés sur l'imitation de systèmes réels ou d'applications via l'utilisation de scripts.

À forte interaction : Il y a plusieurs types de honeypots à forte interaction en voici quelque uns :

- Les honeynets : C’est un service volontairement vulnérable qui est sur un réseau et qui doit être impérativement correctement cloisonné du reste du réseau. Dans ce cas, les personnes malveillantes peuvent avoir une interaction directe avec le système d'exploitation de la machine. S'il n'est pas suffisamment protégé, les pirates pourraient infiltrer le système de l'entreprise ou lancer une attaque contre les autres serveurs du réseau. Ils reposent majoritairement sur le contrôle et la capture de données.

- Les honeynets virtuels : Ce type de système va simuler un ensemble de pots de miel sur une seule et même machine. Celle-ci a alors plusieurs rôles (comme par exemple : IDS Un système de détection d'intrusion est un système ou une application qui analyse un réseau ou un système à la recherche d'activités malicieuses (accès non autorisés, violation de règles, activités suspectes, ...) (= Intrusion Detection System ou système de détection d'intrusion), serveur de log distant, ...).

Dans les deux cas, ils peuvent s'exécuter du côté serveur ou du côté client. Dans le premier cas, ils simulent alors différents services qui pourraient être disponibles sur un serveur réel (par exemple : un serveur web). Ils vont capturer le trafic pour détecter d'éventuelles actions inhabituelles mais sans être capables de détecter des attaques du côté client. Dans le cas des honeypots côté client, le serveur n'est pas directement exposé, il simule et gère des logiciels côté client et recherche des serveurs malveillants qui pourraient les attaquer.

Comme vous pouvez le devinez, ce type de système peut représenter un certain avantage pour les entreprises car ils permettent d'enregistrer des informations essentielles sur les méthodes d'attaque et d'intrusion.
Comparé à d'autres systèmes de protection comme des pares-feux, son coût en matériel et en ressource est assez limité. C'est pourquoi, les entreprises l'utilisent en complément d'autres solutions de sécurité. En effet, il est assez facile d'en mettre en œuvre (le problème repose plus sur le fait de trouver un compromis entre sécurité et attractivité pour qu'il soit le plus rentable possible) et d'analyser le trafic enregistré pour détecter toutes activités suspectes au sein d'un réseau d'entreprise notamment.

Problèmes liés à sa mise en œuvre :

Un honeypot doit être très ressemblant à un service ou à un système qui se situe au sein de l’entreprise pour que le pirate ne se rende pas compte qu’il est sur un tel système. De plus, il doit être situé proche des serveurs de production de l'entreprise pour qu’il soit attractif pour le pirate, sans pour autant compromettre les systèmes de l'entreprise.

Problèmes liés au cadre juridique :

Il y a également un problème au niveau de la loi. En effet, les honeypots pourraient être vus comme une incitation aux crimes et aux délits tel qu'il est défini à l'article 23 de la loi du 29 juillet 1881. Cependant, la loi fait référence à une éventuelle publicité qui serait faite. Dans le cas des pots de miel, les hackers n'ont pas besoin de publicité pour trouver les systèmes vulnérables (sauf si les administrateurs défiaient des pirates via un quelconque canal par exemple). Mais est-ce que le fait de laisser la porte de chez soi ouverte permettrait à un voleur de s'y introduire légalement ? La réponse de la Commission Européenne est, en gros et en résumé, non.

Un autre problème pourrait venir des assurances car le fait de laisser un système vulnérable à différentes attaques peut éventuellement causer une intrusion non désirée sur un système légitime de l'entreprise (via une attaque par rebond qui permettrait à un pirate de se cacher derrière le honeypot pour accéder aux services internes de l'entreprise par exemple). D'où l'intérêt de cloisonner correctement ce type de logiciel.

Un honeypot est un système qui a pour but de récupérer des données (provenance de l'attaque, durée, différentes interactions avec le système, etc...). Cependant, certaines de ces données pourraient être considérées comme des données à caractère personnel et devraient donc être traitées comme telles. La CNIL (Commission nationale de l'informatique et des libertés) répond à ce problème en spécifiant que ce type de données (notamment les informations sur les connexions (login, mot de passe utilisés ou encore une adresse IP)) "n’ont pas, en tant que tels, à faire l’objet des formalités préalables auprès de la CNIL" sauf si celles-ci sont vouées à être traitées automatiquement et si les informations vont être traitées par un logiciel dans le but de récupérer des informations individuelles. Dans tous les cas, il vaut mieux demander conseil à la CNIL directement en fonction du contexte car cela reste bien plus compliqué que ce qui est énoncé ici.

En résumé, le "contexte légal" des systèmes pots de miel est assez compliqué. C'est pourquoi il est important d'identifier le(s) but(s) de celui-ci avant sa mise en place et de documenter un maximum ces derniers et l'ensemble du projet (de sa conception à son utilisation actuelle). L'Article 323-3-1 nous dit qu'il est interdit "de mettre à disposition" et de disposer d'un programme informatique ou données qui sont destinés à commettre une ou plusieurs infractions prévues par les articles 323-1 à 323-3 (l'accès frauduleux, l'entrave ou la falsification du fonctionnement ou l'introduction frauduleuse de données dans un système de traitement automatisé de données) sous peine de sanctions équivalentes à celles prévues pour l'infraction elle-même ou pour la plus sévèrement sévie. Mais, encore une fois, cet article n'est pas clair dans le cas des honeypots.

Il existe une série d'outils pour la mise en œuvre d'un honeypot :

UML (User Mode Linux) : Ce type de honeypot est une machine virtuelle tournant sous Linux. Cette machine virtuelle est alors exécutée avec les droits d'un utilisateur standard et non avec des privilèges élevés (comme root par exemple). Il est donc impossible pour un attaquant d'accéder au noyau de la machine.

ManTrap : ManTrap est un honeypot commercial qui permet la mise en œuvre d'honeypot de moyenne interaction à forte interaction. Il permet aux administrateurs de capturer et de contrôler les activités des pirates et permettent également une détection automatique des accès non autorisés.

Snort Inline : Snort Inline est un logiciel qui permet la détection et la prévention d'intrusions dans un réseau. Il joue en quelque sort le rôle d'un IDS Un système de détection d'intrusion est un système ou une application qui analyse un réseau ou un système à la recherche d'activités malicieuses
(accès non autorisés, violation de règles, activités suspectes, ...) (Intrusion Detection System)

KFSensor : Ce logiciel détecte des menaces inconnues et améliore la sécurité. Il permet de "monitorer" tous les trafics en attrayant et en détectant les hackers. Il fournit ensuite des alertes pour filtrer et examiner en détails le trafic. L'analyse de ces alertes permettra ensuite de comprendre comment le hacker a procédé pour s'introduire dans le système et permettra ensuite donc de se prémunir contre des techniques qui ne seraient pas encore connues de tous.

Et il y en a bien d’autres disponibles.

Voici une courte démonstration sur l'utilisation d'un honeypot. Dans cet exemple, nous "attaquons" la machine virtuelle vulnérable sur laquelle tourne un honeypot (scan intensif de certains ports). Au bout d'un certain temps, nous pouvons remarquer que le honeypot détecte une activité anormale sur certains ports. En analysant les alertes générées par le pot de miel, nous pouvons en extraire l'adresse IP du "pirate".

L'utilisation de honeypot est donc un certain avantage pour les entreprises qui voudraient se protéger contre tout type d'attaques grâce aux multiples données récoltées par ce genre de système (méthodes, logins, mots de passe, fichiers, ...).
Cependant, il faut prendre en compte les quelques inconvénients qu'ils amènent, c'est-à-dire les différents risques de sécurité possibles dus à un manque de sécurisation du système, un problème de rentabilité (trouver le juste milieu entre attractivité pour les pirates et sécurité pour éviter une éventuelle attaque par rebond ou une intrusion sur un système réel de l'entreprise) et pour finir, les problèmes liés aux nouvelles règles sur la protection des données personnelles (au niveau de la loi).

Quelques sources pour en savoir plus :

- Keyfocus.net : KFSensor : Advanced Windows Honeypot System

- Ionos.fr : Digital Guide : Qu’est-ce qu’un honeypot?

- Minilex : La provocation aux crimes et délits

- Document de BAREL Marie, juriste spécialiste TIC et Sécurité de l'information : HONEYPOT, UN « POT-POURRI »… JURIDIQUE