Les forces cyber utilisent des pots de miel pour scruter et piéger les cybercriminels : comment ça marche ?

La scale-up française Tehtris annonce avoir déployé une nouvelle génération de honeypots (pots de miel), des leurres informatiques qui permettent de tromper les hackers.

Les cybercriminels sont parfois très imaginatifs pour faire des victimes, mais tel l'arroseur arrosé, il leur arrive aussi de se faire piéger. Et les entreprises de lutte contre le cyberespionnage et le cybersabotage se dotent peu à peu d'outils toujours plus performants. C'est le cas de l'entreprise française Tethris, qui a annoncé le déploiement d'un réseau mondial de honeypots nomades (AMTD), ces pièges qui visent à attirer les activités malveillantes du web pour les identifier et les neutraliser.

Des leurres qui étaient jusque-là très vite repérés par les pirates

Vous l'aurez compris, ces pots de miel ou leurres informatiques peuvent être très efficaces. Historiquement, il peut s'agir d'un faux ordinateur inséré dans un réseau, qui contient des données sensibles également fictives et qui peuvent tout à fait recevoir certaines attaques. Ces leurres permettent alors aux acteurs du renseignement sur les menaces (que l'on appelle la Threat Intelligence) d'être tenus informés de la progression, au propre comme au figuré, des attaques informatiques.

Tehtris, de son côté, vient de déployer un gigantesque réseau de 1 300 honeypots nomades de nouvelle génération, que l'entreprise a pu répartir dans une cinquantaine de pays, de façon à cartographier, en temps réel, le paysage de la cybermenace.

Jusqu'à présent, les pots de miel, qui existent depuis des années, n'œuvraient que sous une forme statique, qui leur faisait perdre de la valeur assez rapidement. Les hackers et certains groupes cybercriminels ont pris l'habitude de partager leurs informations sur ces leurres, ce qui limite vite leur efficacité, une fois repérés.

Le pot de miel nomade, et si c'était lui, la réponse aux cybercriminels ?

Les honeypots de nouvelle génération, utilisés pour traquer les activités frauduleuses, deviennent ainsi nomades, en ce que leurs adresses IP sont désactivées à un certain moment, puis reprogrammées à un autre endroit du réseau, ce qui brouille les pistes et place les pirates dans le flou. Ces leurres ont alors une plus grande durée de vie, ce qui leur permet de capturer plus d'informations que par le passé, pour détecter encore plus rapidement certaines campagnes cybercriminelles.

Et la technologie va prendre de l'ampleur. Gartner la voit comme une innovation qui va profondément améliorer les techniques de défense cyber, à tel point qu'on imagine que 25 % des applications cloud dans le monde devraient, d'ici 2025, exploiter des fonctionnalités dites d'Automated Moving Target Defense, un concept émergent dont le honeypot est l'un des premiers cas d'application.

Cette technologie, plus proactive que passive, est aujourd'hui étudiée de près par les acteurs de la protection informatique. « Face à des cybercriminels plus organisés et motivés que jamais, il est crucial d’agir collectivement pour mettre en œuvre une défense adaptée et efficace. En déployant une nouvelle génération de honeypots, Tehtris fait bénéficier la communauté d’une intelligence cyber avancée et confirme sa place de pionnier en matière de détection de cybermenaces », explique le cofondateur et directeur technique de la scale-up, Laurent Oudot. La firme française édite déjà un bulletin météo de la cyber, sur lequel on retrouve les tendances des activités cybercriminelles détectées et analysées à l'aide de son réseau de leurres nomades. Le bulletin est ensuite partagé à l'ANSSI et à la Cyber Threat Alliance, pour une meilleure diffusion des informations.