"Honeypots" : comment les hackers "éthiques" attirent les utilisateurs malveillants ?

07 avril 2022 à 15h45
7
Cybersécurité
© Song_about_summer / Shutterstock

Concept mis au point par des experts en sécurité informatique, les honeypots sont des pièges à pirates sur le Web qui remontent à plus d'une dizaine d'années. Il s'agit d'une méthode de défense active qui consiste à attirer toute forme malveillante d'activité pour l'identifier et la neutraliser. Utilisée par les pirates que l'on pourrait qualifier d'éthiques, cette méthode a fait ses preuves depuis de nombreuses années et s'est depuis étendue à d'autres domaines, comme l'ingénierie sociale ou le renseignement humain. Alors, concrètement, qu'est ce que c'est, et pourquoi est-ce toujours aussi efficace en 2022 ?

Pour s’en prendre aux hackers malveillants déployant des malwares, les méthodes sont finalement assez nombreuses. Mais parmi les plus connues (malgré le flou populaire qui les entoure), on parle souvent des honeypots, ces « pots de miel » utilisés pour attirer des pirates qui ont soif d’attaques informatiques. Finalement, qu’est ce qu’un honeypot ? S’agit-il d’une méthode réellement efficace pour contrer les potentielles attaques ? Peut-on, en tant que particulier, utiliser un honeypot ?

Qu’est ce qu’un honeypot ?

L’idée derrière le honeypot est simple : comme un ours, inévitablement attiré par l’odeur du miel (d’où la traduction littérale de l’anglais du terme « pot de miel »), le hacker sera tenté d’effectuer des actions malveillantes sur un serveur mal sécurisé dans le but de déployer des malwares. Le but est donc d’attirer sur des ressources (serveurs, services, programmes…) des personnes malintentionnées dans le but de les identifier et de les stopper dans leur démarche. 

Le concept, mis au point par des experts en solutions de sécurité informatique, a déjà plusieurs décennies de pratique derrière lui pour corroborer son efficacité. Le principe ingénieux de ne pas empêcher les pirates d’entrer dans un système d'exploitation, mais en réalité de les piéger lorsqu’ils s’y rendent a prouvé sa force au fil des années. Il s’agit aujourd’hui de l’une des méthodes d’antipiratage les plus craintes par les hackers.

Concrètement, le honeypot, comment ça marche ?

cybersécurité
© Thapana Onphalai / Shutterstock

Intégrer un honeypot requiert un choix initial, car deux types sont disponibles pour tenter de piéger un pirate. Il est possible de passer par un honeypot physique, à savoir un ordinateur autonome connecté à un réseau avec sa propre adresse, ou par un service de honeypot virtuel. Ce dernier correspond à un système logique qui reçoit des ressources d’un ordinateur physique grâce à un logiciel de virtualisation. Il est important de préciser qu’un honeypot n’est que très rarement employé seul. En réalité, il doit être utilisé en complément d’autres composants de sécurité informatique, comme l’IDS (système de détection d’intrusion) et les pare-feu.

Il existe par ailleurs une classification en deux types de honeypots :

  • Le honeypot à faible interaction est fondé sur l’imitation de systèmes réels par l’intermédiaire d’un script. Il s’agit de la méthode la plus simple et la plus sécurisée pour piéger les attaquants. Le but est donc de recueillir un maximum d’informations, le tout pour un minimum de risques.

  • Le honeypot à forte interaction est quant à lui beaucoup plus risqué pour l’utilisateur. Il repose en effet sur le principe de l’accès potentiel du hacker à de véritables services sur une machine du réseau qui sera plus ou moins sécurisée. Ainsi, ce type de honeypot est généralement un système réel qui permet potentiellement au hacker d'y entrer s’il n’est pas suffisamment protégé. Cette méthode est donc bien plus risquée, mais peut aussi apporter beaucoup plus d’informations en cas de succès.

Seul, un honeypot n’assume aucune fonction. S’il n’est pas attaqué, il s’agit donc en réalité d’un réseau fantôme. Ainsi, chaque activité sur le système peut être immédiatement considérée comme suspecte et comme une attaque potentielle. Il est possible de détecter l’ensemble des données enregistrées par le pot de miel, puis de les conserver pour analyse et de les utiliser a posteriori pour identifier les attaques et les attaquants. 

Malgré tout, les informations et les données obtenues via le honeypot ne sont pas toujours exploitables dans leur intégralité, car il est tout à fait possible que l’appât soit trop visible aux yeux des pirates. Ces derniers décideront donc de n’effectuer aucune attaque à l’encontre du honeypot. Une configuration trop simpliste des honeypots pourra par exemple laisser entrer des malwares comme des script-kiddies (pirates débutants) ou des logiciels automatiques qui n’apportent pas de réelles informations. Et, à l’inverse, une configuration trop compliquée pourra faire peur aux pirates les plus chevronnés.

Pour faire clair, l’utilisation des honeypots requiert de grandes connaissances à propos du Web et de l'informatique pour à la fois analyser les attaques, mais aussi configurer et gérer les potentiels problèmes techniques et légaux de la méthode.

Pour aller encore plus loin : le cas des réseaux de miel

Plutôt que de passer par un seul pot de miel, il est également possible de créer tout un réseau de pots de miel. Nommée « honeynet », cette méthode permet de rendre le piège plus discret et moins simple à identifier pour l’attaquant.

Le réseau de miel est un ensemble de honeypots dont le but est de récupérer des informations sur les diverses menaces. Ces mêmes informations servent ensuite d’apprentissage dans le milieu académique, peuvent faire l’objet de recherche ou peuvent être utilisées par des entreprises de cybersécurité afin de créer des antivirus efficaces.

Bitdefender Total Security 2022
  • Excellent rapport fonctionnalités/prix de l'abonnement
  • Efficacité sans faille du service
  • Impact léger sur les performances

Bitdefender Total Security 2022 continue sur la lancée des versions précédentes avec une efficacité toujours à toute épreuve. Pour détecter et bloquer tout type de menace provenant d'Internet, la suite fait un sans fautes. Aucun faux positif n'est à signaler, et elle n'a pas d'impact significatif sur les performances de Windows. Le logiciel protège votre ordinateur sans faille, donc. Par rapport aux versions précédentes, on regrette quelques choix d'interface qui penchent trop du côté du grand public, même si l'on salue toujours l'effort didactique de l'éditeur. Il s'agit sans aucun doute de l'une des meilleures suites de sécurité pour Windows pour protéger vos fichiers, à un prix attractif pour l'achat de l'abonnement.

Bitdefender Total Security 2022 continue sur la lancée des versions précédentes avec une efficacité toujours à toute épreuve. Pour détecter et bloquer tout type de menace provenant d'Internet, la suite fait un sans fautes. Aucun faux positif n'est à signaler, et elle n'a pas d'impact significatif sur les performances de Windows. Le logiciel protège votre ordinateur sans faille, donc. Par rapport aux versions précédentes, on regrette quelques choix d'interface qui penchent trop du côté du grand public, même si l'on salue toujours l'effort didactique de l'éditeur. Il s'agit sans aucun doute de l'une des meilleures suites de sécurité pour Windows pour protéger vos fichiers, à un prix attractif pour l'achat de l'abonnement.

Honeypots : un flou légal problématique ?

La raison principale qui fait que cette technique est encore relativement confidentielle réside dans les potentiels problèmes juridiques qu'elle dissimule. En effet, selon l’article 23 de la loi du 29 juillet 1881 sur la liberté de la presse : « Seront punis comme complices d’une action qualifiée crime ou délit ceux qui, soit par des discours, soit par tout moyen de communication au public par voie électronique, auront directement provoqué l’auteur ou les auteurs à commettre ladite action, si la provocation a été suivie d’effet. »

Autrement dit, le fait de provoquer une action de piratage rend la personne responsable de la provocation complice de l’acte en lui-même. Par ailleurs, le honeypot récupère des données à caractère personnel dont le traitement doit au préalable être déclaré à la CNIL.

Par le passé, plusieurs cybercriminels ont pu échapper à des situations juridiques compliquées à cause de ce simple point. Par exemple, un utilisateur français incriminé pour fraude à la carte bancaire sur Internet a obtenu une annulation de la procédure au motif que les éléments de preuve à son encontre ont été obtenus en violation du principe de loyauté.

Pour faire clair, l’utilisation de honeypots n’est pas recommandée (hormis pour les cadres légaux idoines dans certains pays), car les risques judiciaires liés à leur utilisation sont réels. Le recours aux honeypots est donc encore dans un certain flou légal, ce qui rend leur utilisation sporadique dans l'ensemble.

cybersécurité faille vulnérabilité © madartzgraphics / Pixabay
© Pixabay

En tant que particulier, puis-je utiliser un honeypot ?

Comme mentionné plus tôt, le honeypot peut entraîner de véritables problèmes sur le plan juridique. En employer un, c’est donc prendre le statut de justicier solitaire qui ne suit pas la loi et risquer des actions juridiques. Mais ce n’est pas tout : l’emploi de honeypots peut également être un risque direct pour sa propre sécurité, ou du moins celle de son serveur ou de sa machine.

S'il n'est pas assez protégé, un honeypot à forte interaction pourra par exemple servir de porte d'entrée au hacker pour lancer toute une série d'attaques sur d'autres réseaux liés. Autrement dit, il est fortement recommandé d'éviter d'utiliser cette méthode, qui requiert de véritables connaissances en informatique.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
7
5
pecore
En effet, chez nous on a pas le droit de piéger les malfaiteurs et les délinquants en les incitant à commettre un crime ou un délit. Pourtant il me semble qu’il existe au moins une exception avec les prédateurs sexuels sur internet alors pourquoi ne pas le généraliser, au moins pour les délits en ligne ?
mcbenny
C’est quoi l’intérêt pour un particulier de mettre en place un « honey pot »?<br /> Je veux dire, un particulier veut protéger son système, rarement plus d’une poignée de machines. Il va installer un pare-feu, des anti-virus, faire des sauvegardes sur supports physiques externes et il est bon, non?<br /> Le honey pot c’est pour analyser des attaques potentielles et améliorer la sécurité d’un système grâce à des exemples sans risque. Ça s’adresse à des « groupes » (entreprises, entités gouvernementales, etc.) avec de très nombreuses machines et utilisateurs, pas à un particulier ou une famille…<br /> Il faut être très qualifié dans la sécurité pour utiliser les données récoltées par un honey pot, c’est une activité professionnelle.
Baxter_X
Sinon il y a le terme français de « pot de miel » au lieu de cet immonde anglissisme.<br /> J’en ai mis un en place chez moi il y a 6 mois l’histoire de voir. Ça reste modeste, une distribution Linux avec des services connus qui tournent et un fail2ban pour surveiller et bloquer les comportements douteux
WhyPok
Le pot de miel est un appât, il peut engager la sécurité de l’équipement. Il permet de dinstinguer les utilisateurs trop curieux communicants avec un ordinateur.
Baxter_X
Mais il engage la sécurité de l’équipement ! Simplement il n’y a rien sur cet équipement qui puisse être intéressant ni exploitable.
WhyPok
Tu parle d’un épouvantail vers lequel on dirige des efforts, je parle d’une impasse dans laquelle on s’introduit par inadvertance.
Baxter_X
Précise un peu ton propos car c’est très confus. Mon pot de miel n’est en rien un épouvantail. Mais bien une machine virtuelle conçue pour attirer tous les tentatives de piratage.
Voir tous les messages sur le forum

Lectures liées

Découvrez Proton, la toute nouvelle identité visuelle de ProtonMail
Opera VPN Pro est désormais disponible sur Windows et macOS
Zoom sur Fronton, le botnet russe qui multiplie les fake news sur les réseaux
YouTube retire 70 000 vidéos de désinformation pour contrecarrer la propagande russe sur la guerre en Ukraine
Face au malware XorDdos, Microsoft recommande son navigateur Edge aux utilisateurs de Linux
Ce bug dans PayPal permet à un hacker de manipuler les transactions
Attention, ce malware se cache dans un ficher Word vérolé, lui-même caché dans un PDF
Les Anonymous déclarent la cyberguerre à Killnet, un groupe de hackers pro-russes
Offrez-vous le meilleur VPN pour gagner en cybersécurité à prix cassé
Méfiez-vous de cette arnaque : un faux site DHL peut récupérer vos identifiants bancaires
Haut de page