Les honeypot ou pot de miel en français, encore à la mode il y a quelques années, commencent à tomber en désuétude, tout du moins sous leur forme classique. Pour rappel, ces systèmes qui ont vu le jour dans le milieu des années 2000 face à la recrudescence des attaques dites de « cyber-terrorisme » ont pour objectif d’observer le comportement des pirates afin de mieux comprendre et donc appréhender les techniques utilisées pour leurs attaques et même d’identifier les pirates eux-mêmes. Ils consistent à placer au sein même d’un système d’information des services volontairement faillibles, plus ou moins sécurisés en fonction des informations recherchées, et surtout d’analyser les différents flux générés. Le principe de base d’un honeypot est que tous les flux qui y transitent doivent être considérés comme malicieux et peuvent donc apporter des informations intéressantes. Un honeypot nécessite de fait une attention particulière si on veut en tirer un réel profit.

Est-ce que la perte de vitesse de ces solutions n’est pas justement due à ce facteur? Doit-on aujourd’hui exploiter ce genre de solutions quand des acteurs majeurs de la sécurité proposent de tenir à jour des bases d’informations complètes, des vulnérabilités exploitables et des listes noires d’adresses IP ? Le constat est assez simple, les honeypot doivent se développer pour pouvoir continuer à exister dans le monde de la sécurité informatique et ne pas limiter leurs cibles aux acteurs à l’origine de ces fameuses bases.

Vers les honeypot « Next-Gen »

C’est dans ce contexte que certains éditeurs tentent d’aborder le sujet d’une façon différente et assez novatrice. L’objectif de ces honeypot « Next-Gen » n’est plus d’apprendre à connaître les façons qu’utilise le hacker pour corrompre un système, mais de lui faciliter le travail pour pouvoir l’identifier plus facilement et remonter son identité à l’ensemble du système d’information. En surfant sur la vague de la « webisation » des applications métiers, ils s’orientent principalement dans cet axe en se basant sur le protocole http. Une fois un hacker repéré, son adresse IP peut directement être remontée aux équipements de sécurité de type pare-feu, relai de messagerie ou encore proxy web.

Les méthodes utilisées sont assez simples : en intégrant la solution de la même manière qu’un firewall applicatif, devant un serveur web, ces honeypots vont pouvoir analyser tant les requêtes que les réponses http. En ajoutant aux réponses valides certaines informations maîtrisées par le système, il devient facile pour eux d’identifier la réaction de l’utilisateur. Par exemple, en ajoutant un paramètre dans l’URL, ces nouvelles solutions vont pouvoir vérifier l’intégrité de ce paramètre dans les requêtes suivantes de ce même utilisateur. Encore plus fort, si un hacker tente d’accéder à un fichier interdit comme le .htaccess, ces solutions lui en fournissent un factice et surveillent l’utilisation des données envoyées. Si un utilisateur cumule plusieurs comportements suspicieux, il peut être considéré comme un pirate et donc ses informations remontées aux systèmes.

Ce mode de fonctionnement beaucoup plus actif que les précédentes solutions permet une exploitation plus accessible et surtout apporte un réel intérêt pour les entreprises. Ainsi la cible cliente peut être déplacée vers n’importe quelle société cherchant à protéger les données de son entreprise des hackers.

D’autre part, contrairement aux anciennes solutions, celles-ci doivent traiter autant le trafic légitime que le trafic malicieux. Elles se doivent donc d’être beaucoup plus robustes en termes de gestion du trafic et de disponibilité. Nous entrons donc dans une gamme supérieure de produit qui viendra faire partie intégrante des architectures de sécurité, comme c’est le cas d’un WAF, d’un pare-feu ou d’un IPS.

Des solutions communautaires

Le partage des informations récoltées est l’un des principes de base des pots de miel. Dans la période où les solutions SaaS et le Cloud deviennent des éléments incontournables, même en ce qui concerne la sécurité, on peut imaginer que ces honeypots n’échappent pas à la règle et partagent leurs expériences dans le Cloud en faisant ainsi profiter toute une communauté. Nous connaissons tous aujourd’hui ce type de base de données qui répertorient des listes noires d’IP considérées comme dangereuses. Mais qu’en serait-il si cette base pouvait être alimentée en temps réel avant même qu’une attaque réelle soit tentée ?

 

__________________

Johan Bourgeois est ingénieur Sécurité Réseaux de Nomios