Qu'est-ce-qu'un Honeypot en Cybersécurité ?

mai 19, 2022

Qu’est-ce qu’un honeypot ?

Un honeypot (littéralement, pot de miel) est un mécanisme de cybersécurité qui utilise une cible d’attaque fabriquée de toutes pièces pour éloigner les cybercriminels de cibles légitimes et qui recueille également des renseignements sur l’identité, les méthodes et les motivations des cyberadversaires.

Un honeypot peut être calqué sur une ressource numérique, comme une application logicielle, un serveur ou le réseau lui-même. Il est conçu délibérément et intentionnellement pour ressembler à une cible légitime en termes de structure, de composants et de contenu. L’objectif est de convaincre le cyberadversaire qu’il a obtenu un accès au véritable système et de l’encourager à passer du temps dans cet environnement contrôlé.

Le honeypot sert de leurre pour détourner les cybercriminels de véritables cibles, mais également d’outil de reconnaissance pour évaluer les techniques, les capacités et le degré de sophistication des cyberadversaires sur la base de leurs tentatives d’intrusion.

Les renseignements ainsi recueillis aident les entreprises à adapter et à renforcer leur stratégie de cybersécurité en réponse aux menaces réelles, ainsi qu’à identifier les éventuels angles morts au sein de l’architecture existante.

Comment un honeypot peut-il identifier une cyberattaque ?

Un honeypot est un piège conçu par l’équipe de sécurité informatique pour inciter les cybercriminels à lancer des cyberattaques. La stratégie consiste à attirer les cyberadversaires et à surveiller le trafic entrant dans le système honeypot pour identifier les tentatives d’intrusion et collecter des informations sur le modus operandi de divers cybercriminels.

Grâce à cette surveillance, l’équipe de sécurité des informations peut déterminer :

  • L’origine d’une cyberattaque
  • Le degré de sophistication du cyberattaquant
  • Les techniques fréquemment utilisées par les cyberadversaires
  • Les cibles les plus attractives au sein du réseau
  • L’efficacité des mesures de cybersécurité existantes à l’heure de prévenir de telles attaques

Le honeypot permet ainsi aux entreprises de décompiler leurs règles et procédures de sécurité afin de se protéger activement contre les menaces connues et des techniques cybercriminelles spécifiques.

2023 CrowdStrike Global Threat Report

Téléchargez le Global Threat Report 2023 pour découvrir les tendances observées par nos équipes chez les cyberpirates en matière de techniques, tactiques et procédures.

Télécharger

Qu’est-ce qu’un honeynet ?

Un honeynet est un réseau de honeypots conçu pour imiter un véritable réseau constitué de plusieurs systèmes, bases de données, serveurs, routeurs et autres ressources numériques. Comme le honeynet, ou le système honeypot, imite la propension à l’expansion d’un véritable réseau, il peut retenir des cybercriminels pendant de longues périodes.

En fonction de la taille du honeynet, il est également possible de manipuler l’environnement afin d’attirer les cyberadversaires plus profondément dans le système et de recueillir ainsi davantage de renseignements sur leurs capacités ou leurs identités.

Différents types de honeypots

Il existe différents systèmes de classification des honeypots. La plus simple consiste à les classer par finalité, en honeypot de production ou honeypot de recherche.

Honeypot de production

Ce type de honeypot, qui est le plus courant, est utilisé par les entreprises pour collecter des informations et des renseignements sur les cyberattaques au sein du réseau de production, notamment les adresses IP, l’heure et la date des tentatives d’intrusion et le volume de trafic.

Les honeypots de production sont relativement simples à concevoir et à déployer, mais étant moins sophistiqués que les honeypots de recherche, ils fournissent moins de renseignements. Ils sont généralement utilisés par des entreprises, des sociétés privées et même des personnalités (célébrités, personnages politiques, chefs d’entreprises, etc.).

Honeypot de recherche

Un honeypot de recherche est conçu pour collecter des informations sur les méthodes et techniques utilisées par les cyberadversaires et sur les éventuelles vulnérabilités présentes dans le système qui sont exploitées par ces tactiques.
Généralement plus complexes que les honeypots de production, les honeypot de recherche sont souvent utilisés par des entités gouvernementales, la communauté de cyberveille et des organismes de recherche pour mieux évaluer les risques de sécurité.

Honeypots par attribut

Il est également possible de classer les honeypots par attribut, c’est-à-dire en fonction de leur niveau d’interaction.

Honeypot à faible interaction<?h4>

Comme son nom l’indique, un honeypot à faible interaction utilise relativement peu de ressources et collecte des informations de base sur le cyberattaquant. Ce type de honeypot est relativement simple à configurer et à gérer.

En revanche, comme les honeypots à faible interaction ne sont pas très sophistiqués, ils risquent de ne pas retenir très longtemps l’attention d’un cyberattaquant. Peu efficaces, ils ne fourniront que des renseignements limités sur le cyberadversaire. Compte tenu de la sophistication croissante de nombreux cyberadversaires, ces leurres de base ont de fortes chances d’être repérés et évités par les cybercriminels, voire exploités à des fins de désinformation.

La plupart des honeypots de production sont à faible interaction.

Honeypot à forte interaction

Un honeypot à forte interaction est conçu pour attirer les cybercriminels sur de longues périodes grâce à un réseau de cibles exploratoires, telles que plusieurs bases de données. L’équipe de cybersécurité peut ainsi mieux déterminer le mode de fonctionnement, les techniques et même l’identité de ces cyberadversaires. Ce type de honeypot consomme davantage de ressources, mais produit également des informations de meilleure qualité et plus pertinentes, que les entreprises peuvent utiliser pour adapter leurs protocoles de sécurité existants.

Cela dit, les honeypots à forte interaction comportent également certains risques et nécessitent de ce fait une surveillance et un confinement appropriés. Un « honeywall », sorte de pare-leurre périmétrique érigé autour du honeypot, doit être sécurisé de manière appropriée et offrir un point d’entrée et de sortie unique. L’équipe de sécurité pourra ainsi surveiller et gérer l’ensemble du trafic et empêcher tout déplacement latéral entre le « honeypot » et le véritable système.

La plupart des honeypots de recherche sont à forte interaction.

Technologie de leurre

Les honeypots peuvent également être classés en fonction d’un sous-segment appelé technologie de leurre. Cette technique de sécurité applique une forme d’automatisation intelligente — notamment l’intelligence artificielle, le Machine Learning et autres technologies avancées axées sur les données — au honeypot afin d’automatiser la collecte et l’analyse des données. La technologie de leurre aide l’entreprise à traiter les informations plus rapidement et à redoubler d’efforts face à un environnement de leurre plus complexe.

Autres classifications des honeypots

Les honeypots peuvent également être classés en fonction du type d’activité qu’ils détectent.

Piège à e-mails ou à spam

Ce type de piège implante une adresse e-mail fictive dans un champ masqué qui peut uniquement être détecté par un moissonneur d’adresses (address harvester) ou un robot d’indexation (site crawler) automatisé. Comme les utilisateurs légitimes ne peuvent pas voir l’adresse, l’entreprise peut classer tous les messages remis en boîte de réception en tant que spam. Elle peut ensuite bloquer cet expéditeur et son adresse IP, ainsi que tout message correspondant à son contenu.

Base de données leurre

Une base de données leurre est un ensemble de données fictives rendues intentionnellement vulnérables dans le but d’aider les entreprises à surveiller les vulnérabilités logicielles, les failles de l’architecture ou encore les utilisateurs internes malveillants. Elle collecte des informations sur les techniques d’injection, le piratage d’identifiants ou l’exploitation de privilèges utilisés par un cyberattaquant, puis les intègre dans les défenses du système et les règles de sécurité.

Honeypot pour logiciels malveillants

Ce honeypot imite une application logicielle ou une API (Application Programming Interface) afin d’attirer les attaques de logiciels malveillants dans un environnement contrôlé dépourvu de risque. L’équipe de sécurité des informations peut alors analyser les techniques d’attaque et développer ou améliorer des solutions antimalware pour corriger ces vulnérabilités et neutraliser les menaces ou les cyberattaquants.

Spider honeypot

À l’instar d’un piège à spam, un spider honeypot, ou honeypot à araignées, est conçu pour piéger les robots d’indexation, parfois appelés araignées (spiders), en créant des pages web et des liens accessibles uniquement par des robots d’indexation automatisés. L’identification de ces araignées permet aux entreprises de comprendre comment bloquer les robots malveillants, ainsi que les robots d’indexation de réseau publicitaire.

Un honeypot doit avant tout être conçu pour ressembler au réseau cible que l’entreprise tente de défendre.

Il peut par exemple être conçu pour ressembler à une passerelle de paiement, une cible très appréciée des cyberpirates en raison des gros volumes d’informations personnelles et de données transactionnelles qu’elle héberge (numéros de carte de crédit codés et coordonnées bancaires, notamment). Le honeypot ou le honeynet peuvent également prendre l’apparence d’une base de données afin de tromper les cybercriminels intéressés par la collecte d’éléments de propriété intellectuelle, de secrets commerciaux et autres informations sensibles de valeur. Le honeypot peut même sembler contenir des informations ou photos potentiellement compromettantes afin de piéger les cyberadversaires dont l’objectif est de porter atteinte à la réputation d’une personne ou de lancer des attaques de ransomwares.

Une fois le cybercriminel à l’intérieur du réseau, il est possible de suivre ses déplacements pour mieux comprendre ses méthodes et ses motivations. Ces renseignements permettront à l’entreprise d’adapter ses protocoles de sécurité existants afin de déjouer des attaques similaires ultérieures contre des cibles légitimes.

Pour rendre les honeypots plus attrayants, il est possible d’y introduire des vulnérabilités de sécurité délibérées, mais pas nécessairement évidentes. Compte tenu du niveau de perfectionnement de nombreux cyberadversaires, les entreprises doivent faire preuve de stratégie en ce qui concerne la facilité d’accès à un honeypot. Un réseau insuffisamment protégé aura peu de chance de tromper un cyberadversaire évolué et pourrait même l’inciter à fournir de fausses informations ou à manipuler l’environnement afin de réduire l’efficacité de l’outil.

Avantages de l’utilisation d’un honeypot en cybersécurité

Les honeypots constituent un élément important d’une stratégie de cybersécurité globale. Ils ont essentiellement pour but d’exposer les vulnérabilités du système existant et de détourner les cyberpirates de cibles légitimes. Ils permettent à l’entreprise de recueillir des renseignements utiles sur les cyberattaquants à l’intérieur du honeypot et de prioriser et concentrer ses efforts en matière de cybersécurité sur les techniques utilisées ou les ressources les plus souvent ciblées.

Un honeypot présente d’autres avantages :

  • Facilité d’analyse. Le trafic à l’intérieur du honeypot est limité à l’activité des cybercriminels. L’équipe de sécurité des informations n’a donc pas besoin de séparer le trafic web légitime de celui des cyberadversaires. Toute l’activité dans le honeypot peut être considérée comme malveillante. L’équipe de cybersécurité peut ainsi passer plus de temps à analyser le comportement des cybercriminels, au lieu de les isoler des utilisateurs légitimes.
  • Évolution continue. Une fois déployés, les honeypots permettent d’infléchir une cyberattaque et de collecter des informations en continu. L’équipe de cybersécurité peut ainsi enregistrer les types d’attaques en cours et leur évolution au fil du temps. Ces renseignements peuvent ensuite être utilisés pour adapter les protocoles de sécurité à la réalité du paysage des menaces.
  • Identification des menaces internes. Les honeypots permettent d’identifier les menaces internes et externes. La plupart des techniques de cybersécurité se limitent aux risques provenant de l’extérieur de l’entreprise. Les honeypots, par contre, peuvent également piéger les utilisateurs internes malveillants qui tentent d’accéder aux données, aux éléments de propriété intellectuelle et autres informations sensibles de l’entreprise.

Risques liés aux honeypots

Il est important de garder à l’esprit que les honeypots ne sont qu’un composant parmi d’autres d’une stratégie de cybersécurité complète. Déployés de façon isolée, ils ne peuvent pas protéger l’entreprise contre un large éventail de menaces et de risques.

Si une entreprise peut utiliser un honeypot pour détourner l’attention de cyberadversaires, ceux-ci peuvent faire de même. Par exemple, si un cyberattaquant identifie le honeypot, il pourra multiplier les tentatives d’intrusion pour détourner l’attention et mener de véritables attaques à l’encontre du système légitime. Il peut également fournir délibérément de fausses informations au honeypot afin de préserver son anonymat et d’embrouiller les algorithmes et les modèles de Machine Learning utilisés pour analyser l’activité. C’est pourquoi il est essentiel que les entreprises déploient un ensemble d’outils de surveillance, de détection et de neutralisation, ainsi que des mesures préventives pour se protéger.

Il convient également de veiller à configurer correctement l’environnement du honeypot, sans quoi les cyberadversaires avancés risquent de trouver un moyen de se déplacer latéralement depuis le honeypot vers d’autres parties du réseau. Lors de la conception du honeypot, il est également essentiel de limiter les points d’entrée et de sortie du trafic au moyen d’un honeywall. Pour ce faire, les entreprises doivent utiliser des techniques de prévention, comme des pare-feux et des outils de surveillance cloud, pour détourner les attaques et identifier rapidement les intrusions potentielles.