Vous avez peut-être entendu parler du terme « pot de miel » et vous vous êtes demandé ce qu’il voulait dire, et comment un pot de miel pourrait améliorer la sécurité de votre système informatique. Cet article explique tout ce que vous devez savoir sur les pots de miel et sur leur rôle dans la sécurité informatique.
La définition d’un pot de miel
La définition du pot de miel provient du domaine de l’espionnage. Il s’agit d’espions dans le style de Mata Hari, qui utilisent une relation amoureuse pour voler des secrets. Leur méthode consiste à utiliser un « piège à miel » ou un « pot de miel ». Souvent, un espion ennemi est compromis par un piège à miel et est ensuite soumis à du chantage pour qu’il fournisse toutes les informations qu’il connaît.
En matière de sécurité informatique, un pot de miel informatique fonctionne de manière semblable et consiste à créer un piège pour les pirates. Le but de l’ordinateur-appât est d’attirer des attaques informatiques. Il imite une cible pour les pirates informatiques et utilise leurs tentatives d’intrusion pour obtenir des informations sur les cybercriminels et leur mode de fonctionnement ou pour les distraire d’autres cibles.
Comment un pot de miel fonctionne-t-il ?
Le pot de miel ressemble à un véritable ordinateur, avec des applications et des données, qui font croire aux pirates informatiques que la cible est tout à fait réelle. Par exemple, un pot de miel peut simuler un système de facturation des clients d’une entreprise, qui est une cible fréquente pour les pirates qui veulent trouver des numéros de cartes de crédit. Une fois que les pirates sont entrés, le système les surveille et analyse leur comportement afin de développer des idées de renforcement de la sécurité de vrais réseaux.
Les pots de miel attirent les attaquants par l’intégration délibérée de failles de sécurité. Par exemple, un pot de miel peut contenir des ports qui réagissent à une analyse de port ou utiliser des mots de passe faibles. Les ports vulnérables peuvent être laissés ouverts de manière à attirer les pirates dans l’environnent du pot de miel, plutôt que dans un réel réseau plus sécurisé.
Un pot de miel n’est pas mis en place pour résoudre un problème en particulier, comme c’est le cas d’un pare-feu ou d’un antivirus. Il s’agit plutôt d’un outil d’information qui peut vous aider à comprendre les menaces existantes pour votre entreprise et à repérer celles qui apparaissent. Grâce aux informations obtenues au moyen d’un pot de miel, les efforts des agents de sécurité peuvent être ciblés et classés par ordre de priorité.
Les différents types de pots de miel et leur fonctionnement
Différents types de pots de miel peuvent être utilisés pour identifier différents types de menaces. Selon le type de menace traitée, il existe plusieurs définitions du pot de miel. Toutes ont leur place dans le cadre d’une stratégie de cybersécurité approfondie et efficace.
Les pièges de messagerie électronique ou les pièges à spam insèrent une fausse adresse email dans un endroit caché où seul un système de détection automatique d’adresses pourra la trouver. Comme l’adresse n’est utilisée que dans le cadre du piège à spam, il est certain à 100 % que tout message qui lui parvient est un spam. Tous les messages qui contiennent le même contenu que ceux envoyés à ce piège peuvent être automatiquement bloqués, et l’adresse IP source des expéditeurs peut être ajoutée à une liste noire.
Une base de données sous forme de leurre peut être mise en place pour surveiller les vulnérabilités des logiciels et repérer les attaques exploitant une architecture système non sécurisée ou utilisant l’injection SQL, l’exploitation de services SQL ou l’abus de privilèges.
Un pot de miel pour les logiciels malveillants imite des applications et des API afin de provoquer des attaques de logiciels malveillants. Les caractéristiques du logiciel malveillant peuvent ensuite être analysées pour développer un logiciel antimalware ou pour corriger les vulnérabilités de l’API.
Un pot de miel araignée est destiné à piéger les robots d’indexation (« araignées ») en créant des pages Web et des liens accessibles uniquement aux robots de recherche. La détection des robots peut vous aider à bloquer les robots malveillants ainsi que les robots de réseaux de publicité.
En analysant le trafic entrant dans le système du pot de miel, vous pouvez vérifier :
- d’où viennent les pirates informatiques ;
- le niveau de menace ;
- le modus operandi qu’ils utilisent ;
- les données ou les applications qui les intéressent ;
- la qualité de vos mesures de prévention contre les cyberattaques.
Une autre définition du pot de miel consiste à déterminer s’il est à haute ou à faible interaction. D’une part, les pots de miel à faible interaction utilisent moins de ressources et collectent des informations générales sur le niveau et le type de menaces ainsi que sur leur origine. Leur mise en place est facile et rapide. La plupart d’entre eux s’installent au moyen de simples simulations de protocoles TCP et IP et de services réseau. Toutefois, ce type de pot de miel contient peu d’information permettant de retenir les pirates pendant longtemps, et vous n’obtiendrez pas de renseignements approfondis sur les habitudes de ceux-ci ou sur des menaces complexes.
D’autre part, les pots de miel à haute interaction visent à retenir les pirates le plus de temps possible sur le système, ce qui permet de collecter de nombreuses informations sur les intentions et les objectifs de ceux-ci ainsi que sur les vulnérabilités qu’ils exploitent et leur façon de procéder. Ce pot de miel ressemble à un piège dans lequel de la « colle » a été ajoutée, c’est-à-dire des bases de données, des systèmes et des processus qui peuvent occuper un pirate pendant plus longtemps. Cela permet aux chercheurs de découvrir où les attaquants se rendent dans le système pour trouver des informations sensibles, les outils qu’ils utilisent pour obtenir des privilèges supplémentaires ou les exploits auxquels ils ont recours pour compromettre le système.
Les pots de miel à haute interaction sont cependant très exigeants en matière de ressources. Il est plus difficile et plus coûteux en temps de les mettre en place et de les surveiller. Ils peuvent également présenter un risque. S’ils ne sont pas sécurisés par un « honeywall » (pare-miel en français), un pirate informatique réellement déterminé et rusé peut utiliser un pot de miel à haute interaction pour attaquer d’autres hôtes Internet ou pour envoyer du spam à partir d’un ordinateur compromis.
Les deux types de pots de miel occupent une place dans la cybersécurité. En utilisant un mélange des deux, vous pouvez affiner les informations sur les types de menaces qui proviennent des pots de miel à faible interaction en ajoutant des renseignements sur les intentions, les communications et les exploits à partir des pots de miel à haute interaction.
En utilisant des pots de miel informatiques dans le but de créer une infrastructure de renseignement sur les menaces, une entreprise peut s’assurer qu’elle canalise correctement ses dépenses dans le domaine de la cybersécurité et qu’elle peut déterminer les points faibles de sa sécurité.
Les avantages de l’utilisation des pots de miel
Les pots de miel peuvent servir à révéler les vulnérabilités des principaux systèmes. Par exemple, un pot de miel peut montrer le niveau élevé de menace que représentent les attaques contre les appareils de l’IdO. Il peut également proposer des moyens permettant d’améliorer la sécurité.
Il existe plusieurs avantages à utiliser un pot de miel plutôt qu’un système réel pour détecter des menaces. Par exemple, par définition, un pot de miel ne devrait pas recevoir de trafic légitime, donc toute activité enregistrée est susceptible de constituer une tentative de piratage ou d’intrusion.
Ceci facilite grandement le repérage des schémas des pirates, comme des adresses IP semblables (ou des adresses IP provenant toutes d’un même pays) utilisées pour effectuer un balayage du réseau. En revanche, ce type de signes révélateurs d’une attaque se fondent facilement dans la masse lorsque le trafic légitime sur votre réseau central est très élevé. L’avantage principal de l’utilisation de la sécurité d’un pot de miel réside dans le fait que les adresses malveillantes sont les seules que vous voyez, ce qui facilite considérablement la détection de l’attaque.
Comme le trafic sur les pots de miel est très limité, ceux-ci constituent également une solution peu gourmande en ressources. Ils n’exigent pas beaucoup de matériel. Un pot de miel peut être mis en place à l’aide de vieux ordinateurs dont on ne se sert plus. D’un point de vue du logiciel, un certain nombre de pots de miel préfabriqués sont accessibles sur des stockages en ligne, ce qui réduit encore davantage les efforts internes nécessaires pour mettre en place un pot de miel et le lancer.
Les pots de miel ont un faible taux de faux positifs, contrairement aux systèmes traditionnels de détection d’intrusion (IDS) qui peuvent générer un nombre important de fausses alertes. À nouveau, cette méthode permet de déterminer les priorités et de réduire la quantité de ressources nécessaires pour faire fonctionner un pot de miel. (En effet, en utilisant les données collectées par des pots de miel et en associant celles-ci à d’autres journaux de système et de pare-feux, le système de détection d’intrusion peut être configuré avec des alertes plus appropriées afin de produire moins de faux positifs. Ainsi, les pots de miel permettent d’affiner et d’améliorer d’autres systèmes de cybersécurité.)
Les pots de miel peuvent vous donner des informations fiables sur l’évolution des menaces. Ils fournissent des renseignements concernant les vecteurs d’attaque, les exploits et les logiciels malveillants. Dans le cas des pièges de messagerie électronique, ils permettent de détecter les expéditeurs de spam et les attaques d’hameçonnage. Les pirates informatiques affinent continuellement leurs techniques d’intrusion. Un pot de miel informatique permet de repérer les nouvelles menaces et intrusions. Une utilisation adéquate des pots de miel permet également d’éradiquer des lacunes.
Ils constituent également d’excellents outils de formation pour le personnel de sécurité technique. Un pot de miel est un environnement contrôlé et sécurisé qui permet de présenter les façons dont les pirates agissent et d’examiner différents types de menaces. Grâce à un pot de miel, le personnel de sécurité ne sera pas distrait par le trafic réel présent sur le réseau et pourra se concentrer à 100 % sur la menace.
Les pots de miel peuvent également détecter des attaques internes. La plupart des organisations se concentrent sur la défense d’un périmètre et s’assurent que des tiers et des intrus ne peuvent pas le franchir. Cependant, si vous ne vous limitez qu’au périmètre, tout pirate qui a réussi à contourner votre pare-feu a carte blanche pour causer tous les dommages possibles puisqu’il se trouve à l’intérieur de votre système.
Les pare-feux ne servent pas non plus à lutter contre les menaces internes. Par exemple, contre un employé qui veut voler des fichiers avant de quitter son emploi. Un pot de miel peut vous fournir des informations tout aussi intéressantes sur les menaces internes et vous montrer des vulnérabilités dans des domaines tels que les autorisations qui permettent au personnel interne d’exploiter le système.
Enfin, en installant un pot de miel, vous faites preuve d’altruisme et vous aidez d’autres utilisateurs. Plus les pirates passent leur temps à infiltrer des pots de miel, moins ils disposent de temps pour pirater des systèmes réels et causer de véritables dégâts à vous ou à d’autres.
Les dangers des pots de miel
Tandis que la cybersécurité des pots de miel permettra de déterminer l’environnement des menaces, ceux-ci ne détecteront que les attaques ciblant le pot de miel, et non les autres activités. Vous ne pouvez pas supposer qu’une menace n’existe pas parce qu’elle n’a pas ciblé votre pot de miel. Il est important de suivre l’actualité en matière de sécurité informatique et de ne pas compter uniquement sur les pots de miel pour vous informer des menaces.
Un pot de miel adéquat et bien configuré trompera les attaquants en leur faisant croire qu’ils ont accédé au vrai système. Le système présentera les mêmes messages d’avertissement de connexion, les mêmes champs de données, voire la même apparence et les mêmes éléments graphiques que ceux présents sur vos systèmes réels. Cependant, si un pirate informatique parvient à reconnaître qu’il s’agit d’un pot de miel, il peut alors attaquer vos autres systèmes tout en laissant le pot de miel intact.
Une fois qu’un pot de miel a été « identifié », l’attaquant peut créer des attaques fictives dans le but de détourner l’attention d’un véritable exploit visant vos systèmes de production. Il peut également fournir de fausses informations au pot de miel.
Pire encore, un attaquant intelligent pourrait potentiellement utiliser un pot de miel comme un moyen de s’introduire dans vos systèmes. C’est pourquoi les pots de miel ne pourront jamais remplacer les contrôles de sécurité adéquats, comme les pare-feux et autres systèmes de détection des intrusions. Comme un pot de miel pourrait servir de tremplin pour d’autres intrusions, assurez-vous que tous vos pots de miel sont bien sécurisés. Un pot de miel peut assurer une sécurité de base et empêcher les attaques dirigées contre le pot de miel de toucher votre véritable système.
Un pot de miel devrait vous fournir des informations pour vous aider à hiérarchiser vos efforts en matière de cybersécurité, mais il ne peut pas remplacer une cybersécurité adéquate. Quel que soit le nombre de pots de miel dont vous disposez, envisagez d’utiliser une solution comme Kaspersky Endpoint Security Cloud pour protéger les ressources de votre entreprise. (Kaspersky utilise ses propres pots de miel pour détecter les menaces sur Internet, donc vous ne devez pas vous en préoccuper.)
Dans l’ensemble, les avantages de l’utilisation des pots de miel dépassent largement les risques encourus. Les pirates informatiques sont souvent considérés comme une menace lointaine et invisible, mais en utilisant les pots de miel, vous pouvez voir exactement ce qu’ils font en temps réel et utiliser ces informations pour les empêcher d’obtenir ce qu’ils veulent.
Liens connexes
IdO sous le feu des projecteurs :Kaspersky détecte plus de 100 millions d’attaques sur des appareils intelligents au premier semestre de l’année 2019
Comment les logiciels malveillants infiltrent-il les ordinateurs et les systèmes informatiques ?