Les honeypots, ou pots de miel, font leur come-back comme technique de pointe pour leurrer les pirates informatiques. Pourtant, ces pots de miel n'ont rien de nouveau, et peu d'entreprises mettent en place ce système de leurre, basé sur des logiciels spécialisés, et qui vise à analyser les méthodes et les tactiques des pirates. Ce regain de popularité montre un intérêt, à l'heure d'Internet, pour des systèmes de défense que l'on peut installer et, notamment, la volonté d'être proactif - et non plus simplement passif. Traduit-il une certaine maturité en matière de sécurité ? Difficile à dire, puisque, selon la dernière étude du cabinet anglais 3i, 80 % des coupe-feu des entreprises testés restent mal configurés...

S'il y a, pour l'heure, beaucoup d'agitation autour des honeypots, il y a encore peu de mises en oeuvre concrètes. De la dizaine de cabinets spécialisés dans la sécurité que nous avons consultés, il ressort que seules deux sociétés, Thales Secure Solutions et Cyber Networks, ont franchi le pas. Toutefois, les références restent encore peu nombreuses. Si les honeypots sont peu déployés, cela s'explique aisément. " Ils sont réservés aux entreprises qui ont une culture de la sécurité très avancée, note Philippe Bouvier, directeur de missions et responsable des tests d'intrusion et des audits de sécurité de Thales Secure Solutions. On les retrouve dans l'aérospatiale et le monde bancaire. En interne, nous nous servons des pots de miel dans un cadre de veille technologique pour écouter le bruit d'Internet. Cela nous permet d'identifier des nouvelles attaques qui circulent trois à six mois avant qu'elles ne deviennent publiques, via un avis de vulnérabilité. "

Pour Laurent Charveriat, cofondateur et directeur général et technique de Cyber Networks, " il convient, avant de vouloir mettre en oeuvre ce type de solution, de verrouiller autant que possible son architecture de sécurité. Cela passe par une bonne gestion et administration des éléments déjà en place ". Autrement dit, on commence par bien gérer une politique de sécurité définie, combler les failles existantes, et analyser régulièrement les logs avant de passer à une étape plus approfondie où l'on étudiera le comportement des pirates.

La définition d'un honeypot est, selon The Honeynet Project (une association à but non lucratif qui regroupe une trentaine de professionnels de la sécurité), " une ressource qui accroît la sécurité en étant mise à l'épreuve, attaquée ou compromise ". En d'autres termes, un honeypot ne sert strictement à rien s'il n'est pas attaqué. Un honeynet, quant à lui et toujours selon The Honeynet Project, est " un réseau de systèmes de production conçu afin d'être compromis ". Une fois compromis (victime d'une attaque), il est alors possible d'analyser les données et d'apprendre les outils, tactiques et motivations de la communauté des pirates. C'est donc par ce biais que les pots de miel aident à renforcer la sécurité d'une entreprise.

Les organisations qui mettent en oeuvre un tel outil ont un niveau de sécurité élevé et se refusent, hélas, au moindre commentaire. Pour Marcus Ranum, fondateur et directeur technique de NFR Security, " les honeypots sont un excellent complément à un bon IDS (Intrusion detection system). Je ne serais pas surpris de les voir de plus en plus souvent ".

Certains, à l'instar d'Eric Cole, expert auprès de la CIA et auteur de l'ouvrage Hackers : Attention danger ! (éd. Campus Press), se montre plus circonspect : " À notre avis, toute méthode qui attire les attaquants vers un système et leur donne davantage de visibilité est une mauvaise chose, mais votre expérience peut être différente ". Il faut, bien sûr, éviter à tout prix que le honeypot puisse servir de rebond à un assaillant.

Il convient d'ailleurs de bien réfléchir à l'usage que l'on veut faire de son honeypot, et au profil de hackers que l'on souhaite attirer. Pour être vraiment utile, le système de leurre doit être configuré de manière cohérente avec le reste de la sécurité du réseau de l'entreprise. S'il est trop simple, on n'attire que les scripts kiddies (jeunes pirates utilisant des boîtes à outils toutes faites) et on détourne les pirates chevronnés qui vont " sentir " le piège tendu. Dans un réseau bien sécurisé, la vue d'un serveur Windows NT " troué " paraîtra suspecte, même s'il arrive aux grandes organisations d'oublier d'apporter des correctifs logiciels et de sécuriser un serveur (situation constatée avec les serveurs Hotmail, de Microsoft, par exemple).

" Le piège doit être vraisemblable. Il ne faut pas qu'une faille volontaire puisse décrédibiliser le niveau de sécurité général d'une architecture " , précise Laurent Charveriat. Philippe Bouvier ajoute : " Les honeypots que nous installons disposent du dernier patch logiciel de sécurité. "

Martin Roesch, créateur de l'IDS réseau Open Source Snort et fondateur de la société Sourcefire (la version commerciale de Snort), classe les honeypots en deux catégories : les honeypots de production et les honeypots de recherche. La première vise à réduire la vulnérabilité aux attaques de pirates d'une organisation ;la seconde, à obtenir des informations sur la communauté des pirates.

Dans son livre Secrets et mensonges (éd. Vuibert Informatique), Bruce Schneier, expert en cryptographie, fondateur et directeur technique de Counterpane Internet Security, décompose la sécurité en trois domaines distincts : la prévention, la détection et la réaction. Un honeypot sera utile dans ces trois catégories même si la prévention est la partie la plus faible de son activité.Ainsi, un pot de miel ne va pas empêcher un pirate de venir sur votre réseau, mais, parce que vous enregistrez et examinez l'ensemble du trafic venant et partant de celui-ci, vous pourrez tirer des informations qui permettront de bloquer, une fois prochaine, la même attaque. En d'autres termes, un honeypot ne bloque pas une attaque ou un port donné et n'empêche pas les " mauvais garçons " de rester en dehors de votre réseau. Toutefois, il vaut mieux que les pirates s'agitent sur des ressources secondaires plutôt que sur les serveurs stratégiques.

Côté détection, le gain est, en revanche, considérable. La raison en est simple. Si des outils complémentaires comme les IDS réseaux voient beaucoup de trafic passer, ils ont du mal à faire face à une forte charge de trafic. Séparer le bon grain de l'ivraie leur est parfois très difficile : occuper un IDS en lui faisant gérer un nombre maximal d'alertes fait partie des techniques employées par les hackers. Les faux positifs (fausses alertes) et le filtrage des données utiles restent un domaine où les IDS ont encore des progrès à réaliser...

Un honeypot n'a pas cette problématique de gestion de trafic et de montée en charge. En effet, tout le trafic qui part du honeypot ou, a contrario, qui lui est destiné est suspect par défaut, puisqu'il ne fait tourner aucun service de production. Si cela ne sous-entend pas qu'il n'y aura jamais de faux positifs, le degré est moindre qu'avec un IDS. L'autre risque, justement, d'un IDS est le faux négatif. Cette fois, il traduit son incapacité à détecter une attaque validée. Les pots de miel, eux, sont moins sujets - par leur essence même - aux techniques d'évasion employées pour contourner les IDS.

Enfin, la réponse, ou réaction, est le domaine qu'il convient d'étudier avec soin. Détecter a peu de valeur si l'on n'a pas de réponse appropriée. Un honeypot est un hôte qui peut être mis hors ligne afin de tirer les leçons ad hoc. Où le placer sur le réseau ? Dans une zone démilitarisée (DMZ) dédiée ou sur le réseau local. Dans le premier cas, c'est contre les pirates externes qu'on va chercher à récupérer des informations. Dans le second, ce sera contre des pirates internes (des employés malhonnêtes).

Pour Hervé Schauer, fondateur du cabinet HSC, " la bonne solution est un système vulnérable sur une machine dédiée dans une DMZ dédiée. Pour surveiller, il faut avoir modifié un certain nombre de commandes avec déportation des événements journalisés. La surveillance doit être constante lorsque le système vulnérable est accessible depuis Internet. Le rôle de la DMZ est que le pirate ne puisse pas rebondir vers Internet, vers une machine sensible de la passerelle d'accès ou vers le réseau interne. Pour analyser le système une fois le piratage réalisé, il faut déconnecter le système du réseau et le redémarrer depuis un disque dur sain, présent dans le système, mais déconnecté physiquement lorsque le système est connecté au réseau. Il va de soi que sous ce système sain il ne faut rien exécuter des binaires laissés par le pirate ".

Pour Laurent Charveriat, " on pourra jouer sur l'adressage IP et la translation d'adresses pour faire croire au hacker que le serveur attaqué se trouve sur le LAN de l'entreprise. Le honeypot dans une DMZ ne sera, par exemple, pas renseigné dans le serveur DNS (Domain name system) " .

Il existe de multiples manières de créer son pot de miel, " mais il est capital que la configuration soit conforme aux objectifs visés et qu'en aucun cas l'architecture honeypot ne puisse devenir une faille pour le système de l'entreprise. À attirer les guêpes, on risque de se faire piquer si l'on ne s'est pas bien protégé ! " , poursuit Laurent Charveriat.

Chez Thales Secure Solutions, on utilise des produits Open Source configurés à façon. " Si nous utilisons des sondes Open Source, à l'instar de Snort, nous développons aussi nos propres sondes de capture pour des besoins d'écoute très précis, explique Philippe Bouvier. La maîtrise du code, de la trame et de ce que nous enregistrons dans le fichier Log nous permet de mettre en évidence les deltas qui existent lors de l'analyse des logs et de la corrélation de l'ensemble des outils de sécurité mis en oeuvre. La remontée des alertes locales des pots de miel est sécurisée et s'appuie sur le logiciel libre Syslog que nous avons recompilé ad hoc. "

En outre, afin d'élever le niveau de sécurité de la plate-forme, Thales Secure Solutions bénéficie des compétences et des connaissances du Groupe Thales dans les technologies duales (application des technologies développées pour le marché de la défense aux marchés commerciaux, et inversement). Quelques mesures additionnelles sont parfois employées, comme des logs déportés sur un serveur dédié, ainsi que certains fichiers de configuration, inscrits sur des supports CD-Rom, afin que le pirate ne puisse les modifier. Toutes les précautions sont prises de telle sorte que le pot de miel ne soit pas utilisé comme rebond vers un autre site.

Les pots de miel sont soit à base de produits commerciaux, à l'instar de ManTrap, de Recourse Technologies, soit à base d'un Unix libre ou d'un Linux configuré de façon personnalisée. Les mécanismes employés vont du monitoring de ports (NukeNabber) au leurre interagissant avec le pirate pour aboutir à un vrai système configuré à dessein. Un produit comme WMware, qui sert à la virtualisation de machines, peut être utilisé. Son inconvénient est qu'il ne lui est pas possible de masquer complètement sa présence. Ce type de logiciel n'a pas été, de prime abord, conçu dans l'optique de servir comme pot de miel.

" Toutefois, c'est une solution qui reste fréquemment employée " , confit Robert Graham, fondateur de NetworkICE et maintenant architecte sécurité chez ISS.

" Au niveau du réseau, WMware émule un commutateur, ce qui permet aux machines virtuelles de communiquer sur un réseau virtuel. Si on utilise un outil comme NMAP pour identifier le système, l'OS de la machine virtuelle est identifiée comme une machine réelle, explique Vincent Royer, consultant en sécurité chez Althes. En ce qui concerne le disque, chaque machine virtuelle peut utiliser un disque virtuel (un fichier sur le système hôte) ou une partition brute (toujours le système hôte). Les deux approches ont des avantages et des inconvénients. L'usage de disques virtuels requiert une installation plus simple et est plus souple pour copier ou restaurer un honeypot. À l'inverse, si on décide d'utiliser le honeynet pour engager des poursuites judiciaires, l'utilisation d'une partition brute permettra une analyse du disque avec des outils classiques. Il faudra, au préalable, effacer toute la partition hébergeant le honeypot pour ne pas retrouver de traces de l'activité antérieure sur le disque. "

Comment surveille-t-on l'activité du pirate ? " Le système hôte, ou une autre machine, est utilisé pour tracer l'activité réseau grâce à un sniffer de type tcpdump ou un IDS de type Snort. Au niveau système, l'activité du pirate sur les honeypots est stockée en lieu sûr à travers le firewall, via Syslog. Sous Unix, il faut modifier le shell pour enregistrer dans un fichier journal toutes les commandes " , poursuit Vincent Royer.

Les honeypots ont donc un intérêt certain. Mais, avant de se lancer dans cette aventure, il faut bien verrouiller son réseau. Les pots de miel sont loin d'être la première étape dans une architecture de réseau sécurisée.