Un leurre peut être un outil très puissant. Les agriculteurs utilisent des leurres pour dissuader les oiseaux de manger leurs récoltes depuis l’Antiquité avec des épouvantails. Chez IPVanish, nous fournissons adresses IP leurres à nos utilisateurs afin qu’ils puissent éviter les atteintes à la vie privée comme ciblage des annonces. Cependant, il est parfois nécessaire de disposer de leurres qui ne sont pas destinés à éloigner les parasites, mais plutôt à les attirer afin que nous puissions les attraper. Cela peut nous aider à étudier leur comportement pour mieux les piéger à l’avenir, comme mettre un morceau de fromage sur une souricière. Les experts en cybersécurité le font tout le temps en créant un mécanisme appelé pot de miel. Mais qu’est-ce qu’un pot de miel et comment ça marche ?
Qu’est-ce qu’un pot de miel ?
Un pot de miel, ou piège à mielest une fausse cible pour un cybercriminel. Les pirates affluent généralement vers des systèmes qui semblent faibles et présentent de nombreuses failles de sécurité, car il leur est plus facile de compromettre le système et de voler des informations. Les équipes de sécurité créeront parfois un réseau, un logiciel, etc. avec quelques portes laissées intentionnellement ouvertes afin qu’elles puissent observer qui les traverse. Cela peut être fait de différentes manières, mais cela s’appelle un pot de miel car il doit y avoir une illusion d’un prix pour le pirate. Il doit y avoir un motif pour entrer par effraction, et il peut être difficile de créer un faux système convaincant qui imite votre système réel en fonction de la façon dont vous vous y prenez. Mais cela ne fait aucun doute : ces systèmes peuvent faire des merveilles pour les opérations nécessitant une sécurité renforcée.
Les pots de miel ont un taux de réussite élevé, ce qui est excellent compte tenu du nombre de ressources nécessaires pour découvrir d’autres types de menaces de sécurité. Ils permettent aux équipes de sécurité d’ajuster leurs tactiques pour mieux protéger les informations de grande valeur. De plus, ils peuvent déterminer quelles données ont une grande valeur en observant ce que les cybercriminels décident d’atteindre. Cela leur permet également de collecter des données sur la provenance des pirates, ce qui les aidera à identifier les menaces potentielles avec plus de précision à l’avenir. Ce sont toutes des données précieuses, mais il convient également de mentionner que les pots de miel sont purement informatifs et ne sont pas équipés pour “capturer” les pirates. C’est un piège aux résultats différés et préventifs.
Étant donné que les pots de miel sont des parties isolées du système, le véritable système n’est pas affecté par toute activité malveillante dans le pot de miel. Habituellement, les utilisateurs légitimes d’un système l’utilisent comme prévu et recherchent rarement des vulnérabilités de sécurité à exploiter. Les pirates, quant à eux, ne s’intéressent qu’aux systèmes présentant des vulnérabilités non contrôlées. Par conséquent, toute activité enregistrée dans un pot de miel est considérée comme une menace potentielle, qui agit également comme une distraction et éloigne les pirates des cibles réelles. Les équipes de sécurité peuvent également bloquer la source de toute activité observée dans un pot de miel avant que ce pirate n’ait la possibilité d’accéder au système légitime.
Types de pots de miel
Demander simplement “qu’est-ce qu’un pot de miel” vous donnera une réponse très générale. Cette terminologie est également utilisée en dehors de la cybersécurité pour décrire les pièges utilisés dans des contextes complètement différents. Mais même les pots de miel technologiques se déclinent en plusieurs variétés, ce qui les rend plus spécifiques et utiles en fonction des informations qu’une équipe de sécurité tente de collecter. Globalement, il existe deux principaux types de pots de miel utilisés en cybersécurité :
Faible interaction les pots de miel sont destinés à collecter des données de base sur l’emplacement et le niveau de menace. Bien qu’ils soient faciles à utiliser et utilisent peu de ressources, cette méthode ne fait qu’observer les pirates lors de leur passage. Cela signifie qu’il n’y a pas grand-chose à garder autour du pirate informatique, ce qui limite la quantité de recherches pouvant être effectuées sur ses habitudes. Pour certaines opérations, mimer un système vers un T n’est pas nécessaire, c’est pourquoi ces leurres sont toujours utiles malgré leur simplicité. La plupart des pots de miel à faible interaction sont pots de miel de production, ce qui signifie qu’ils sont utilisés par les entreprises pour collecter des informations de base sur les intrusions. C’est le type le plus courant.
Haute interaction les pots de miel sont très collants. Ces mécanismes robustes et gourmands en ressources contiennent beaucoup de boue dans laquelle les pirates peuvent se rouler, les gardant engagés pendant de longues périodes. Plus un pot de miel ressemble à un système réel, et plus un pirate passe de temps avec un pot de miel, plus d’informations sont révélées aux experts en sécurité. Ils peuvent utiliser ces informations pour améliorer la sécurité dans les zones d’un système considérées comme présentant un intérêt élevé et empêcher les pirates d’exploiter des systèmes légitimes en les occupant. La plupart des pots de miel à haute interaction sont considérés pots de miel de rechercheprincipalement utilisé par le gouvernement et les organisations de renseignement.
Pur les pots de miel sont des systèmes à part entière fonctionnant sur plusieurs serveurs. Ils sont les plus réalistes car ils sont livrés avec tout le nécessaire pour imiter un système légitime, y compris de faux documents confidentiels comme des informations sur les utilisateurs, etc. Tout au long de ce piège, il y a des bogues, ou des capteurs, qui surveillent l’activité du pirate. Cependant, ils utilisent le plus de ressources et sont les plus complexes à entretenir parmi tous les pots de miel mentionnés. Plus il est difficile de repérer un pot de miel, plus vous pouvez vous attaquer à des menaces sophistiquées.
Sous quelles formes les pots de miel se présentent-ils ?
La meilleure partie des cyberpots de miel est qu’ils peuvent prendre toutes les formes et toutes les tailles. Pour n’en citer que quelques-uns :
Pièges à e-mail peut aider à dissuader les spams en utilisant une fausse adresse e-mail et un emplacement qui ne peuvent être découverts que par les spammeurs. Cela permet aux équipes de sécurité de cesser provisoirement la communication avec toutes les adresses IP qui passent. Cela serait considéré comme un pot de miel à faible interaction, car de nombreux spams par e-mail sont automatisés et peuvent être bloqués passivement.
UN piège à malware donne l’illusion d’une interface de programmation d’application (API) instable à travers quelque chose comme un logiciel pour encourager les attaques de logiciels malveillants. Cela permet aux équipes de sécurité d’accéder à ce logiciel malveillant dans un environnement contrôlé afin qu’elles puissent l’étudier et apprendre à le désactiver en cas de menace réelle. Il s’agit d’un pot de miel à haute interaction car il encourage le pirate à passer le plus de temps possible avec le système.
Les bases de données sont utilisées par des milliers d’applications Web différentes pour stocker des éléments tels que les identifiants de connexion, les informations bancaires, etc. pot de miel de base de données est utilisé pour éviter une technique appelée injection de langage de requête structuré (SQLi). C’est lorsqu’un pirate informatique utilise une requête, comme un champ prénom/nom, pour insérer un code malveillant et compromettre l’intégralité de la base de données. Cela montre à quel point les pots de miel peuvent être importants pour protéger des millions d’entrées collectées précieuses et sensibles sur une longue période.
Pots de miel d’araignées sont similaires aux pièges par e-mail en ce sens qu’ils créent un leurre accessible uniquement par un certain type de menace. Dans ce cas, une fausse page Web est créée pour capturer les robots d’exploration Web – des robots utilisés principalement par les moteurs de recherche pour créer des index massifs du Web afin de maintenir à jour le matériel consultable. Ils sont également connus sous le nom d’araignées, d’où leur nom. Certaines araignées sont utilisées de manière malveillante et contraire à l’éthique pour la publicité ou pour voler des informations, et le pot de miel aide à bloquer ces robots.
Un nouveau mécanisme connu sous le nom de HoneyBot a été en cours de développement pour aider à réduire le piratage dans les systèmes robotiques. Les robots nous ont aidés dans de nombreux aspects, de votre domicile à un environnement d’usine, et on attend souvent de ces robots qu’ils effectuent des tâches avec une précision ciblée. Les robots compromis peuvent détruire des lots entiers d’articles fabriqués en usine, ou même blesser de vraies personnes dans un hôpital. HoneyBot est simplement un type de pot de miel qui agit comme un robot, imitant les vulnérabilités systémiques que l’on peut trouver dans les robots réels aux mêmes fins que celles que nous avons mentionnées précédemment.
Ce n’est pas tout. Comme mentionné, certaines opérations ont utilisé des pots de miel qui se présentent comme des réseaux entiers pour maximiser entièrement le temps passé dessus, également connu sous le nom de filet de miel. Cela peut créer un type de parc pour les pirates en utilisant plusieurs types de pots de miel et permet à la sécurité de collecter des informations précieuses sur les motifs et les sources. Étant donné qu’un réseau de miel est si vaste, les experts en sécurité peuvent également modifier l’environnement lorsque les pirates ne cherchent pas à tester davantage de théories.
Dans l’ensemble, les pots de miel peuvent ressembler à peu près à tout ce qui intéresse un pirate informatique, y compris, mais sans s’y limiter, les informations de paiement, les secrets commerciaux, les informations d’identification, les services publics et même les médias comme les photos ou les vidéos. C’est ce qui les rend si utiles et efficaces chaque fois qu’ils sont utilisés. Il y a un vaste communauté sur des plates-formes comme GitHub dédiées au partage de pots de miel uniques et open source et à aider quiconque pourrait en trouver une utilisation.
Les avantages et les inconvénients de l’utilisation des pots de miel
Comme tout, les pots de miel ne sont pas parfaits. Comme nous l’avons mentionné, certains sont très proches de systèmes légitimes, ce qui peut également donner à un pirate un aperçu de la manière de poursuivre ses efforts s’il soupçonne qu’il est piégé. Voici quelques-uns des avantages et des dangers les plus importants de l’utilisation des pots de miel dans la cybersécurité :
| AVANTAGES | LES INCONVÉNIENTS |
| Il révèle des informations détaillées qui peuvent être étudiées pour développer de nouvelles façons de contrecarrer les cybercriminels et de bloquer la source des attaquants connus. Excellent pour la formation du nouveau personnel de sécurité. | Il doit être utilisé correctement et stratégiquement. Un pirate informatique expérimenté peut réduire l’efficacité de l’outil en fournissant des informations inexactes s’il soupçonne le piège. |
| Il peut être continuellement utilisé et modifié pour créer de nouveaux aspects du système qui peuvent révéler des informations plus utiles. De cette façon, les équipes de sécurité peuvent évoluer tout en utilisant des outils familiers. | Des pare-feu préventifs et des outils de surveillance sont indispensables, ce qui signifie beaucoup de baby-sitting. Sans un, les pirates informatiques avancés peuvent utiliser un pot de miel et se déplacer latéralement dans le système légitime. |
| Cela peut révéler des menaces internes. Bien qu’il soit bon pour surveiller les menaces externes, les menaces internes provenant d’acteurs malveillants au sein d’une organisation peuvent passer inaperçues en utilisant d’autres types de méthodes de sécurité. | Il peut être utilisé contre ceux qui en emploient un. Les pirates peuvent inonder un pot de miel d’activités pour distraire la sécurité d’une véritable attaque. La psychologie inversée à son meilleur. |
| Il élimine presque parfaitement les pirates. Les pots de miel ne sont pas conçus pour gérer le trafic légitime, ce qui signifie que toute activité enregistrée est presque certainement malveillante, ce qui facilite son identification. | Il a un cadre de vision très étroit. Les pots de miel ne sont utiles qu’en cas d’attaque. Par conséquent, ils ne surveillent pas un réseau 24h/24 et 7j/7 comme le permettent d’autres méthodes de sécurité. |
La vérité est que de nombreux cyber-adversaires sont puissants et très intelligents. Avec la quantité de connaissances disponibles en ligne aujourd’hui, les pirates ont également beaucoup d’informations sur les tactiques de sécurité et sur la façon de les contourner. Les pots de miel peuvent être assez visibles pour ces menaces et nécessitent des mesures de sécurité supplémentaires pour les contrer.
En savoir plus sur la technologie de tromperie
Votre prochaine question, après “qu’est-ce qu’un pot de miel”, pourrait être “est-ce même légal?” La réponse est un oui retentissant, tant qu’une équipe de sécurité s’en tient aux directives éthiques établies par leur juridiction concernant la collecte de données et le consentement. Cela peut sembler injuste étant donné que l’intention d’un pirate prend rarement en compte ces lois. Heureusement, le Loi sur la confidentialité des communications électroniques de 1986 (ECPA)créé pour empêcher le traçage numérique et la collecte trompeuse de données comme les écoutes téléphoniques, comprend une disposition pour protéger certains outils comme les pots de miel tant qu’ils sont utilisés à des fins de cybersécurité.
Technologie de tromperie est un domaine technologique en plein essor utilisé par les experts en sécurité, en particulier pour inciter les pirates à les étudier ou à les piéger. Comme mentionné, la technologie évolue rapidement et les pirates informatiques évoluent rapidement avec elle. Cela signifie que les experts en sécurité ont besoin de nouvelles méthodes de détection précoce pour mieux protéger les informations précieuses. Ces méthodes aident les équipes de sécurité à utiliser des techniques d’automatisation de pointe telles que l’intelligence artificielle (IA) et l’apprentissage automatique pour créer une stratégie de prévention des attaques plus intelligente qu’eux. Les pirates sont également connus pour utiliser ces techniques d’automatisation dans leurs enchères – c’est une course constante qui nécessite des méthodes constamment mises à jour.
Les pots de miel ne remplacent pas les méthodes de cybersécurité éprouvées. Un leurre appétissant peut fonctionner dans certains cas, mais le but est d’avoir une meilleure perspective sur la façon d’employer d’autres mesures de sécurité. Ils sont considérés comme informatifs parce que les pirates ne sont pas nécessairement « attrapés » et traduits en justice, mais simplement empêchés de poursuivre leurs bouffonneries avec cette société ou ce centre de recherche spécifique. Et bien sûr, un pot de miel ne peut pas détecter les perturbations en dehors de lui-même, ce qui signifie qu’il doit y avoir une surveillance supplémentaire sur le système légitime pour repousser les pirates qui ont réussi à éviter le piège.