Antispam

Antispam : méthode pour détecter les spams. Exhibe un leurre attirant les spammeurs. Bloque le spam et identifie le spammeur.

cr  17.12.2004      r+  23.02.2021      r-  20.04.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Antispam est un terme de l'industrie informatique.

Antispam : ce néologisme est un mot-valise (et contraction) construit par la fusion du mot « anti » (contre, s'opposant, bloquant, détruisant, protégeant) et du suffixe « Spam » désignant/signifiant tout ce qui est indésirable à l’endroit où on le trouve (cela n’a rien à faire là). Plus trivialement, le terme « Spam » signifie : « c’est de la merde ».

Un « HoneyPot » ou « HoneyNet » (le pot de miel pour attirer les mouches) est une méthode, en sécurité de l’information sur l’Internet, qui consiste à exhiber un leurre (comme laisser, sur un réseau, un point d'entré (une machine) aboutissant à un cul de sac (un trou noir) - mais c'est dangereux - non protégé ou simplement protégé en apparences grossières (pour tromper un hacker qui chercherait à savoir s’il est sur une machine réelle ou dans un piège) avec seulement les failles les plus criardes patchées (corrigées par application des correctifs)).

Un « HoneyPot », pour les plus aisés financièrement, consiste à créer de toutes pièces un faux réseau de quelques machines ayant une pseudo activité réelle dans tous les domaines du réseau normal (accès Web, DNS, messagerie SMTP, transferts FTP, applications métier, etc.).

Bardé du tous les outils d’observation et sniffers possibles, ce « pot de miel » qui attire les pirates va permettre d'analyser leurs attaques (failles ciblées, méthodes, etc.), silencieusement, sans alerter le pirate, afin d'améliorer le niveau de protection (tel est pris qui croyait prendre). Les « HoneyPots » posent beaucoup de problèmes dont :

• Le pirate qui s'aperçoit que l'on cherche à l'observer et à le diriger vers une impasse risque de chercher à se venger en cherchant le vrai réseau et en lançant une attaque hostile (destructrice) alors qu'il n'est qu'observateur ou voleur habituellement (les « grands » pirates ne détruisent absolument rien sur leur passage et ne se font surtout pas remarquer).
• Si le pirate ne s'est pas aperçu de la supercherie, il risque de se vanter de son exploit, portant ainsi tort et probablement préjudice à l'entreprise qu'il croit avoir pénétré.
• Si l'entreprise maquille l'identité de son faux réseau pour se prémunir du risque précédant, celui-ci n'intéressera pas les « bons » pirates qui ne ciblent que les grands noms et les grandes organisations.

Il y a plusieurs solutions logiciels de type « HoneyPot » dont :

• CyberCops Sting
• Recourse ManTrap (racheté par Symantec, ce qui à fait couler beaucoup d'encre)
• DTK (une solution en open source)

Les solutions « HoneyNet » passent par le SI (Service Informatique interne) ou, plus généralement, par un prestataire de services extérieur.

Même si une solution « open source » paraît gratuite au départ, sa mise en œuvre nécessite la mobilisation de plusieurs personnes de haut niveau et des moyens matériels importants, donc, en fin de compte, c'est probablement en dizaines de milliers d'euros qu'il faut compter.

malwaretech.com surveille les botnets en utilisant des serveurs DNS permettant de piéger des attaques, de les inhiber et de les étudier. L'infrastructure de MalwareTech est constituée de serveurs DNS (des DNS menteurs pour la bonne cause) utilisés en trous noirs (Pots de miel - HoneyPots) avec absorption de l'attaque afin de l'étudier (ce genre de HoneyPots est appelé « SinkHole »). L'adresse IP de la machine faisant des requêtes vers les serveurs de l'attaquant donne son emplacement géographique, ce qui permet ces cartographies (cliquez sur le bouton « Connect » et cochez la case « Norse Mode »).

Un « HoneyPot » ou « HoneyNet » (le pot de miel pour attirer les mouches) est une méthode, en sécurité de l’information sur l’Internet, qui consiste à exhiber un leurre (comme laisser, sur un réseau, un point d'entrée (une machine) aboutissant à un cul-de-sac (un trou noir) - mais c'est dangereux - non protégé ou simplement protégé en apparences grossières (pour tromper un hacker qui chercherait à savoir s’il est sur une machine réelle ou dans un piège) avec seulement les failles, dont les failles de sécurité) les plus criardes patchées (corrigées par application des correctifs, au jour le jour, aux failles de sécurité).

Un « HoneyPot », pour les plus aisés financièrement, consiste à créer de toutes pièces un faux réseau de quelques machines ayant une pseudoactivité réelle dans tous les domaines du réseau normal (accès Web, DNS, messagerie SMTP [présence du protocole SMTP], transferts FTP [présence du protocole FTP], applications métiers [présence d'applications correspondantes à l'activité de la cible, etc.]).

Bardé du tous les outils d’observation et sniffers possibles, ce « HoneyPot » (« pot de miel ») qui attire les pirates va permettre d'analyser leurs attaques (failles ciblées, méthodes, etc.), silencieusement, sans alerter le pirate, afin d'améliorer le niveau de protection (tel est pris qui croyait prendre).

Il y a plusieurs solutions logiciels de type « HoneyPot » dont :

• CyberCop Sting (de « Network Associates », « HoneyPot » racheté par McAfee en 1999, revendu puis racheté à nouveau. Qu'est devenu ce produit dont la trace semble perdue ?)

• Recourse ManTrap (de « Recourse Technologies », racheté par Symantec, ce qui a fait couler beaucoup d'encre)

• Faille CVE-2000-1141 dans Recourse ManTrap
  
• Faille CVE-2000-1146 dans Recourse ManTrap
  
• Recourse ManTrap 1.6 annoncé par Symantec le 30.04.2022
  
• Récapitulation des failles de Recourse ManTrip détectées en l'an 2000 et corrigées le 10.12.2023 soit 13 ans après leurs découvertes et près de deux ans après le passage en version1.6 !
  

• DTK - Deception ToolKit (une solution en open source)

  • Créé par Fred Cohen de all.net en 1999.
  • Deception ToolKit sur CD.
  • Adding Network Services to Deception ToolKit.
  • Deception Toolkit (DTK) detailed presentation.
  • Deception Toolkit FAQ
    
  • Installing, Configuring, and Testing the Deception Tool Kit on Mac OS X
    

• malwaretech.com surveille les botnets en utilisant des serveurs DNS menteurs permettant de piéger des attaques, de les inhiber et de les étudier. L'infrastructure de MalwareTech est constituée de serveurs DNS (des DNS menteurs pour la bonne cause) utilisés en trous noirs (Pots de miel - HoneyPots) avec absorption de l'attaque afin de l'étudier (ce genre de HoneyPots est appelé « SinkHole »). L'adresse IP de la machine faisant des requêtes vers les serveurs de l'attaquant donne son emplacement géographique, ce qui permet ces cartographies des machines de l'attaquant (cliquez sur le bouton « Connect » et cochez la case « Norse Mode »).

Les solutions « HoneyNet » passent par le SI (Service Informatique interne) ou, plus généralement, par un prestataire de services extérieur.

Même si une solution « open source » paraît gratuite au départ, sa mise en œuvre nécessite la mobilisation de plusieurs personnes de haut niveau et des moyens matériels importants, donc, en fin de compte, c'est probablement onéreux (selon la prestation choisie). Il faut vraiment qu'il y ait l'espoir de gagner beaucoup d'argent à la clé pour se lancer dans ce genre d'opérations.

1. Qu'est-ce qu'un HonetNet (EN, PDF, 10 pages, 9.08.2001)

2. Connaissez votre ennemi : HoneyNets (EN, 3 pages, 21.4.2001)

3. 50 façons de protéger vos informations lorsque vous naviguez sur Internet (EN, 1 page, en collaboration avec CyberCop)

4. Cas récents d'espionnage (EN, PDF, 49 pages, septembre 1999)

5. Des pots de miel pour la recherche en cybercriminalité (EN, livre « Researching Cybercrimes », pages 233 à 261, 30 juillet 2021)

1. Antispam

Recherches dans Assiste.com		Recherches sur le Web
Antispam avec Qwant Antispam avec DuckDuckGo Antispam avec StartPage Antispam avec Google Antispam avec Bing Antispam avec Yandex Antispam avec Yahoo! Antispam avec Baidu		Antispam avec Qwant Antispam avec DuckDuckGo Antispam avec StartPage Antispam avec Google Antispam avec Bing Antispam avec Yandex Antispam avec Yahoo! Antispam avec Baidu