Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  17.12.2004      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Antispam est un terme de l'industrie informatique.

Antispam : ce néologisme est un mot-valise (et contraction) construit par la fusion du mot « anti » (contre, s'opposant, bloquant, détruisant, protégeant) et du suffixe « Spam » désignant/signifiant tout ce qui est indésirable à l’endroit où on le trouve (cela n’a rien à faire là). Plus trivialement, le terme « Spam » signifie : « c’est de la merde ».

Un « HoneyPot » ou « HoneyNet » (le pot de miel pour attirer les mouches) est une méthode, en sécurité de l’information sur l’Internet, qui consiste à exhiber un leurre (comme laisser, sur un réseau, un point d'entré (une machine) aboutissant à un cul de sac (un trou noir) - mais c'est dangereux - non protégé ou simplement protégé en apparences grossières (pour tromper un hacker qui chercherait à savoir s’il est sur une machine réelle ou dans un piège) avec seulement les failles les plus criardes patchées (corrigées par application des correctifs)).

Un « HoneyPot », pour les plus aisés financièrement, consiste à créer de toutes pièces un faux réseau de quelques machines ayant une pseudo activité réelle dans tous les domaines du réseau normal (accès Web, DNS, messagerie SMTP, transferts FTP, applications métier, etc.).

Bardé du tous les outils d’observation et sniffers possibles, ce « pot de miel » qui attire les pirates va permettre d'analyser leurs attaques (failles ciblées, méthodes, etc.), silencieusement, sans alerter le pirate, afin d'améliorer le niveau de protection (tel est pris qui croyait prendre). Les « HoneyPots » posent beaucoup de problèmes dont :

  • Le pirate qui s'aperçoit que l'on cherche à l'observer et à le diriger vers une impasse risque de chercher à se venger en cherchant le vrai réseau et en lançant une attaque hostile (destructrice) alors qu'il n'est qu'observateur ou voleur habituellement (les « grands » pirates ne détruisent absolument rien sur leur passage et ne se font surtout pas remarquer).
  • Si le pirate ne s'est pas aperçu de la supercherie, il risque de se vanter de son exploit, portant ainsi tort et probablement préjudice à l'entreprise qu'il croit avoir pénétré.
  • Si l'entreprise maquille l'identité de son faux réseau pour se prémunir du risque précédant, celui-ci n'intéressera pas les « bons » pirates qui ne ciblent que les grands noms et les grandes organisations.

Il y a plusieurs solutions logiciels de type « HoneyPot » dont :

  • CyberCops Sting
  • Recourse ManTrap (racheté par Symantec, ce qui à fait couler beaucoup d'encre)
  • DTK (une solution en open source)

Les solutions « HoneyNet » passent par le SI (Service Informatique interne) ou, plus généralement, par un prestataire de services extérieur.

Même si une solution « open source » paraît gratuite au départ, sa mise en œuvre nécessite la mobilisation de plusieurs personnes de haut niveau et des moyens matériels importants, donc, en fin de compte, c'est probablement en dizaines de milliers d'euros qu'il faut compter.

malwaretech.com surveille les botnets en utilisant des serveurs DNS permettant de piéger des attaques, de les inhiber et de les étudier. L'infrastructure de MalwareTech est constituée de serveurs DNS (des DNS menteurs pour la bonne cause) utilisés en trous noirs (Pots de miel - HoneyPots) avec absorption de l'attaque afin de l'étudier (ce genre de HoneyPots est appelé « SinkHole »). L'adresse IP de la machine faisant des requêtes vers les serveurs de l'attaquant donne son emplacement géographique, ce qui permet ces cartographies (cliquez sur le bouton « Connect » et cochez la case « Norse Mode »).




Un « HoneyPot » ou « HoneyNet » (le pot de miel pour attirer les mouches) est une méthode, en sécurité de l’information sur l’Internet, qui consiste à exhiber un leurre (comme laisser, sur un réseau, un point d'entrée (une machine) aboutissant à un cul-de-sac (un trou noir) - mais c'est dangereux - non protégé ou simplement protégé en apparences grossières (pour tromper un hacker qui chercherait à savoir s’il est sur une machine réelle ou dans un piège) avec seulement les failles, dont les failles de sécurité) les plus criardes patchées (corrigées par application des correctifs, au jour le jour, aux failles de sécurité).

Un « HoneyPot », pour les plus aisés financièrement, consiste à créer de toutes pièces un faux réseau de quelques machines ayant une pseudoactivité réelle dans tous les domaines du réseau normal (accès Web, DNS, messagerie SMTP [présence du protocole SMTP], transferts FTP [présence du protocole FTP], applications métiers [présence d'applications correspondantes à l'activité de la cible, etc.]).

Bardé du tous les outils d’observation et sniffers possibles, ce « HoneyPot » (« pot de miel ») qui attire les pirates va permettre d'analyser leurs attaques (failles ciblées, méthodes, etc.), silencieusement, sans alerter le pirate, afin d'améliorer le niveau de protection (tel est pris qui croyait prendre).

Il y a plusieurs solutions logiciels de type « HoneyPot » dont :

Les solutions « HoneyNet » passent par le SI (Service Informatique interne) ou, plus généralement, par un prestataire de services extérieur.

Même si une solution « open source » paraît gratuite au départ, sa mise en œuvre nécessite la mobilisation de plusieurs personnes de haut niveau et des moyens matériels importants, donc, en fin de compte, c'est probablement onéreux (selon la prestation choisie). Il faut vraiment qu'il y ait l'espoir de gagner beaucoup d'argent à la clé pour se lancer dans ce genre d'opérations.