Un « SinkHole » est une méthode, en sécurité informatique, consistant à piéger un attaquant en dirigeant ses requêtes vers des trous noirs (à coups de DNS menteurs pour la bonne cause).

cr  01.04.2012      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Un « HoneyPot » ou « HoneyNet » (le pot de miel pour attirer les mouches) est une méthode, en sécurité de l’information sur l’Internet, qui consiste à exhiber un leurre (comme laisser, sur un réseau, un point d'entré (une machine) aboutissant à un cul de sac (un trou noir) - mais c'est dangereux - non protégé ou simplement protégé en apparences grossières (pour tromper un hacker qui chercherait à savoir s’il est sur une machine réelle ou dans un piège) avec seulement les failles les plus criardes patchées (corrigées par application des correctifs)).

Un « HoneyPot », pour les plus aisés financièrement, consiste à créer de toutes pièces un faux réseau de quelques machines ayant une pseudo activité réelle dans tous les domaines du réseau normal (accès Web, DNS, messagerie SMTP, transferts FTP, applications métier, etc.).

Bardé du tous les outils d’observation et sniffers possibles, ce « pot de miel » qui attire les pirates va permettre d'analyser leurs attaques (failles ciblées, méthodes, etc.), silencieusement, sans alerter le pirate, afin d'améliorer le niveau de protection (tel est pris qui croyait prendre). Les « HoneyPots » posent beaucoup de problèmes dont :

• Le pirate qui s'aperçoit que l'on cherche à l'observer et à le diriger vers une impasse risque de chercher à se venger en cherchant le vrai réseau et en lançant une attaque hostile (destructrice) alors qu'il n'est qu'observateur ou voleur habituellement (les « grands » pirates ne détruisent absolument rien sur leur passage et ne se font surtout pas remarquer).
• Si le pirate ne s'est pas aperçu de la supercherie, il risque de se vanter de son exploit, portant ainsi tort et probablement préjudice à l'entreprise qu'il croit avoir pénétré.
• Si l'entreprise maquille l'identité de son faux réseau pour se prémunir du risque précédant, celui-ci n'intéressera pas les « bons » pirates qui ne ciblent que les grands noms et les grandes organisations.

Il y a plusieurs solutions logiciels de type « HoneyPot » dont :

• CyberCops Sting
• Recourse ManTrap (racheté par Symantec, ce qui à fait couler beaucoup d'encre)
• DTK (une solution en open source)

Les solutions « HoneyNet » passent par le SI (Service Informatique interne) ou, plus généralement, par un prestataire de services extérieur.

Même si une solution « open source » paraît gratuite au départ, sa mise en œuvre nécessite la mobilisation de plusieurs personnes de haut niveau et des moyens matériels importants, donc, en fin de compte, c'est probablement en dizaines de milliers d'euros qu'il faut compter.

malwaretech.com surveille les botnets en utilisant des serveurs DNS permettant de piéger des attaques, de les inhiber et de les étudier. L'infrastructure de MalwareTech est constituée de serveurs DNS (des DNS menteurs pour la bonne cause) utilisés en trous noirs (Pots de miel - HoneyPots) avec absorption de l'attaque afin de l'étudier (ce genre de HoneyPots est appelé « SinkHole »). L'adresse IP de la machine faisant des requêtes vers les serveurs de l'attaquant donne son emplacement géographique, ce qui permet ces cartographies (cliquez sur le bouton « Connect » et cochez la case « Norse Mode »).