Tel est pris qui croyait prendre :
si un pirate trouve une machine ouverte aux quatre vents,
il s'empresse d'y pénétrer. Ce qu'il sait
moins, c'est qu'il vient juste de mettre les pieds dans
un véritable leurre bardé de systèmes
de contrôle qui enregistrent ses moindres faits
et gestes. Une fois n'est pas coutume, c'est le responsable
de la sécurité de l'entreprise qui se joue
du pirate.
Sanctionner
ou observer ?
Mais quel intérêt pour l'enteprise ?
Identifier le pirate et l'attaquer en justice ?
"Ce n'est pas le but - répond Luis
Delabarre, directeur associé d'arSafe. Les meilleurs
hackers sont trop difficiles à débusquer,
et les autres ne méritent pas d'être sanctionnés".
L'objectif est donc "d'observer plusieurs pirates,
comprendre leur démarche, et améliorer
en conséquence la protection du système
d'information".
Un but louable : il
est toujours utile de bien connaître son adversaire
pour le contrer. Cela permet "d'éviter certaines
erreurs de paramétrage, et de
comprendre
plus rapidement et plus instinctivement les signaux
inquiétants". Et plus encore, "de développer
un savoir-faire qui permettra de mieux se comporter
en cas de crise, et notamment de savoir mener une investigation
efficace".
Piéger
et observer
Comment fonctionne
un HoneyPot ? La famille de produits la plus ancienne
simule le fonctionnement d'un système d'information
à l'intérieur d'une seule et unique machine :
"On fait croire au pirate qu'un Apache tourne sous
Unix, avec tout l'environnement de sécurité
qui l'entoure". Une solution efficace lorsque l'on
souhaite accumuler des connaissances générales
sur le piratage, mais qui souffre cependant de deux
défauts : un bon pirate ne se laissera pas
flouer par un tel leurre. Qui plus est, un responsable
sécurité sera dans l'impossibilité
d'observer le comportement d'un pirate dans un environnement
ressemblant à son propre SI.
La parade ? Opter
pour un HoneyNet, la solution de deuxième génération
apparue il y a un peu plus d'un an. Cette fois-ci, on
fait appel à un prestataire externe qui construit
un réseau de quatre à cinq machines fonctionnant
en conditions réelles. "Ce n'est plus de
la simulation. Avec 5 machines, il est possible de reconstruire
toutes les portes qu'un SI ouvre sur Internet :
le Web, le DNS, le Smtp et le FTP".
Des
défauts gênants
Une façon
de s'informer - et de se former - intéressante
pour les entreprises soucieuses de leur sécurité,
mais une opération fort coûteuse car même
s'il est possible de recycler de vieilles machines,
l'expertise technique du prestataire de services a un
coût.
Pire : l'entreprise
peut même se révéler dangereuse.
Si un pirate découvre le pot-aux-roses, il sera
tenté de chercher l'entrée du véritable
SI et de lui faire subir de gros dégâts,
par défi. De même, s'il ne s'en rend pas
compte, il s'empressera d'ébruiter son succès.
L'image de l'entreprise s'en trouvera donc écornée.
Luis Delabarre conseille
tout simplement de cacher l'identité de l'entreprise.
En conséquence,
il devient iImpossible d'attirer les pirates professionnels -
qui ne débarquent jamais dans un système
d'information par hasard, et qui n'ont aucune raison
d'attaquer un HoneyPot pris au hasard. Impossible également
de créer un HoneyNet en tous points sembables
au SI de l'entreprise, puisqu'il ne doit pas pouvoir
être rattaché à l'entreprise.
Un outil
pédagogique
Récapitulons :
un HoneyNet coûte cher, il ne permet d'observer
qu'une partie des pirates - excluant notamment
les meilleurs d'entre eux -, et il n'autorise jamais
le clonage parfait du système d'information.
Autant de limites qui cantonnent son utilisation à
un usage pédagogique : faire progresser
le niveau de qualification de ses équipes de
sécurité. Un expédient appréciable
dans les entreprises dont le code de déontologie
interdit d'embaucher des hackers, et qui pêchent
par leur mauvaise connaissance des techniques de piratage.
De l'aveu même de
Luis Delabarre - dont l'entreprise pratique une
veille approfondie sur ce sujet - les HoneyPots
et les HoneyNets sont "très peu implantés
en France". Mais ils sont plus couramment utilisés
aux Etats-Unis, et ils devraient petit à petit
parvenir à creuser une niche dans le marché
de la sécurité.
>
Quelques éditeurs. |
Il n'existe pas de
solution packagée de HoneyNet : il
faut recourir à un prestataire de services.
Par contre, plusieurs éditeurs se sont
lancés sur le marché du HoneyPot,
né il y a quelques années :
- CyberCops Sting
- Recourse ManTrap (racheté par Symantec)
- DTK (open source)
|
|