Sanctionner ou observer ?
Mais quel intérêt pour l'enteprise ? Identifier le pirate et l'attaquer en justice ? "Ce n'est pas le but - répond Luis Delabarre, directeur associé d'arSafe. Les meilleurs hackers sont trop difficiles à débusquer, et les autres ne méritent pas d'être sanctionnés". L'objectif est donc "d'observer plusieurs pirates, comprendre leur démarche, et améliorer en conséquence la protection du système d'information".

Un but louable : il est toujours utile de bien connaître son adversaire pour le contrer. Cela permet "d'éviter certaines erreurs de paramétrage, et de comprendre plus rapidement et plus instinctivement les signaux inquiétants". Et plus encore, "de développer un savoir-faire qui permettra de mieux se comporter en cas de crise, et notamment de savoir mener une investigation efficace".

Piéger et observer
Comment fonctionne un HoneyPot ? La famille de produits la plus ancienne simule le fonctionnement d'un système d'information à l'intérieur d'une seule et unique machine : "On fait croire au pirate qu'un Apache tourne sous Unix, avec tout l'environnement de sécurité qui l'entoure". Une solution efficace lorsque l'on souhaite accumuler des connaissances générales sur le piratage, mais qui souffre cependant de deux défauts : un bon pirate ne se laissera pas flouer par un tel leurre. Qui plus est, un responsable sécurité sera dans l'impossibilité d'observer le comportement d'un pirate dans un environnement ressemblant à son propre SI.

La parade ? Opter pour un HoneyNet, la solution de deuxième génération apparue il y a un peu plus d'un an. Cette fois-ci, on fait appel à un prestataire externe qui construit un réseau de quatre à cinq machines fonctionnant en conditions réelles. "Ce n'est plus de la simulation. Avec 5 machines, il est possible de reconstruire toutes les portes qu'un SI ouvre sur Internet : le Web, le DNS, le Smtp et le FTP".

Des défauts gênants
Une façon de s'informer - et de se former - intéressante pour les entreprises soucieuses de leur sécurité, mais une opération fort coûteuse car même s'il est possible de recycler de vieilles machines, l'expertise technique du prestataire de services a un coût.

Pire : l'entreprise peut même se révéler dangereuse. Si un pirate découvre le pot-aux-roses, il sera tenté de chercher l'entrée du véritable SI et de lui faire subir de gros dégâts, par défi. De même, s'il ne s'en rend pas compte, il s'empressera d'ébruiter son succès. L'image de l'entreprise s'en trouvera donc écornée. Luis Delabarre conseille tout simplement de cacher l'identité de l'entreprise.

En conséquence, il devient iImpossible d'attirer les pirates professionnels - qui ne débarquent jamais dans un système d'information par hasard, et qui n'ont aucune raison d'attaquer un HoneyPot pris au hasard. Impossible également de créer un HoneyNet en tous points sembables au SI de l'entreprise, puisqu'il ne doit pas pouvoir être rattaché à l'entreprise.

Un outil pédagogique
Récapitulons : un HoneyNet coûte cher, il ne permet d'observer qu'une partie des pirates - excluant notamment les meilleurs d'entre eux -, et il n'autorise jamais le clonage parfait du système d'information. Autant de limites qui cantonnent son utilisation à un usage pédagogique : faire progresser le niveau de qualification de ses équipes de sécurité. Un expédient appréciable dans les entreprises dont le code de déontologie interdit d'embaucher des hackers, et qui pêchent par leur mauvaise connaissance des techniques de piratage.

De l'aveu même de Luis Delabarre - dont l'entreprise pratique une veille approfondie sur ce sujet - les HoneyPots et les HoneyNets sont "très peu implantés en France". Mais ils sont plus couramment utilisés aux Etats-Unis, et ils devraient petit à petit parvenir à creuser une niche dans le marché de la sécurité.