Qu'est-ce qu'un pot de miel ?

Jun-28-20215 minutes de lecture

De nombreuses entreprises dépendent actuellement de grandes quantités de données obtenues sur l'internet par le biais du web scraping pour mettre en œuvre des décisions commerciales. Cependant, le web scraping est souvent confronté à plusieurs défis et l'un d'entre eux est le piège des pots de miel. D'un autre côté, les pots de miel sont un atout vital pour la cybersécurité de votre organisation. C'est pourquoi cet article

De nombreuses entreprises dépendent actuellement de grandes quantités de données obtenues sur l'internet par le biais du web scraping pour mettre en œuvre des décisions commerciales. Cependant, le "web scraping" est souvent confronté à plusieurs défis et l'un d'entre eux est celui des pièges à miel.

D'autre part, les pots de miel sont un atout essentiel pour la cybersécurité de votre organisation.

Cet article présente donc une vue d'ensemble des pots de miel avant d'aborder la manière dont vous pouvez éviter les pièges des pots de miel dans le cadre du web scraping.

Qu'est-ce qu'un pot de miel ?

Dans le domaine de la sécurité des réseaux, les pots de miel sont des systèmes de leurre conçus de la même manière qu'un système légitime compromis. Son principal objectif est d'appâter les cybercriminels en leur faisant perdre du temps et des efforts pour exploiter les vulnérabilités délibérées d'un système informatique. Il alerte ensuite votre équipe interne de cybersécurité des tentatives de compromission des attaquants.

Cette vigilance permettrait à votre équipe de sécurité d'enquêter sur les attaques en cours au moyen de pots de miel afin de réduire les vulnérabilités et d'empêcher les attaquants de nuire au système légitime.

Comment fonctionnent les pots de miel ?

Comme les pots de miel sont identiques à un système informatique réel avec des logiciels d'application et des données pour tromper les cybercriminels, ils sont délibérément développés avec des failles de sécurité. Un exemple frappant est celui de certains ports vulnérables laissés ouverts pour attirer les attaquants dans le pot de miel plutôt que dans le système réel.

Un autre scénario de pot de miel consisterait à imiter une page de passerelle de paiement sur l'internet, ce qui constituerait une cible idéale pour les cybercriminels qui espionneraient les numéros de cartes de crédit. Lorsqu'un cybercriminel arrive sur une telle page, votre équipe de sécurité peut évaluer son comportement et suivre ses mouvements afin de rendre la passerelle de paiement légitime plus sûre.

Le fonctionnement des pots de miel peut être considéré comme un outil précieux qui permet d'identifier les failles de sécurité de votre organisation et de repérer les nouvelles menaces. En outre, vous analyserez les tendances des attaquants et mettrez en place des mécanismes de protection contre ces menaces.

Différents types de pots de miel

Les pots de miel peuvent être classés en fonction de leur niveau de déploiement et d'implication. Sur la base du déploiement, vous pouvez les classer dans les catégories suivantes :

Les pots de miel de production - ces pots de miel sont déployés à côté de vrais serveurs de production sur le réseau interne de votre organisation. Leur objectif est de détecter les attaques actives sur le réseau interne et de les détourner du serveur légitime.

Les pots de miel de recherche - à l'inverse, les pots de miel de recherche sont utilisés pour collecter et analyser la manière dont un attaquant mettrait en œuvre une attaque potentielle sur le système en analysant son comportement. Grâce à cette analyse, l'équipe de sécurité peut améliorer la défense du système.

En fonction des niveaux d'implication, les pots de miel peuvent être classés comme suit :

Les pots de miel purs - il s'agit de systèmes de production à l'échelle réelle qui semblent contenir des données confidentielles ou sensibles. Les équipes de sécurité surveillent les intentions des attaquants à l'aide d'un mouchard installé à l'endroit où les pots de miel se connectent au réseau.

Les pots de miel à forte interaction - l'objectif principal est d'amener l'attaquant à investir le plus de temps possible pour infiltrer les failles de sécurité afin d'attaquer le système. Cela permet à vos équipes de cybersécurité d'observer la cible des attaquants dans le système et de découvrir ses vulnérabilités. Une base de données est un exemple typique de pot de miel à forte interaction.

Pot de miel à interaction moyenne - imite la couche d'application sans système d'exploitation, de sorte que l'attaquant soit désorienté ou retarde sa mission. Cela permettrait à vos experts en sécurité de gagner du temps pour répondre à l'attaque dans ce scénario.

Pot de miel à faible interaction - Ces pots de miel sont faciles à mettre en place et utilisent le protocole TCP (Transmission Control Protocol), le protocole Internet (IP) et les services de réseau. Ils sont moins gourmands en ressources. L'objectif principal est de simuler les systèmes que les attaquants ciblent le plus souvent. Les experts en sécurité recueillent ainsi des informations sur le type d'attaque et son point d'origine. Les équipes de sécurité les utilisent également pour les mécanismes de détection précoce.

Qu'est-ce qu'un Honeynet ?

Jusqu'à présent, vous avez découvert qu'un pot de miel est une machine virtuelle unique au sein d'un réseau. En revanche, les honeynets sont constitués d'une série de pots de miel mis en réseau, comme le montre le diagramme ci-dessous. Un seul pot de miel n'est pas suffisant pour surveiller le trafic suspect entrant dans un réseau plus étendu.

Les honeynets sont connectés au reste du réseau par l'intermédiaire d'une passerelle "honeywall" qui surveille le trafic entrant dans le réseau et le dirige vers les nœuds honeypot.

À l'aide d'un honeynet, votre équipe de sécurité peut étudier les menaces de cybersécurité de grande ampleur, telles que les attaques par déni de service distribué (DDOS) et les ransomwares. L'équipe de sécurité peut ensuite prendre les précautions nécessaires pour éloigner les attaquants du système réel.

Les honeynets protègent l'ensemble de votre réseau contre le trafic suspect entrant et sortant et font partie d'un vaste réseau d'intrusion.

Limites des pots de miel

Vous pensez peut-être qu'avec la présence de pots de miel, votre réseau est entièrement sécurisé. Cependant, ce n'est pas la réalité, car les pots de miel présentent plusieurs inconvénients et ne remplacent aucun mécanisme de sécurité. 

Les pots de miel ne peuvent pas détecter toutes les menaces de sécurité existantes - ce n'est pas parce qu'une menace particulière ne s'est pas infiltrée dans les failles du pot de miel qu'elle ne s'introduirait pas dans le système légitime. D'un autre côté, un pirate expert pourrait déterminer qu'un pot de miel est illégitime et s'attaquer à d'autres systèmes du réseau, sans toucher au pot de miel.

Un pirate peut également exécuter des attaques par usurpation d'identité pour détourner votre attention de l'exploitation réelle de votre environnement de production. 

Pire encore, un pirate plus innovant utiliserait le pot de miel comme moyen d'entrer dans votre environnement de production. C'est la raison pour laquelle les pots de miel ne peuvent pas remplacer d'autres mécanismes de sécurité tels que les pare-feu. Étant donné que le pot de miel peut servir de rampe de lancement pour attaquer le reste du système, vous devez prendre des précautions adéquates pour chaque pot de miel dans le réseau.

Pièges à miel dans le cadre de l'extraction de données sur le web

Il existe des pièges à miel pour éviter le "web scraping" illégal, qui n'implique qu'une poignée de "scrapers" qui grattent des informations protégées par le droit d'auteur. Malheureusement, à cause de ce petit nombre de "scrapers", les "scrapers" légitimes doivent eux aussi payer le prix à l'occasion. En effet, les pots de miel ne sont pas en mesure de distinguer les racleurs légitimes de ceux qui ne le sont pas.

Les pages web contiennent des liens auxquels seuls les robots d'exploration peuvent accéder. Ainsi, lorsqu'un crawler extrait des données de ces liens, le site web détecte une activité de crawling. Ainsi, un site web doté de pièges à miel peut facilement suivre et détecter votre activité de "web scraping", étant donné que le "scraping" à partir de ces sites est illégal. Par conséquent, votre adresse IP risque d'être bloquée et vous n'obtiendrez donc pas les données souhaitées.

Pour appâter les robots d'indexation, certains sites contenant des liens de type "honeypot" utilisent leur propriété d'affichage CSS sur none. Vous devez donc veiller à ce que votre robot suive uniquement les liens visibles. En outre, pour éviter les blocages, il est préférable de suivre les règles et les lignes directrices du site web que vous scrapez.

Conclusion

Bien que les pots de miel présentent certains risques, les avantages l'emportent certainement sur les risques, comme le montre la section relative aux limitations. C'est pourquoi les pots de miel sont un mécanisme essentiel à mettre en place lorsque vous envisagez d'investir dans la sécurité de votre organisation. Par ailleurs, veillez à ce que des professionnels compétents procèdent à l'évaluation de la sécurité et des pots de miel.