Le vrai titre est l’art du leurre.

Si vous avez ouvert ce post en pensant que vos envies de gastronome allaient être satisfaites, vous vous êtes fait avoir.

Le cybercriminel en fera de même avec sa cible. Il se connectera sur une machine qu’il pense intéressante, il mènera quelques opérations et n’agira au final que dans un espace d’observation ou un espace préparé pour le leurrer. En anglais, cette technique se nomme le honeypot, le pot de miel. En bon français de France, on dit bien qu’on n’attrape les mouches avec du vinaigre. En bon américain d’outre-Atlantique, les vilaines bébêtes se choppent avec du miel.

Remarque

Cette technique n’est pas récente, elle n’est pas née dernièrement suite aux attaques de plus en plus omniprésentes dans l’information que diffusent nos médias. Cependant, elle ne figure pas en première ligne des possibilités pour se défendre contre le cybercriminel. Est-ce le lobbying des éditeurs d’antivirus qui fait obstacle ? Non. Pourquoi ceux-ci ne proposent-ils pas de honeypot pour les serveurs ou les postes de travail ? Trop compliqué à élaborer ? Non. Donc ?

Certains argumenteront cette absence en évoquant la Loi. Ce petit article de loi qui insinue que si vous mettez en place un honeypot, ce dernier peut être considéré comme une incitation au crime.

Comme si un chemin lumineux conduisait à votre porte d’entrée et qu’un panneau clignotant indiquait que la porte est ouverte et que derrière, le salon est plein de bonnes choses à voler. En vérité, derrière la porte se trouve une fosse au fond de laquelle quelques crocodiles anorexiques attendent le pauvre voleur naïf.

Voilà bien une manière de retourner la situation. L’art de transformer le coupable en victime.

Difficile de penser que cet argument puisse peser à ce stade du XXIe siècle où l’Internet des objets prend son essor et que sous peu, votre smartphone vous préviendra que votre four vous signale que votre cake est cuit, que votre placard vous annonce qu’il a recommandé de la farine et du sucre, que votre frigidaire vous informe qu’il a opté pour un beurre allégé afin de préserver votre santé, car il a été averti par votre montre que vous aviez un taux de cholestérol en légère hausse.

Ça existe déjà, c’est juste que Darty ne nous inonde pas encore de publicité pour nous le vendre.

C’est juste aussi qu’on vit dans un monde où enfin on se décide à annoncer clairement que le WiFi est une passoire à exploits en termes de sécurité et qu’il serait difficile d’un point de vue marketing de survivre à un retour client qui se plaindrait que le cake a fini carbonisé dans le four et qu’en lieu et place des 250 grs de beurre attendu par drone, il fut livré une tonne de fumier frais déposé devant la porte à 5 heures du matin.

C’est, de même, que les constructeurs et les éditeurs reconnaissent que hardware et software ne suffisent pas à combattre efficacement la cybercriminalité qui se targue à juste titre d’avoir toujours une bonne longueur d’avance sur la sécurité informatique. On se tourne vers l’humain pour annoncer que 70% des incidents de sécurité sont dus à de sombres imbéciles qui ouvrent leurs pièces jointes et cliquent frénétiquement sur des liens frauduleux. Que ces mêmes handicapés du bulbe gravent au marqueur indélébile leur mot de passe trop faible au dos de leur portable.

Alors, pourquoi ne trouve-t-on pas du honeypot sur le marché comme on trouve de l’antivirus à gogo ?

NO

P

C

Q

E

J

Voici pêle-mêle quelques raisons envisageables.

Le honeypot est une technique efficace, mais si elle devient grand public, elle perdra de son efficacité, car les hackers trouveront des solutions pour détecter le piège et ne pas tomber dans la gueule d’un crocodile anorexique. Et si c’était la dernière arme qui reste pour étudier les nouvelles formes d’attaques et les contrer ?

Une petite histoire pour argumenter cette hypothèse.


Un employé d’une société de sécurité, éditeur d’un antivirus, travaillait sur un virus écrit en JavaScript et contenu dans une image d’un pixel sur un pixel. Il essayait de faire en sorte que le virus s’active pour étudier son action et voir comment réagir. Mais le virus faisait le mort. Même un système défaillant ne le mettait pas en appétit. L’employé se décida à rentrer chez lui… avec le virus sous le bras. C’est sur son PC personnel qu’il se mit à travailler et là, oh surprise, le virus se déclencha comme la foudre tombe par chez nous. Le misérable petit bout de code prisonnier d’un pixel blanc au format GIF savait qu’il était dans les locaux d’une entreprise de sécurité et qu’il valait mieux pour lui ne pas donner signe de vie. Admirable.

Les virus savent déterminer s’ils se trouvent dans un bac à sable, un espace protégé, à part, où aucune action ne peut porter préjudice au système. Ils savent déterminer qu’ils sont dans un laboratoire de la côte pacifique. Ils sauront donc déterminer qu’ils sont aux abords d’un honeypot et ils l’éviteront soigneusement.


Voilà pourquoi cette technique ne doit pas devenir grand public, car l’industrie mafieuse qui fait de nos données une monnaie d’échange s’empresserait de la décortiquer et il en serait fini des derniers remparts défendant la Maison-Blanche ou le Kremlin.

Ça se tient comme raison, même si ça sent un peu la théorie du complot à la sauce fin du monde.

Que pourrait-on subodorer de plus ?

Des honeypots, il y en a.

Partout dans le monde, des centaines de milliers de pièges à pirate informatique sont actifs jours et nuits. Mais, comme la techno n’est pas à la portée du vulgus pecum, elle est le luxe de la multinationale ou de l’administration qui profite de ses crédits issus de nos impôts.


Des sociétés informatiques spécialisées dans la sécurité font du profit en vendant très cher ce type d’astuce à des boîtes paranoïaques qui déboursent sans compter. Un petit expert en sécurité demande 1 200 euros la journée pour s’intéresser à nos faiblesses. Un expert reconnu multiplie la note par 3.


Partout sur le web, on trouve des articles sur Metasploit, arsenal technique en mesure de mener des attaques comme un vrai hacker, mais uniquement pour mettre en lumière les failles d’un système informatique. On dit Metasploit gratuit, cependant tous les liens finissent sur le site de l’éditeur et les tarifs de la licence de base dépassent les 4 000 euros. Bien sûr, le monde évolue et on compte bien revoir l’acheteur l’année prochaine pour la nouvelle version qui inclut les nouvelles menaces.


L’heure d’un honeypot gratuit n’est pas venue, car il y a encore beaucoup de millions à se faire dans le domaine de la sécurité réservée aux riches. Tant que la Mercedes se vend, pourquoi commercialiser de la Volkswagen ?


Ça se tiendrait presque aussi comme raison.


Ensuite, une autre supposition à deux balles ?

Oui. La discrétion.


La sécurité est une affaire de discrétion. Le faussaire qui fabrique des passeports mieux que l’administration en charge et plus vite (2 jours au lieu de 3 semaines) pour à peine 3 000 euros de plus ne va pas le crier sur les toits. Le spécialiste en sécurité qui sait mettre en place des honeypots comme d’autres accrochent des rideaux n’a pas envie de publicité.


Sa technologie ne doit pas devenir un produit nommé, et encore moins renommé. Le crocodile anorexique sous les feux de la rampe aurait tôt fait de se voir servir de la truie grassouillette pour satisfaire ses appétits. La digestion entamée, le hacker n’aurait plus rien à craindre de la mâchoire et des crocs du reptile.

L’heure du lard a sonné.

Si le honeypot vous tente pour vous protéger, contactez un prestataire qui semble s’y entendre, n’en parlez à personne, même sur l’oreiller, même saoul comme un Polonais, même sous la torture.

 A défaut, mettez des clous de girofle sur votre table de camping et disposez des bols avec du sirop d’agave aux endroits stratégiques. Les guêpes devraient s’occuper un peu moins de votre poulet rôti et de vos grillades.
Le honeypot le plus réputé est le site web de Vladimir Poutine, cible privilégiée des hacktivistes, bureau d’études des services de sécurité russe.