Rapport Honeypot

Universit Hassan 1er

Rapport de projet

HONEYPOTs

3me anne cycle dingnieurs Gnie Rseaux et Tlcommunications

Ralis par : Encadr par :

BOUKHIRA Adil Pr Y.KHAMLICHI GHAMRANE Layla HADJI Abdelhakim LOUAH Majdouline

Anne universitaire 2013-2014

1

Services Daccs

Remerciement

Nous tenons prsenter nos vifs remerciements et notre profond

respect M.KHAMLICHI qui nous a prt main forte pour

lencadrement et la ralisation de ce travail.

Ainsi, nous adressons nos remerciements tous nos professeurs,

Monsieur le Directeur ainsi qu tout le personnel de lEcole Nationale

des Sciences Appliqus Khouribga. Nous tenons aussi remercier

tous ceux qui ont contribu de prs ou de loin au bon droulement de

notre projet.

2

Services Daccs

Table des matires I. Prsentation ......................................................................................................................... 4

1. Quest-ce quun honeypot ? ............................................................................................ 4

2. Quest-ce quun exploit ? ................................................................................................ 4

3. Un peu dhistoire ............................................................................................................. 4

4. Buts recherchs ............................................................................................................... 5

a. Production .................................................................................................................... 5

b. Recherche .................................................................................................................... 5

5. Avantages et inconvnients des honeypots ..................................................................... 5

a. Avantages .................................................................................................................... 5

b. Inconvnients ............................................................................................................... 5

II. tude thorique des honeypots ........................................................................................... 5

1. Web honeypots ................................................................................................................ 6

2. Honeypots faible interaction ......................................................................................... 6

3. Honeypot moyenne interaction ..................................................................................... 7

4. Honeypots forte interaction .......................................................................................... 8

III. Mise en place des honeypots .............................................................................................. 8

1. Honeypots faible interaction : AMUN ......................................................................... 8

a. Amun.conf : ................................................................................................................. 9

b. log-mail.conf ................................................................................................................ 9

c. Start Amun ................................................................................................................... 9

2. Honeypot faible attraction : Nepenthes ...................................................................... 10

3. Comparaison entre Nepenthes et Amun ........................................................................ 12

4. Honeypots faible interaction : Pentbox. ..................................................................... 12

5. Rseaux de machine faible interaction Honeyd ......................................................... 14

a. Configuration ............................................................................................................. 15

b. Tests. .......................................................................................................................... 16

c. Conclusion : ............................................................................................................... 18

3

Services Daccs

6. Honeypot moyen attraction : Kojoney ....................................................................... 18

a. Prparation : ............................................................................................................... 18

b. Tlcharger et installer Kojoney ................................................................................ 19

7. Honeypot haute attraction : Honeynet ........................................................................ 19

IV. Dtection des honeypots ................................................................................................... 20

V. Conclusion : ...................................................................................................................... 22

4

Services Daccs

I. Prsentation

Ces dernires annes avec le dveloppement dInternet, le nombre dattaques a considrablement augment. En effet, avec linformation disponible sur la toile, un nophyte peut facilement se procurer les outils spcialiss et lancer des attaques partir de chez lui. En dehors de ces petites

attaques "pour le fun", on retrouve galement les attaques de grandes envergures menes la

baguette par des professionnels du piratage et qui sont destines obtenir des donnes

confidentielles afin den faire du profit. Ceux sont ces attaques qui sont les plus redoutes par les entreprises. Ainsi pour tre efficace face ces attaques, le monde de la scurit a ragi

rapidement et a labor de nouvelles mthodes prventives, les honeypots sont la tte de celles-

ci.

1. Quest-ce quun honeypot ? Un honeypot est une ressource volontairement vulnrable destine attirer et piger les

pirates. En pratique cest gnralement une machine, virtuelle ou non, faisant tourner ou mulant un ou plusieurs services, qui nattendent que dtre compromis par un pirate.

2. Quest-ce quun exploit ? Plusieurs termes relatifs la scurit informatique sont employs tout au long de ce rapport.

Parmi ceux-ci, on retrouve le terme exploit qui dsigne un programme malveillant utilisant un

payload particulier pour exploiter une faille de scurit dans un systme dexploitation ou un logiciel. Une exploitation russie peut conduire une lvation de privilges en local ou un

accs distant sur la machine pirate. Les failles de scurit les plus exploits sont celles des

applications web et les dbordements de tampon dans les logiciels/noyaux. La faille de type

dbordement de tampon consiste envoyer dans un tampon plus de donnes quil ne peut en contenir, si le programme est mal dvelopp il va crire les donnes en trop en dehors de

lespace mmoire alloue pour le tampon et craser des donnes essentielles (variables, saved eip) au bon droulement du programme. Le pirate peut ainsi dtourner le flot dexcution dun programme pour le placer sur un Shellcode.

3. Un peu dhistoire Lide nest pas nouvelle et peut tre attribue Bill Cheswick, un programmeur systme

spcialis dans la scurit et travaillant chez AT&T Bell. Le 7 Janvier 1991, il a commenc

jouer avec un pirate en rpondant manuellement ces requtes qui tentaient dexploiter une faille dans le dmon sendmail. Bill a alors russi lui faire croire quil avait obtenu une copie du fichier passwd qui contenait en ralit que des comptes falsifis et contrls par le programmeur

de AT&T Bell. Il a alors laiss le pirate samuser sur la machine et a tudi son comportement pendant plusieurs mois. Il a ensuite publi un papier sur ses dcouvertes.

Ce nest seulement quen 2000 que le terme honeypot a vraiment t intgr dans le monde des entreprises. En effet, cest cette poque que lon a vu le dploiement des premiers honeynets.

5

Services Daccs

4. Buts recherchs Les pots de miel sont essentiellement utiliss dans des environnements de production ou de

recherche.

a. Production

Dans un environnement de production, un honeypot est utilis pour drouter les attaques vers

des machines leurres qui simulent un rseau de production. Ce type dhoneypot ne requiert pas beaucoup de vigilance de la part de ladministrateur. Il doit uniquement surveiller les intrusions sur les machines leurres afin de sassurer que les failles exploites ne sont pas prsentes sur les machines de production relles.

b. Recherche

Cest le domaine dapplication des honeypots le plus intressant et celui qui a t trait tout au long du projet. Le rle de lhoneypot dans un environnement de recherche est dobserver les mthodes de piratage et tudier le comportement des pirates. Ce type dhoneypot est plus difficile mettre en place et requiert un suivi constant si on ne veut pas avoir de mauvaises

surprises.

5. Avantages et inconvnients des honeypots

a. Avantages

Le but dun honeypot est de capturer un pirate et/ou de loccuper pendant un certain temps,

pendant lequel il ne sattaquera pas aux vrais systmes de production. Cest dans cette optique

quil est important de rappeler que les honeypots ne sont pas une solution que lon place pour

rsoudre un problme mais un outil exploiter. Ce sont des allis trs efficaces pour les IDS et

sont des solutions trs rapides mettre en place.

Enfin, utiliser un honeypot au sein dun rseau interne dune entreprise se rvle tre un outil

redoutable pour la dtection des actes de malveillance provenant de lintrieur.

b. Inconvnients

Puisque les honeypots doivent simuler des services et des systmes utiliss par les vrais

systmes de production, ils doivent tre attractifs afin de susciter lintrt sinon il sera ignor donc par consquent inutile.

II. tude thorique des honeypots

Selon les besoins, on distingue plusieurs types dhoneypots. Cette section dcrit les types

dhoneypots les plus rpandus.

6

Services Daccs

1. Web honeypots Des dizaines dapplications web naissent chaque jour. Gnralement crites en PHP, ces

applications contiennent des bugs qui conduisent pour la plupart du temps des vulnrabilits.

"XSS", "include", "path disclosure", "file disclosure" sont des termes qui nont plus aucun secret

pour les pirates et tous les jours, des milliers de sites sont compromis grce lexploitation dune

de ces failles. Cest ainsi que lon a vu grandir les web honeypots dans le but de

contrer/comprendre/analyser ce genre dattaque.

titre dexemple, on peut citer le Google Hack Honeypot, le premier web honeypot qui

mule des applications PHP connues telles que phpbb, joomla, les rfrences ensuite dans le

moteur de recherche le plus utilis du monde et attend des attaques pour rcuprer la requte

utilise pour atteindre la fausse application. Les informations glanes peuvent tre ensuite

analyses pour localiser de nouvelles failles non publies, prvoir larrive dun nouveau ver et

le contrer comme cela a t fait pour le ver Santy qui rcuperait des sites vulnrables en

envoyant des requtes spcifiques Google qui na mis que quelques jours pour les bloquer.

2. Honeypots faible interaction Un honeypot faible interaction mule des faux services vulnrables qui par dfaut ne

rpondent aucune requte. En contrepartie, tous les paquets arrivant destination des ports en

coute sont enregistrs. Le pirate ninteragit jamais avec le systme dexploitation en lui-mme

et la scurit est ainsi conserve, si les faux services ne contiennent bien videment pas de trou

de scurit.

Ce type de pot de miel est utile pour relever des statistiques sur les services les plus attaqus.

Si le payload de lexploit se trouve dans le premier paquet envoy par le pirate alors on peut

capturer des vers, dceler de nouvelles vulnrabilits. Ils sont simples mettre en oeuvre et

administrer mais sont grandement limits dans le sens o nous navons aucune information sur le

comportement des pirates puisquils noffrent aucune possibilit au pirate dinteragir avec le

service et mme la machine.

Parmi les honeypots faible interaction les plus populaires, on retrouve honeytrap qui

coute sur tous les ports TCP non utiliss par le systme et qui loge toutes les tentatives de

connexion ainsi que les payloads utiliss. De plus un systme danalyse de payload permet

dextraire, des shellcodes connus, les excutables qui taient censs sexcuter si la faille aurait

t prsente.

7

Services Daccs

Figure 1 : honeypot faible interaction

3. Honeypot moyenne interaction Les honeypots moyenne interaction sont quune simple volution des honeypots prsents

prcdemment dans le sens o ils rpondent au pirate avec des fausses rponses qui laissent

croire au pirate que la faille est bien prsente et quelle a t exploite avec succs. Ainsi on peut

imaginer un faux serveur, lorsquil reoit une requte lgitime, il rpond avec une rponse qui

colle au protocole demand tandis que lorsquil reoit une requte avec un argument de plus de

65535 octets, il rpond pas la requte, analyse le payload qui tente dexcuter des instructions

arbitraires et lance un programme externe qui simule lattitude de ce payload, le pirate ny voit

que du feu et envoie maintenant ses donnes, qui sont loges, loutil qui simule le payload.

Nepenthes est un de ces honeypot moyenne interaction qui permet dmuler des

vulnrabilits connues dans Microsoft Windows et qui possde un analyseur de payload qui

reconnat et peut muler plus de 90% des shellcodes afin de rcuprer des vers, des

virus .

Figure2 : honeypot a moyenne interaction

8

Services Daccs

4. Honeypots forte interaction Contrairement aux deux types prcdents, les honeypots forte interaction ne sont pas bass

sur lmulation de services ou de systmes dexploitation. Au contraire, ils reposent sur un vrai

systme dexploitation ou de vritables services, vulnrables ou non, tournent et sont accessibles

aux pirates. Ainsi, la mthode dapproche est compltement diffrente puisque lon offre au

pirate la possibilit de rentrer dans le systme et de faire ce quil lui plat une fois le systme

compromis.

Le but du jeu est donc de contrler les faits et gestes du pirate sans se faire dmasquer. Cest le

type dhoneypot le plus dploy pour faire de la recherche puisque ceux sont les seuls qui

permettent de rellement dtudier le comportement des pirates et ceux sont galement les plus

difficiles administrer. Diffrentes mthodes pour contrler et capturer les donnes ont t

labores par lorganisation "The Honeynet Project" que nous allons dcrire et mettre en place

dans la section suivante.

Figure 3 : honeypots forte interaction

III. Mise en place des honeypots

1. Honeypots faible interaction : AMUN La mise en place de honeytrap, honeypot faible interaction prsent dans la section 2, ncessite

l :

Installation des packages ncessaires :

$ sudo apt-get install python-psyco python-mysqldb python-psycopg2

9

Services Daccs

Installation dAmun :

a. Amun.conf :

Dans le fichier de configuration, nous avons configur toutes les adresses IP o existe linterface

quAmun peut prendre.

Figure 4 : fichier Amun.conf

b. log-mail.conf

Pour que nous puissions recevoir un email si un nouveau programme malveillant est dtect, il

faut configurer le fichier log-mail.conf :

Figure 5 : fichier de configuration log-mail.conf

c. Start Amun

On utilise la commande suivante pour mettre en marche Amun :

$ cd ~/src/

$ wget http://downloads.sourceforge.net/project/amunhoney/amun/amun-

v0.1.9/amun-v0.1.9.tar.gz

$ tar xzvf amun-v0.1.9.tar.gz

$ cd amun/

$ cd /opt/amun/

$ sudo ./amun_server.py

10

Services Daccs

Figure 6 : lancement dAmon

Une fois Amon a collect les malwares, ils ont apparu dans le rpertoire malware/md5sum/ :

2. Honeypot faible attraction : Nepenthes Pour installer Nepenthes, on excute la commande suivante:

Cette commande permet dinstaller le paquet Nepenthes et tous les autres paquets ncessaires

Figure 7 : installation de Nepenthes

$ ls -l /opt/amun/malware/md5sum/

# apt-get install nepenthes

11

Services Daccs

Parmi les avantages de Nepenthes, ils font la collection de malwares une fois ils ont install sur

le pc. En effet, il ne ncessite pas une configuration bien spcifique. Le fichier de configuration

par dfaut est suffisant.

Figure 8 : fichier de configuration de nepenthes

Aprs cette tape, on peut accder aux fichiers log o toutes les informations sont enregistres,

laide de la commande suivante :

Voici ci-dessous un exemple de fichier log :

Figure 9 : fichier log

# gedit /var/log/nepenthes.log

12

Services Daccs

3. Comparaison entre Nepenthes et Amun

Nepenthes Amun

Honeypot faible interaction. Honeypot faible interaction.

Collecte automatique de malwares tel que les

bots.

Collecte de malwares se propageant de faon

autonome sur le rseau.

Emulation des vulnrabilits connues. Emulation des vulnrabilits des services

rseaux connues.

Extraction dinformations partir du payload dexploit puis tlchargement des malwares essayant dexploiter les vulnrabilits du rseau.

Tlchargement de payload malicieux afin de

les analyser.

Implment en c++. Implment en python et bas sur XML donc

sa maintenance et son extension de modules

sont plus faciles.

Contient les modules suivants :

Modules de vulnrabilits qui mulent des services existants comportant des

vulnrabilits.

Modules danalyse du contenu envoy par les modules de vulnrabilits.

Modules de rcupration, qui utilisent les informations reues par les modules

danalyse afin de tlcharger le malware.

Modules de chargement qui soccupent de stocker le malware.

Modules de gnration de log qui enregistrent toutes les informations

concernant lmulation.

Contient les modules suivants :

Modules de vulnrabilits.

Modules danalyse du contenu des payload.

Modules de rcupration.

Modules de tlchargement des malwares.

Soumission, des malwares analyser, vers des sandbox.

Modules de gnration de fichiers log.

4. Honeypots faible interaction : Pentbox. PenTBox est une suite de scurit qui peut tre utilis dans des missions de tests de

pntration pour effectuer une varit d'activits. Plus prcisment ces activits comprennent de

hachage de craquage, numration DNS et les tests de rpertoire HTTP brute de stress force.In

cet article nous allons voir cet outil en action et ce genre de rsultats que nous pouvons avoir.

Ce qui nous intresse dans ce package cest la possibilit de crer un honeypot.

13

Services Daccs

Lapplication ne ncessite aucune installation :

Figure 10 : package de pentbox

On tape 2 Pour choisir les outils de rseau.

Aprs avoir appuy sur la touche ENTER options d'outils de rseau s'affiche, on doit

slectionner les options de Honeypot.

Tapez le numro 3 et appuyez sur la touche Entre.

Ensuite, Nous avons configur manuellement le port ouvrir, le message qui sera affich et le

fichier de sauvegarde.

Figure 11 : configuration de port et de message affich

14

Services Daccs

Figure 12 : configuration de fichier de sauvegarde

Depuis une autre machine Backtrack, nous allons essayer daccder lautre machine avec telnet

sur le port ouvert :

Figure 13 : connexion telnet

On vrifie le fichier log :

Figure 14 : fichier log

5. Rseaux de machine faible interaction Honeyd

Honeyd est un programme open source. Cre et dvelopp par Niels Provos, Honeyd est

un programme qui sert construire des systmes faible interaction du plus simple au plus

complexe. Son avantage principal rside dans la possibilit dmuler un rseau informatique

entier, compos de diffrents systmes dexploitation virtuels qui sont capables de fournir des

services fictifs.

Une utilisation correcte dun honeypot repose essentiellement sur la rsolution et la mise

en parallle de trois problmatiques :

15

Services Daccs

la surveillance ;

la collecte d'information ;

l'analyse d'information.

Le principe du programme Honeyd est simple : lorsquun intrus essaie de se connecter

sur ladresse IP du systme mul, Honeyd se fait passer pour ce systme et commence la

communication avec lordinateur de lintrus.

Figure 15 : application honeyd

a. Configuration

Sous BackTrack5, la configuration de lhoneyd commence par la cration dun fichier de

configuration.

Figure 16: cration de fichier de configuration de honeyd

16

Services Daccs

Aprs on dite le fichier comme ci-dessous puis on lenregistre.

Fichier 17: Edition de fichier honeyd

Explication du fichier de configuration :

Nous avons cr une machine Windows : Une adresse mac et une adresse ip statique

sont attribues. Plusieurs ports ont t ouverts. On peut de mme faon ajouter dautres

machines ayant dautres adresses IP, do la notion de rseaux.

Quand lHoneyd reoit un paquet dirig lune de ces adresses, il utilisera le profil associ et

rpondra conformment sa configuration.

b. Tests.

Pour tester la configuration, on entre la commande suivante sur le terminal.

Cette commande permet de dmarrer lhoneyd :

Figure 18 : test de la configuration

$ honyed d f honeyd.conf

-f: permet de prciser le fichier de configuration.

-d: lance en mode interactif.

17

Services Daccs

On utilise la commande ping pour vrifier si notre machine Honeyd (Windows) est bien

fonctionne.

Figure 19 : test de la connexion entre 2 machines

Nous constatons que la machine honeyd est en marche et elle rpond dune manire correcte

notre ping.

On peut vrifier le fonctionnement de la machine honeyd (si elle est vivante et si les ports sont

ouverts) laide de la commande suivante :

Figure 20: vrification de fonctionnement de la machine Honeyd

$nmap 192.168.1.22

18

Services Daccs

Remarque :

Nous avons utilis deux machines BackTrack 5, lune pour linstallation et la

configuration de lhoneyd et lautre pour les tests de ping et de vrification.

c. Conclusion :

Honeyd est un honeypot trs souple. Mais lHoneyd na pas t conu pour fonctionner dans

un systme de production mais plutt dans le domaine de la recherche pour pouvoir amliorer

lavenir la scurit dun rseau.

6. Honeypot moyen attraction : Kojoney Kojoney est un honeypot moyenne interaction dvelopp en python et bas sur les librairies

rseau Twisted. Il mule un serveur SSH tournant sur un systme o les utilisateurs ont des mots

de passe faibles.

Certains pirates ont recours des scanneurs qui se connectent sur des adresses IP prises au

hasard et qui tentent une attaque par brute force sur les mots de passe, ciblant principalement les

mots de passe par dfaut ou ceux dont lutilisateur na pas fait preuve dimagination. Combien

dadministrateur cre un compte test avec comme mot de passe test pour tester le systme et

oublie de lenlever une fois le systme mis en production ?

Le logiciel enregistre dans des fichiers de log toutes les tentatives qui ont t faites ainsi que

les commandes lances par le pirate ds que celui-ci a trouv un des comptes utiliss par

Kojoney.

Kojoney est cependant trs loin dtre parfait, un pirate ayant un niveau correct et quelques

connaissances des systmes UNIX sapercevra immdiatement du pige.

Techniquement le programme ne fait que boucler sur ce que tape lutilisateur et y rpondre

quand il en est capable. Par consquent on atteint trs facilement les limites de ce faux

environnement, par exemple il est impossible de se promener ailleurs que dans la racine (/) et le

pirate ne peut pas utiliser de programmes interactifs (emacs, vim, ftp...)....

Aucune configuration nest ncessaire, nous pouvons lancer directement kojoney. Il va se

mettre en coute sur le port 22 et va enregistrer toutes les tentatives dans le fichier

/var/log/honeypot.

a. Prparation :

Tout d'abord, puisque nous voulons toujours tre en mesure de se connecter notre propre

machine, nous devons changer le port SSH par dfaut 22 autre chose :

Vous devez dcommenter la ligne "# Port 22" et changer "22" ce que vous voulez (en prendre

note), par exemple 2222.

$ vi /etc/ssh/sshd_config

19

Services Daccs

On redmarre le serveur ssh pour que le changement prenne effet:

A ce stade, on peut dconnecter notre systme et se connecter l'aide dun nouveau port.

Kojoney ncessite les packages suivants qui peuvent tre installs par la commande suivante :

b. Tlcharger et installer Kojoney

Le fichier journal cre est situ "/ var / log / honeypot.log". Kojoney a dj une liste intgre

de nom d'utilisateur et mot de passe, stocke dans / etc / Kojoney / fake_users". Si quelqu'un

pntre dans un combo trouv dans ce dossier, il a accs. Enfin, le binaire est stock "/ usr /

bin / kojoneyd".

7. Honeypot haute attraction : Honeynet Honeynet est un exemple de high-interaction honeypot. Honeynet n'est une solution logicielle

que l'on installe sur un ordinateur. Au lieu de cela, honeynet est une architecture, une entit du rseau

des ordinateurs construits pour tre attaqu. L'ide est de proposer une architecture qui cre un rseau

contrl au niveau o tous les activits sont contrles et captures.

Dans le rseau on met des ordinateurs intentionnels, ce sont les ordinateurs rels qui lancent

des applications rels. L'attaquant trouve, attaque, et entre dans les systmes proposs. Quand ils

fonts cela, ils ne prennent pas de conscience d'tre dans Honeynet. Toutes ses activits sont captures

sans aucune connaissance. Cela est fait par linsrer des modules dans le noyau du systme victime

qui capture tous les actions des attaquants. En mme temps, l'honeynet contrle les activits des

attaquants. Il le fait en utilisant un Honeywall qui dtourne le trafic vers un systme victime, et

contrle le trafic sortie en utilisant la technologie de prdiction des instructions. Cela donnera aux

attaquants une flexibilit dans l'interaction avec le systme victime, mais interdire laccs ay non-

honeynet systme.

$ /etc/init.d/sshd restart

$ yum install gcc python python-devel

$ cd /tmp

$wget

http://dfn.dl.sourceforge.net/project/kojoney/kojon

ey-0.0.4.2.tar.gz

$ tar -xvf kojoney-0.0.4.2.tar.gz

$ cd /tmp/kojoney

$ sh INSTALL.sh

$ /etc/init.d/kojoney start

20

Services Daccs

L'exemple du dploiement de honeynet est dans la figure suivante:

Figure 21 : dploiement de honeynet

IV. Dtection des honeypots

Un honeypot est ractif et rpond aux requtes du pirate. De plus la ractivit, dans le cas

des honeypots forte interaction, est totale puisque le pirate la main mise sur un vritable

systme gr de faon, suppos, inaperue de lextrieur par un bonhomme qui fait de la

scurit. Malheureusement, comme tout systme informatique, il possde des faiblesses que cette

section va tenter dillustrer.

Pour quil soit le plus attractif possible, un honeypot doit tre indtectable par un pirate.

En effet, la mise en place de pots de miel sest rpandue dans les entreprises et les pirates ont mis

en place des techniques permettant de dtecter leur prsence. Cette sous-section dcrit plusieurs

mthodes qui auraient pu tre mise en place par un pirate pour sapercevoir quil est dans un

rseau leurr.

Commenons avec les pots de miel faible et moyenne interaction qui sont faciles dtecter

pour un humain, le camouflage ntant pas une priorit dans le sens o ces honeypots sont

destins piger les programmes automatiss tels que les vers ou les mass rooter plutt que les

pirates.

21

Services Daccs

Par exemple :

Nepenthes

La dtection de nepenthes peut se faire en essayant dexploiter deux failles touchant deux

versions de Windows diffrentes, si les deux russissent alors il est fort probable quun

nepenthes se cache derrire la machine.

Kojoney

La dtection de Kojoney peut se faire en jouant avec des caractres spciaux tels que le

C ou le D qui dans le read() de python nont pas la mme attitude que dans le read() du vrai

serveur ssh. En plus de ces diverses anomalies dans linterprteur, on peut galement visualiser

la clef publique envoye par le serveur ssh pour dtecter un kojoney sachant quil utilise toujours

la mme clef.

22

Services Daccs

V. Conclusion :

travers ce projet, tous les intrts que peuvent prsenter la mise en place de pots de

miel dans un rseau informatique ont t mis en avant. Les pots de miel sont les outils idaux

pour tudier le comportement, les tactiques et les motivations des pirates informatiques et ainsi

se prmunir efficacement des attaques de ces derniers.

Il faut cependant garder lesprit que les honeypots visent attirer les pirates sur son

rseau informatique et que la dcision de dployer ce genre de rseau leurr ne doit pas tre prise

la lgre. Les objectifs doivent tre clairement dfinis car ils reprsentent un outil trs efficace,

leurs configurations et leurs manipulations restent trs dlicates et une erreur peut se rpercuter

sur le rseau de production.

Mme si les pots de miel sont encore assez jeunes et rservs aux experts de la scurit,

ils reprsentent dores et dj une technologie trs prometteuse dans la lutte contre la

cybercriminalit.