/Rectangle%20239.png?width=13&height=13&name=Rectangle%20239.png){kind=small}
Imaginez une souricière, où un petit morceau de fromage est soigneusement placé pour attirer "l'ennemi", le distraire et l'empêcher d'atteindre la vraie nourriture. Saviez-vous que ce même principe peut être appliqué à la cybersécurité ? Dans ce scénario, la souris est un cyberattaquant et le fromage pourrait être un fichier contenant de fausses informations sensibles. C'est ce que nous appelons la technologie de tromperie.
Utilisée comme stratégie pour détourner les cybercriminels des véritables actifs d'une organisation, la technologie de tromperie est, à la base, une approche de détection et de réponse aux incidents. Notre ingénieur en cybersécurité Raphaël Cossec explique : “La technologie de tromperie ne vise pas à empêcher l'attaquant d'entrer dans le réseau de l'organisation. Il/elle est déjà à l'intérieur. Nous utilisons un leurre, qui peut être un faux fichier contenant, par exemple, les informations de connexion d'un utilisateur, pour attirer l'attaquant et détecter si cette connexion est tentée. Nous pouvons alors recueillir des informations pertinentes comme les indicateurs de compromission (IOC), comment il/elle se comporte, quels types d'attaques sont déployés, afin d'identifier chaque appareil où ce comportement se produit”, explique-t-il.
Ces leurres, ou appâts, peuvent également prendre la forme de serveurs, de bases de données, ou même d'applications. L'important est que l'attaquant perde du temps sur des actifs non pertinents, croie avoir infiltré le système de l'organisation et exécuter des cyberattaques dommageables, alors qu'en réalité il n'y a aucun impact sur l'infrastructure ou les opérations de l'entreprise.
Pourquoi la technologie de tromperie est-elle importante ?
"La logique derrière cette technique est qu'aucune entreprise n'est parfaitement protégée. L'objectif est de fournir une sécurité en profondeur et de repérer un cyberattaquant beaucoup plus rapidement", affirme Raphaël. Néanmoins, elle ne se suffit pas à elle-même – elle doit être complémentaire à des services de sécurité plus proactifs et préventifs.
Les principaux avantages de la mise en œuvre de la technologie de tromperie sont :
- Détection précoce des menaces
Les attaquants qui pourraient passer inaperçus jusqu'à ce que des dommages soient causés peuvent être détectés beaucoup plus rapidement avec la technologie de tromperie, avant qu'ils n'aient la chance de nuire à l'organisation. - Meilleure intelligence des menaces
C'est un moyen efficace d'obtenir des renseignements sur des cyberattaques et des attaquants spécifiques, qui peuvent être utilisés ultérieurement contre eux et être transformés en leçons pour l'avenir. - Faux positifs minimisés
Comme la technologie de tromperie est très ciblée, et que seuls les cyberattaquants ont des raisons d'interagir avec les leurres, les équipes de sécurité ont beaucoup moins de faux positifs à gérer. Avec des méthodes de détection plus traditionnelles, les experts en sécurité finissent par perdre beaucoup plus de temps à analyser de fausses alertes. - Réponse aux incidents améliorée
Pendant que les attaquants interagissent avec les fichiers appâts, les équipes de réponse aux incidents utilisent ce temps précieux pour se préparer, recueillir des informations et répondre plus efficacement à ces menaces. - Avantage psychologique
Lorsque les attaquants sont conscients qu'une organisation utilise la technologie de tromperie, ils peuvent choisir de ne pas la cibler, en raison du risque d'exposition et de ressources gaspillées.
Quelles cybermenaces peuvent être détectées ?
"Selon la maturité et la configuration de la technologie, elle peut détecter quelque chose de très simple à très complexe et aller de la détection d'un seul attaquant moins expérimenté à un attaquant plus habile, ou même un groupe organisé", assure Raphaël.
Parmi les cybermenaces les plus répandues affectant les entreprises de nos jours, que la technologie de tromperie peut détecter, on trouve :
- Vol d'identifiants
La technologie de tromperie peut facilement prendre sur le fait les attaquants qui tentent de voler ou d'utiliser abusivement les identifiants des utilisateurs actifs. - Mouvement latéral
Les attaquants qui réussissent à entrer dans le système d'une organisation essaient souvent de se déplacer latéralement, de propager leur attaque à travers le réseau et d'endommager d'autres actifs critiques. Avec la technologie de tromperie, ils tombent souvent dans des pièges et sont détectés tôt dans le processus. - Déploiement de malwares/ransomwares
Les logiciels malveillants déployés par un attaquant tenteront de se propager à d'autres appareils dans l'organisation. Ils sont attirés vers l'environnement de tromperie, qui déclenchera alors une alerte à l'équipe de sécurité.
Quels types de technologie de tromperie existent ?
Le type le plus populaire est le honeypot (pot de miel) qui, explique Raphaël, "à un moment donné était synonyme de technologie de tromperie, car c'était la seule technique existante". Les honeypots sont, plus ou moins, ce que nous avons décrit jusqu'à présent : des systèmes, serveurs ou appareils leurres conçus pour imiter de vrais actifs et attirer les attaquants, permettant une détection précoce et une analyse de l'activité malveillante.
Ils sont beaucoup plus complexes aujourd'hui qu'auparavant, car ce ne sont plus seulement des actifs statiques uniques attendant d'être utilisés, mais des environnements factices entiers capables d'interagir entre eux.
"Et maintenant", développe notre ingénieur en cybersécurité, "il existe plus de solutions de tromperie, qui sont, en fait, issues du terme générique 'honeypots'". En voici quelques-unes qui méritent d'être mentionnées :
- Honey users
Faux comptes d'utilisateurs, généralement créés dans l'Active Directory de l'organisation (et affinés avec un nom/description accrocheur), qui peuvent attirer les attaquants essayant d'appliquer une technique de devinette de mot de passe. Ces comptes ne sont jamais utilisés à d'autres fins que celle-ci, ni associés à de vrais utilisateurs. - Honey credentials
Faux noms d'utilisateur et mots de passe stratégiquement placés là où les attaquants sont susceptibles de chercher (par exemple : e-mails ; lecteurs partagés). Si ces identifiants sont utilisés pour l'authentification, les équipes de sécurité sont notifiées. - Honeynets
Un réseau de honeypots interconnectés, utilisé par les équipes de sécurité pour étudier comment les cyberattaquants travaillent à plus grande échelle. Comme ils peuvent simuler des segments entiers de réseau, ils peuvent être particulièrement utiles pour détecter les mouvements latéraux. - Pièges à miel composés
Il peut également y avoir des possibilités composées qui incluent de faux ordinateurs plantés dans l'environnement, favorisant un haut niveau d'interaction (faux Windows, Linux, ou autres) ; des miettes comme des fichiers pour attirer l'attaquant (par exemple : faux identifiants dans un fichier 'txt', faux fichiers RDP (Remote Desktop Protocol), ou autres) ; un faux réseau reliant le tout ; et une console pour centraliser toutes les informations.
La technologie de tromperie pour les petites entreprises vs. les grandes entreprises
Même si elle est plus conseillée pour les entreprises matures, les organisations de toutes tailles peuvent investir dans la technologie de tromperie. Cependant, la façon dont elle est mise en œuvre peut varier, selon Raphaël Cossec : "Dans les petites organisations, il est plus facile d'implémenter manuellement un faux compte ou un ensemble de faux fichiers. C'est aussi beaucoup moins coûteux. Pour les grandes organisations, il existe différentes possibilités et outils, selon ce qu'elles veulent traiter. Imaginons une organisation qui veut protéger des serveurs ou des points finaux : alors un produit comme Acalvio est une bonne solution", exemplifie-t-il.
Actuellement, comme il s'agit d'une technologie très ciblée et techniquement exigeante, il n'est pas possible d'obtenir une couverture à 360º de tous les actifs. Donc, si votre entreprise cherche à protéger plus d'un périmètre, la clé est d'opter pour un mix de solutions, selon la taille de l'organisation. "Habituellement, la meilleure stratégie est de choisir la partie la plus importante de l'entreprise à protéger et d'utiliser la technologie de tromperie à cette fin spécifique", conseille Raphaël.
Quels sont les risques et les défis ?
Le plus important concerne la maturité de l'entreprise. "L'organisation doit être claire sur ce qu'elle veut protéger, et comment elle veut le protéger, car il n'y a aucune garantie de couverture à 100% de chaque actif. Disons que vous avez 100 000 actifs : ils doivent tous être connectés au même leurre, donc la configuration va prendre beaucoup de temps, et chaque solution doit être en quelque sorte faite sur mesure. Il est donc très important que les organisations soient assertives et alignées avec les possibilités de cette technologie dès le départ", souligne notre ingénieur. En moyenne, et à titre indicatif uniquement, une solution artisanale peut prendre 1-2 ans à être mise en œuvre, tandis qu'une solution déjà existante peut prendre 4-5 mois.
Il y a aussi des aspects éthiques et moraux à considérer. Une étude récente sur les préoccupations éthiques liées à la cyber-tromperie souligne que "bien qu'il soit généralement accepté que les organisations aient le droit de se défendre contre les cyberattaques, l'utilisation de techniques de tromperie comme les honeypots peut être considérée comme injuste ou contraire à l'éthique. On peut arguer que cela manipule l'attaquant pour qu'il prenne une action qu'il n'aurait peut-être pas prise autrement".
Notre expert est d'accord mais souligne que "la technologie de tromperie est un sujet assez nouveau, il est donc naturel qu'aucune ligne directrice stricte ne soit encore définie". Mais encore une fois : avoir des principes éthiques plus convenus, ainsi que des règles et réglementations établies, est un défi plus large pour le cyberespace dans son ensemble.
