La société de cybersécurité Kaspersky, dans un article daté du 15 octobre, met en avant une histoire de malware se rapportant aux équipements réseaux de toutes sortes. On y cite le terme IoT (Internet of Things – Internet des objets). Dans mon esprit tout ce qui était IoT jusque-là était des nouveaux objets connectés : machines-outils, lave-vaisselle, cuisinière, caméras, capteurs de toutes sortes, téléviseurs, montres, etc. Mais je peux comprendre qu’un équipement réseau « ancien », un routeur par exemple, est un objet et comme il est connecté à l’Internet il fait aussi partie de cette catégorie.

Ceci précisé, Kaspersky signale que, depuis 2008, les cybercriminels ont créé des malwares pour attaquer les périphériques IoT. Des statistiques sont disponibles sur les liens suivants:

Que faire contre ces menaces ? Se cantonner dans une attitude de crainte en espérant que nos équipements résistent ou alors, résolument, prendre le taureau par les cornes et attaquer l’attaquant ?

Kaspersky parle d’ « honeypots » ou pots de miel comme étant la meilleure option pour traquer les attaquants.

Un pot de miel est un équipement qui peut être compris dans trois catégories distinctes : soit il simule un ou plusieurs services, par exemple Telnet, SSH ou un serveur web, soit il simule un véritable serveur, soit il est configuré entre ces deux extrêmes. Le but étant toujours de faire croire à un attaquant qu’il est en train de compromettre un système de production alors qu’il est englué dans un pot de miel avec des outils en action pour le pister et le mettre hors d’état de nuire.

Construire un pot de miel ?

Des logiciels « pots de miel » open-source existent et les plus populaires sont Cowrie et Dionaea. Ils font partie de la troisième catégorie (décrite ci-dessus), les pots de miel entre le « low- » et le « high-interaction ». Kaspersky a créé, pour ses propres besoins, un quatrième type.

Mettre en place un pot de miel n’est pas sans risque et des mesures de sécurité importantes doivent être prises. Il ne s’agit pas simplement de laisser patauger l’assaillant dans un système qui peut se révéler vulnérable et servir de base d’attaque pour d’autres équipements du réseau. Il sera nécessaire de définir, en particulier, quelles activités doivent être contrôlées, quelles seront les données collectées et ce qui sera fait de celles-ci.

Adresses IP entre utilisateurs domestiques et sociétés

Pour les hackers il s’agira au préalable de repérer si les réseaux auxquels ils s’attaquent appartiennent à des sociétés ou à des particuliers. A priori il n’y a pas d’intérêt à s’attaquer à des particuliers.

Utilisation de la même adresse IP pendant longtemps

Les réseaux de zombies sont utilisés aussi pour surveiller et détecter les pots de miel. Ainsi, après un certain temps, les adresses IP publiques sur lesquelles ont été signalées des « honeypots », subiront moins d’attaques. Ces listes d’IP peuvent se retrouver, plus tard, en vente sur les marchés darknet.

Empreinte digitale des pots de miel

Pour détecter s’ils ont affaire à des « honeypots » standards les malwares utilisent des commandes spécifiques qui ne sont pas toujours émulées par les pots de miel. De plus ils changent constamment de méthodes de détection. Une famille de malwares, par exemple, lit le contenu de /proc/cpuinfo sur un système Linux, qui leur donnera le type de processeur et la famille. De multiple déploiements de Cowrie utilisent la même architecture de processeur.

Faire face à de lourdes charges de temps machine

Les ports des ordinateurs ou des périphériques sont des portes d’entrée dans ces systèmes. Laisser des ports standards ouverts sur l’Internet, comme FTP sur le 21, SSH ou SFTP sur le 22. Telnet sur le 23. http sur le 80 ou encore https sur le 443 constitue une attraction quasi immédiate pour des attaquants. Des connexions issues d’ordinateurs infectés (les bots) vont essayer de pénétrer les systèmes pour les infecter à leur tour. Et plus les connexions à ports ouverts durent, plus le nombre de « bots » augmentera et plus les chances de piratage réussi seront élevées. L’article sur Kaspersky signale que, pour une adresse IP statique qui fait tourner un même service plus que 12 mois, le taux d’infection représenté par le nombre de sessions essayant d’infecter un de leur pot de miel avec des malwares passait à environ 4000 toutes les 15 minutes.

Un nombre important de connexions génère une charge considérable sur le réseau et sur les « honeypots ». Kaspersky a noté que Cowrie, le logiciel open-source, peut traiter environ 10000 sessions simultanées par instance. Et pour des valeurs plus hautes la solution consiste à miser sur un équilibre de charges, avec de multiples sessions Docker.

Enfin, Kaspersky note que, jusque-là, ils ont collectés, en plus d’un an dans leur environnement de production, des données sur plus de 50 pots de miel disséminés de par le monde. Les résultats montrent 20000 sessions infectées toutes les 15 minutes. Pour plus de détails voir dans l’article les tableaux issus des données agrégées.

Pots de miel comme service – Honeypots-as-a-Service

Kaspersky, en tant que compagnie de cybersécurité, a besoin d’élargir son parc de machines « honeypots » pour collecter et analyser le plus d’informations possibles sur les nouvelles infections.

Comme dit déjà plus haut, la solution provient des conteneurs Docker. En proposant des images Docker qui peuvent tourner sur des Raspberry PI, Kaspersky souhaite faire en sorte que beaucoup de sociétés disposant d’IPs non utilisées rejoigne les partenaires déjà en place.

En cas d’intérêt à ce partenariat on peut contacter honeypots@kaspersky.com.

On s’intéressera enfin, en appendice de l’article, à des listes d’utilisateurs et de mots de passe avec un comptage.

Jean-Maurice Burri
Octobre 2019

Besoin de conseils en matière de sécurité informatique ?