Les "HoneyTokens"
Date : 22 Juin 2005
Cela fait plusieurs années déjà que le concept d'honeypot s'est popularisé. Le principe est de mettre en place une machine "attirante" (par exemple, volontairement rendue vulnérable) pour détecter et/ou observer les pirates qui s'y attaquent. Ce "pot de miel" (traduction littérale de "honeypot") et aussi plus formellement désigné sous le terme de "victime sacrificielle".
Lance Spitzner (l'un des fondateurs du projet "honeynet" : http://www.honeynet.org) a décrit plus récemment une nouvelle variante du "honeypot", le "honeytoken", dont le principe est en fait d'étendre la notion de leurre aux données applicatives.
Au lieu de raisonner en terme de machine, Lance Spitzner propose en effet de raisonner au niveau plus élémentaire de la donnée. Par exemple, si l'on crée volontairement dans une base de données une table "PASSWORD", il est fort probable qu'un pirate ayant pris le contrôle de la base de données sera très intéressé par la lecture de cette table. Surveiller les accès à cette table fictive (cette table contient de fausses informations) permet donc de détecter des agissements suspects. Un des intérêts de ce type de détecteur est qu'il est très simple à mettre en place (et peu coûteux). On peut aussi multiplier à l'infini ce type de piège, par exemple :
Créer un faux dossier médical (pour un patient connu) dans une application "santé" et surveiller la transmission de ce dossier au niveau réseau,
Introduire de faux fichiers "numéros de cartes de crédits" dans une application de commerce en ligne.
Cette approche nous paraît intéressante. Cependant, certains points (non évoqués dans l'article de Spitzner) peuvent selon nous devenir problématiques :
En mélangeant ainsi des leurres avec des données réelles, il y a un risque (si ce modèle se multiplie à divers endroits) qu'une certaine confusion apparaisse : qui sait que les leurres existent ? qui les gère ? ne risque-t-on pas un jour d'oublier qu'un leurre est présent (et de le traiter comme une donnée réelle) ?
Des faux positifs peuvent exister. Par exemple, une simple opération de sauvegarde de la base (ou n'importe quelle opération globale sur les données) ne risque-t-elle pas de déclencher une alerte (la donnée "leurre" sera en effet elle aussi sauvegardée).
Des questions se posent enfin quant à la légalité de l'approche : l'introduction de fausses données dans certaines applications (applications manipulant des données nominatives) est-elle légale ? Les utilisateurs légitimes ne peuvent-ils pas se plaindre d'être espionnés, ou exposés à des mécanismes de piégeage sans avoir été informés ?
Pour plus d'information
Article de Lance Spitzner présentant les "Honeytokens" : www.securityfocus.com/infocus/1713