On appelle cela un « pot de miel »… c’est un piège à pirates. Mais parfois, il est un peu grossier, ou du moins trop visible!
Honeyd, développé par Niels Provos, permet de mettre en place un puissant « pot de miel », un piége à pirates. Le rôle de Honeyd est d’émuler n’importe quel service, n’importe quel type de « stack » IP et de ‘monitorer’ en temps réel les connexions sur le serveur host virtuel ainsi créé.
En simulant ainsi une machine possédant des services vulnérables et connectée à Internet, Honeyd permet de récupérer des statistiques sur les attaques, de détourner l’attention de pirates, ou d’étudier l’exploitation de nouvelles failles.
Ironiquement, ce piége à pirate n’est pas vacciné contre les vulnérabilités. Un ‘bug’ dans la gestion des réponses renvoyées lors d’une prise d’empreintes TCP avec Nmap (*) permet de mettre en évidence la présence de Honeyd sur une machine et donc d’avertir le pirate de la présence du piége !
Les versions de Honeyd inférieures à la 0.8 sont concernées par ce problème: si vous utilisez Honeyd, il vous faut installer la version 0.8 qui corrige le défaut.
___
(*) Chaque système d’exploitation (OS)possède une stack ou « pile » IP qui lui est propre. En prennant ses empreintes (c’est à dire en étudiant son comportement quand on l’interroge), on peut en déduire, à distance, le type d’OS et sa version: c’est, en anglais, l' »OS Finger Printing ». Nmap est un célèbre utilitaire qui permet, entre autres, de faire cet « OS fingerprinting » (http://www.insecure.org/nmap) mais sa vocation première est le « scan » de ports et l’identification des services à distance.
[source – Silicon.fr] Aurélien Cabezon, Vulnerabilite.com ©