On n’attrape pas les mouches avec du vinaigre !

En novembre 2001, juste après le 11 septembre de la même année, je suis parti à un colloque aux States.

Une table ronde a pavé la route à la sécurité informatique en débâtant le fait que les attaques à circonscrire proviendraient de l’intérieur. Je pense que là, que l’on imaginait un.e employé.e qui copierait des bases de données, supprimerait des fichiers, chiffrerait d’autres fichiers ou qui infecterait les serveurs et pcs où il/elle travaillerait avec des virus inconnus, etc… Sans imaginer que bientôt on aurait à se protéger des attaques de l’intérieur ainsi que de l’extérieur, sic.

J’ai dialogué/échangé avec des gourous du monde réseaux et la notion de honeypot commençait déjà à faire son chemin. Le principe est simple, attirer des visiteurs malveillants et surveiller ce qui se trame à l’insu de l’attaquant ! D’où le honeypot ! Le vieil adage : on n’attrape pas les mouches avec du vinaigre, n’est-ce pas ?

En sécurité informatique on privilégiera un système Unix/Linux pour créer ce fameux honeypot (nous avons opté pour cowrie) et cela prend moins d’une dizaine de minutes.

Avant d’aller plus loin, nous déclinons toute responsabilité en cas de dommage à votre système. A vos risques et périls !  Vous avez été prévenus !

Prérequis :
Un Linux fiable et éprouvé. (J’ai pris openSUSE Leap 15.2)

# ip a (notez l’adresse IP)

Installer Docker

Installer Docker-compose

# systemctl start docker

# service docker start

# git clone https://github.com/cowrie/docker-cowrie/

# cd docker-cowrie

# docker-compose up

Ouvrez un autre fenêtre terminal ou un client ssh et tapez :

ssh -p 2222 [email protected]

Et tapez des mots de passe « bidon ». Et sésame s’ouvrira et toute activité sera confiné dans un journal (par exemple dans var/log/cowrie)

tail -f cowrie.json

Enfin, si le port 2222 ne convient pas, modifier docker-compose.yml et remplacer cette valeur par 3393 (par exemple).

Et un petit reboot…

Et c’est un peu effrayant de constater les tentatives d’ouverture de session, les couples user:mot de passe notamment.

Vous pouvez pousser l’aventure en créant un *vrai* sous-domaine tel que ssh ou login ou 5g ou dns ou license… et que vous exposerez sur Internet pour faire plus vrai. De préférence hébergé dans le Cloud. Voici une liste non exhaustive de quelques milliers exemples de sous domaines https://gist.github.com/Retovath/3f7936fa0b2f41e39bfc04f39b799b20

Des outils d’analyse de logs de cowrie existent sur github etc.

Et voilà !

Have a lot of fun 🙂