IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

IdO : une expérience de pot de miel de trois ans mettant en scène des dispositifs simulés à faible interaction de divers types donne une idée claire sur les objectifs des attaquants

Le , par Sandra Coret

27PARTAGES

7  1 
Une expérience de pot de miel de trois ans mettant en scène des dispositifs IdO simulés à faible interaction de divers types et emplacements donne une idée claire des raisons pour lesquelles les acteurs ciblent des dispositifs spécifiques.

Plus précisément, le pot de miel était destiné à créer un écosystème suffisamment diversifié et à regrouper les données générées d'une manière qui détermine les objectifs des attaquants.

Les appareils IdO (Internet des objets) constituent un marché en plein essor qui comprend de petits appareils connectés à Internet tels que des caméras, des lampes, des sonnettes, des téléviseurs intelligents, des capteurs de mouvement, des haut-parleurs, des thermostats et bien d'autres encore.

On estime que d'ici 2025, plus de 40 milliards de ces appareils seront connectés à Internet, fournissant des points d'entrée sur le réseau ou des ressources de calcul qui peuvent être utilisés pour le minage de crypto-monnaie non autorisé ou dans le cadre d'essaims DDoS.

Préparer le terrain

Les trois composants de l'écosystème du pot de miel mis en place par les chercheurs du NIST (National Institute of Standards and Technology) et de l'Université de Floride comprenaient des fermes de serveurs, un système de contrôle et une infrastructure de capture et d'analyse des données.

Les chercheurs ont configuré leurs instances pour qu'elles apparaissent comme de véritables dispositifs sur Censys et Shodan, deux moteurs de recherche spécialisés dans la recherche de services connectés à Internet.

Les trois principaux types de pots de miel étaient les suivants :

  • HoneyShell - Émulation de Busybox
  • HoneyWindowsBox - Émulation de périphériques IdO fonctionnant sous Windows
  • HoneyCamera - Émulation de diverses caméras IP de Hikvision, D-Link et d'autres appareils.



Un élément nouveau dans cette expérience est que les pots de miel ont été ajustés pour répondre au trafic et aux méthodes d'attaque des attaquants.

Les chercheurs ont utilisé les données collectées pour modifier la configuration et les défenses de l'IdO, puis recueillir de nouvelles données reflétant la réponse de l'acteur à ces changements.

Les résultats

L'expérience a généré des données provenant de 22,6 millions d'accès, la grande majorité ciblant le pot de miel HoneyShell.


Les différents acteurs présentaient des schémas d'attaque similaires, probablement parce que leurs objectifs et les moyens de les atteindre étaient communs.

Par exemple, la plupart des acteurs exécutent des commandes telles que "masscan" pour rechercher les ports ouverts et "/etc/init.d/iptables stop" pour désactiver les pare-feu.

En outre, de nombreux acteurs exécutent les commandes "free -m", "lspci grep VGA" et "cat /proc/cpuinfo", qui visent toutes trois à collecter des informations matérielles sur le périphérique cible.

Il est intéressant de noter que près d'un million d'occurrences ont testé la combinaison nom d'utilisateur-mot de passe "admin / 1234", ce qui reflète une surutilisation des informations d'identification dans les appareils IdO.

En ce qui concerne les objectifs finaux, les chercheurs ont constaté que les pots de miel HoneyShell et HoneyCamera étaient principalement ciblés pour le recrutement de DDoS (attaque par déni de service) et étaient souvent également infectés par une variante de Mirai ou un monnayeur.

Les infections par des mineurs de pièces étaient l'observation la plus courante sur le pot de miel Windows, suivies par les virus, les droppers et les chevaux de Troie.


Dans le cas de la HoneyCamera, les chercheurs ont intentionnellement créé une vulnérabilité pour révéler des informations d'identification et ont remarqué que 29 acteurs se sont engagés à exploiter la faille manuellement.


"Seules 314 112 (13 %) sessions uniques ont été détectées avec au moins une exécution de commande réussie à l'intérieur des pots de miel", explique le document de recherche.
"Ce résultat indique que seule une petite partie des attaques ont exécuté leur étape suivante, et que le reste (87 %) a uniquement essayé de trouver la bonne combinaison nom d'utilisateur/mot de passe."

Comment sécuriser vos appareils

Pour empêcher les pirates de prendre le contrôle de vos appareils IdO, convient de suivre ces mesures de base :

  • Changez le compte par défaut en quelque chose d'unique et de fort (long).
  • Configurez un réseau distinct pour les appareils IdO et gardez-le isolé des actifs critiques.
  • Veillez à appliquer toute mise à jour de firmware ou autre mise à jour de sécurité disponible dès que possible.
  • Surveillez activement vos appareils IdO et recherchez les signes d'exploitation.


Plus important encore, si un appareil n'a pas besoin d'être exposé à Internet, veillez à ce qu'il soit situé derrière un pare-feu ou un VPN pour empêcher tout accès à distance non autorisé.

Source : Arxiv

Et vous ?

Que pensez-vous des résultats de cette expérience ?
Qu'en est-il des appareils IdO que vous utilisez ? sont-ils fréquemment attaqués ? les attaques aboutissent-elles ? quel type d'appareil est le plus souvent cible d'attaques ?

Voir aussi :

IdO : Le Royaume-Uni prévoit d'adopter une loi visant à interdire les mots de passe universels par défaut, les entreprises ne répondant pas aux nouvelles normes risquent de lourdes amendes

Des jouets sexuels intelligents populaires contiennent des vulnérabilités qui pourraient compromettre la confidentialité des images intimes, qu'un utilisateur partage avec un autre, selon ESET

Une cafetière connectée hackée exige une rançon si le propriétaire veut qu'elle fonctionne correctement, un chercheur espère que cette démonstration va souligner les menaces liées à l'IdO

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de tabouret
Membre éclairé https://www.developpez.com
Le 05/01/2022 à 15:25
En gros un serveur totalement déconnecté du réseau ou tu laisses les attaques informatiques se déroulées normalement (mais avec un audit drastique pour une analyse approfondie, audit qui doit être le plus discret possible pour éviter de dévoiler qu'il s'agit d'un honeypot). C'est très instructif pour un ingénieur sécurité ou pour des groupes de recherche pour les failles 0-day notamment.
4  0 
Avatar de tabouret
Membre éclairé https://www.developpez.com
Le 05/01/2022 à 14:15
Citation Envoyé par Rolllmops Voir le message
... c'est quoi un "pot de miel" ?
www.google.fr
1  0 
Avatar de Zedite
Membre à l'essai https://www.developpez.com
Le 05/01/2022 à 14:57
Bonjour je te laisse un lien vers un wiki :

https://fr.wikipedia.org/wiki/Honeypot
1  0 
Avatar de Rolllmops
Membre habitué https://www.developpez.com
Le 05/01/2022 à 15:01
Merci. Pas facile à comprendre quand on ne sait pas ce que c'est, même en tapant "honeypot experience" en anglais on ne tombe que sur une plateforme de jobs qui s'appelle honeypot.
1  0 
Avatar de Rolllmops
Membre habitué https://www.developpez.com
Le 05/01/2022 à 13:38
... c'est quoi un "pot de miel" ?
0  0 
Avatar de Rolllmops
Membre habitué https://www.developpez.com
Le 05/01/2022 à 14:54
Je sais faire une recherche Google merci :o)

Qu'est-ce que ça veut dire dans le contexte ? Je suppose qu'il s'agit d'une françisation barbare d'un terme anglais mais je ne vois pas ...

D'ailleurs quand on tape expérience pot de miel dans Google ça ne ramène que vers ici...
0  0