Close

État des lieux des nouvelles solutions de “déception”

La tromperie est une tactique utilisée depuis des siècles par les armées et le renseignement pour se défendre contre l’ennemi. Par des techniques dites de « déception », c’est-à-dire la mise en œuvre de leurres aussi réaliste que possible, le défenseur peut par exemple être en mesure de détecter une attaque et y répondre plus habilement ou encore de connaitre les capacités et les intentions d’un attaquant. Ces techniques présentent un grand intérêt pour la cybersécurité et le développement des moyens de cyberdéfense du fait notamment que les cyberattaques sont encore difficiles à détecter rapidement. Les premières solutions de « déception » font leur apparition dans les années 2000 avec le développement des « honeypots »[1] (en français « pots de miel »). Cependant, ces solutions se révélent rapidement inefficaces d’un point de vue opérationnel et leur utilisation se limita à la recherche en cybersécurité. En effet, les difficultés à reproduire les activités quotidiennes d’un système d’information (SI) ont rendu facilement détectables les « honeypots » qui manquaient alors de réalisme[2].

Aujourd’hui, de nouvelles solutions de « déception » nettement plus évoluées et plus dynamiques émergent sur le marché et relancent l’intérêt de l’utilisation de la tromperie comme moyen de cyberdéfense et repose la question de l’efficacité de ce type de solution. Si ces nouvelles solutions sont prometteuses au niveau opérationnel et pourraient bien redonner l’avantage à la défense contre les cyberattaques, leur niveau de maturité nécessite encore que leur efficacité opérationnelle soit démontrée avant d’être déployées dans les systèmes d’information du défenseur.

Des solutions prometteuses pour redonner l’avantage au défenseur

En matière de cybersécurité, les techniques de « déception » ont évolué depuis l’émergence des « honeypots » classiques et apportent désormais de véritables nouveautés qui pourraient bouleverser les moyens de cyberdéfense actuels[3]. Elles offrent notamment la capacité pour le défenseur de prendre l’avantage sur l’attaquant, ce qu’aucune solution actuelle sur le marché n’est en mesure de proposer[4]. Des solutions concrètes et opérationnelles sont aujourd’hui déployées par des sociétés plus ou moins spécialisées, notamment aux États-Unis, en Asie mais aussi en Europe.

Les nouvelles solutions de « déception » utilisent des outils pour leurrer un cyberattaquant, qui peuvent être déployés sur un maximum de ressources du véritable système d’information du défenseur. Ils disposent d’une meilleure capacité de leurrage que les « honeypots » classiques[5]. Ces outils peuvent parfois, en diffusant de fausses informations notamment, volontairement inciter le cyberattaquant à réaliser certaines actions au profit du défenseur. De manière générale, les nouvelles solutions de « déception » mettent en œuvre deux types de leurres :

  • Des « agents » installés sur des ressources informatiques du défenseur comme un serveur de production par exemple ;
  • Des « leurres dédiés » qui sont des machines physiques ou virtuelles placées sur des segments réseaux et qui reproduisent un produit, un service ou une application utilisée par le défenseur.

Schéma des deux types de leurres

(Source : https://www.riskinsight-wavestone.com/2017/11/deceptive-security-comment-arroser-larroseur/)

 

Plus spécifiquement, il est possible également d’identifier différentes catégories d’outils de « déception » comme par exemple[6] :

  • Les « honeypots » comme leurres dédiés ;
  • Les « honey users » ou « honey credentials » qui sont des utilisateurs ou identifiants leurres ayant des accès privilégiés pour inciter les cyberattaquants à les utiliser/usurper et qui permettent de détecter une connexion malveillante ;
  • Le « géo-tracking » qui consiste à placer dans les fichiers qui sont volés un outil de collecte et de transmission des données IP et de localisation à l’équipe de sécurité ;
  • Les « sinkhole servers » (ou « DNS sinkhole ») qui ont pour fonction de rediriger un cyberattaquant ou un malware vers un domaine maitrisé par l’équipe de sécurité.

Les nouveaux outils innovent aujourd’hui par leur capacité à répondre à trois conditions qui pouvaient faire défaut dans les « honeypots » classiques[7] :

  • Authenticité et réalisme ;
  • Couverture de toutes les surfaces d’attaque du SI ;
  • Évolution suivant l’activité du SI et des cyberattaques.

In fine, les nouvelles solutions de « déception » présentent des avantages certains, que les solutions actuelles de prévention, de détection ou de réponse à incident ne sont pas pleinement en mesure d’apporter à la cyberdéfense, dont notamment :

  • La réduction drastique de faux positifs dans la détection d’une cyberattaque par la seule utilisation de leurres[8];
  • La capacité de détecter les « déplacements latéraux » des cyberattaquants dans le SI, ce qui convient particulièrement à la détection des menaces de type APT et notamment pour lutter contre le cyberespionnage par exemple[9];
  • La facilité de déployer rapidement des solutions de « déception » et de les utiliser[10], notamment en permettant aux équipes de sécurité d’ajouter dans de brefs délais de nouveaux leurres pour mettre toujours plus en difficulté l’attaquant[11];
  • La capacité de détecter des menaces inconnues sur l’ensemble du SI, même sur des ressources difficiles à protéger comme les objets connectés par exemple, et de manière rapidement opérationnelle sans avoir besoin d’avoir une connaissance préalable des menaces ni de passer par une phase d’apprentissage (la connexion à un leurre entraine directement la détection d’une menace avérée)[12]. Notons cependant qu’une connaissance de la surface d’attaque du SI reste nécessaire pour déployer correctement les leurres.

Panorama des nouvelles solutions de « déception » présentes sur le marché

Une vingtaine d’entreprises spécialisées commercialisent aujourd’hui des solutions nouvelles et concrètes de « déception »[13]. Les solutions les plus abouties, comme par exemple TrapX[14] ou Attivo Networks[15], sont majoritairement implantées aux États-Unis mais certaines sont développées et commercialisées en Europe comme CounterCraft[16] ou encore CyberTrap[17]. En France, ce type de solution ne connait pas le même succès qu’en Amérique du Nord mais suscite un grand intérêt, notamment de la part du ministère des Armées avec le Challenge DGA/COMCYBER « Deceptive Security »[18].

Selon une comparaison des différentes solutions de « déception » proposées par ces entreprises spécialisées (voir tableau comparatif), il semblerait que les nouveaux outils de « déception » les plus courants sur le marché soient principalement :

  • Les leurres reproduisant intégralement une ressource informatique comme un serveur de production par exemple (« Full OS Traps ») ;
  • Les leurres reproduisant le système d’exploitation Windows (« Fake OS platforms »). Peu de solutions proposent des leurres Mac ou Linux ;
  • Les leurres sur les services centralisés d’identification et d’authentification à un réseau (« Active directory »).

Si les nouvelles solutions de « déception » prétendent pouvoir s’adapter à de nombreuses ressources parfois difficiles à protéger, notons qu’il semble que peu proposent aujourd’hui des outils adaptés aux objets connectés ou aux systèmes SCADA par exemple.

Comparaison des nouvelles solutions de « déception » et de leurs applications

(Source : https://roi4cio.com/en/categories/category/deception-techniques-and-honeypots/)

Enfin, le marché des solutions de « déception » reste limité[19]. Actuellement, seuls les acteurs de la finance, de la santé, de l’énergie ou encore les agences gouvernementales et militaires semblent faire appel à ce type de solution pour protéger leur SI[20]. Cet engouement limité s’explique notamment par le fait que ces solutions ne sont pas encore suffisamment matures et présentent encore un certain nombre de difficultés pour être généralisées.

Des solutions pas encore suffisamment matures pour une utilisation généralisée

Le déploiement des nouvelles solutions de « déception » rencontre un certain nombre de difficultés qui viennent freiner la généralisation de ce type de solution[21] :

  • D’un point de vue technique : de nombreux tests de « Red teaming » réalisés sur ces nouvelles solutions ont révélé qu’il était souvent possible de détecter les leurres proposés sur le marché pour ce qu’ils sont, ce qui oblige les entreprises spécialisées à régulièrement revoir leurs solutions. Il est alors recommandé de réaliser des tests de « Red teaming » aussi réalistes pour l’organisation que possible durant le déploiement des leurres[22]. Soulignons en outre que pour être efficaces, les outils doivent être personnalisés en fonction de l’activité de l’organisation, ce qui rend difficile leur développement et leur déploiement ;
  • D’un point de vue juridique : les solutions de « déception » constituent des mesures actives de cyberdéfense qui peuvent dans certains cas se heurter à la législation sur les infractions liées aux systèmes d’information ou à la protection des données. En effet, des fichiers leurres peuvent collecter des données de géolocalisation ou des adresses IP de personnes ou encore pourraient permettre aux équipes de sécurité de remonter à des serveurs tiers utilisés pour dérober les fichiers concernés et de s’y introduire. Par ailleurs, ces solutions peuvent également constituer des provocations à l’infraction. Pour certains chercheurs en cybersécurité, ces solutions devraient être exclusivement réservées aux forces de l’ordre[23];
  • D’un point de vue organisationnel : le déploiement de leurres très réalistes peut entrainer un risque de confusion pour les personnels de l’organisation. Sensibiliser ces derniers à ce type de solution peut s’avérer nécessaire mais en limiterait davantage l’efficacité face à une menace interne. Il convient alors pour les responsables du SI de bien organiser l’utilisation des ressources pour qu’un utilisateur légitime ne déclenche pas un leurre, ainsi que d’être vigilants pour pouvoir intervenir en cas de confusion. De même, il convient de ne pas déployer de fausses informations qui pourraient, en cas de vol et de divulgation par des pirates, nuire à la réputation de tiers ou de son organisation[24]. Ces préconisations impliquent un certain niveau de maturité organisationnelle dans la gestion d’un SI.

Conclusion

Les nouvelles solutions de « déception » présentent aujourd’hui un réel intérêt pour renforcer la cyberdéfense, proposant des leurres plus opérationnels que les « honeypots » classiques[25]. En revanche, elles ne sont pas suffisamment matures et efficaces pour remplacer les autres solutions de cyberdéfense. Les solutions de « déception » doivent venir compléter les autres mesures de cyberdéfense adoptées par l’organisation[26]. Dans tous les cas, elles doivent s’intégrer à un processus de monitoring et de gestion pour être réellement avantageuses pour la défense de l’organisation.

Le principal frein à la généralisation des solutions de « déception » est la difficulté technique à assurer l’adaptation continue des leurres pour les rendre réalistes au regard du SI de l’organisation. Ceci nécessite une grande implication des équipes informatiques et de sécurité. Cependant, avec les développements de l’intelligence artificielle, notamment de l’apprentissage machine, l’émergence de leurres autonomes pourraient faciliter le déploiement de ce type de solution à l’avenir[27]. Par ailleurs, notons qu’une autre évolution envisagée des solutions de « déception » consisterait à faire passer de véritables ressources informatiques sensibles pour des leurres aux yeux des cyberattaquants, afin que ces derniers ne les ciblent pas[28].

 

[1] « Un honeypot une méthode de défense active qui consiste à attirer, sur des ressources identifiées et prévues à cet effet (serveur, programme ou service) des attaquants, déclarés ou potentiels, de manière à les identifier pour neutraliser, par la ruse en collectant des informations sur leurs méthodes et comportements, les futures attaques sur le réseau de l’entité considérée. Un honeypot pourra prendra la forme d’une ou plusieurs machines virtuelles plus ou moins isolées du reste du réseau de l’entreprise » (Honeypots et sinkholes, outils de défense active, OMC, Lettre n°64, Juillet 2017)

[2] https://cybersecurite-hq.fr/2017/06/nouvelle-approche-de-cyber-defense-les-leurres-pour-detecter-les-attaques-furtives/

[3] https://www.sciencedirect.com/science/article/abs/pii/S1361372319300089

[4] https://www.forbes.com/sites/danwoods/2018/06/22/how-deception-technology-gives-you-the-upper-hand-in-cybersecurity/#42ce070c689e

[5] https://www.riskinsight-wavestone.com/2017/11/deceptive-security-comment-arroser-larroseur/

[6] https://securitytoday.com/Articles/2019/08/12/How-Deception-Technology-Can-Help-You-Detect-Threats-Early.aspx?Page=2

[7] https://www.forbes.com/sites/danwoods/2018/06/22/how-deception-technology-gives-you-the-upper-hand-in-cybersecurity/#5981fc19689e

[8] http://s3.eurecom.fr/docs/mtd17_han_deception.pdf

[9] https://cybersecurite-hq.fr/2017/06/nouvelle-approche-de-cyber-defense-les-leurres-pour-detecter-les-attaques-furtives/

[10] https://www.helpnetsecurity.com/2018/12/06/introduction-deception-technology/ ; https://www.riskinsight-wavestone.com/2017/11/deceptive-security-comment-arroser-larroseur/

[11] https://www.forbes.com/sites/danwoods/2018/06/22/how-deception-technology-gives-you-the-upper-hand-in-cybersecurity/#65b3a680689e

[12]  https://www.riskinsight-wavestone.com/2017/11/deceptive-security-comment-arroser-larroseur/

[13]  https://blog.aimultiple.com/deception-tech-companies/

[14]  https://trapx.com/

[15]  https://attivonetworks.com/

[16]  https://www.countercraft.eu/

[17]  https://cybertrap.com/

[18] https://systematic-paris-region.org/fr/actualite/challenge-dga-et-commandement-de-la-cyberdefense-deceptive-security/

[19] https://www.esecurityplanet.com/network-security/deception-technology.html

[20] https://dagorettinews.com/cyber-deception-market-grows-with-changing-consumer-preferences-new-opportunities-2018-2026/

[21] https://www.f5.com/labs/articles/cisotociso/will-deception-as-a-defense-become-mainstream-25665 ; https://cybersecurite-hq.fr/2017/06/nouvelle-approche-de-cyber-defense-les-leurres-pour-detecter-les-attaques-furtives/

[22] https://www.bankinfosecurity.com/deception-technology-worth-investment-a-12881 ; https://pure.royalholloway.ac.uk/portal/files/33861604/dimva19_paper83_final.pdf

[23] https://www.readkong.com/page/demystifying-deception-technology-a-survey-1637590

[24] https://www.bankinfosecurity.com/deception-technology-worth-investment-a-12881

[25] http://all.net/journal/deception/RedTeamingExperiments.pdf

[26] https://www.crn.com/news/security/300077992/the-art-of-deception-new-class-of-security-startups-use-decoys-to-disrupt-a-hackers-movement.htm ; https://www.forbes.com/sites/danwoods/2018/06/22/how-deception-technology-gives-you-the-upper-hand-in-cybersecurity/#494c7d32689e

[27] https://www.forbes.com/sites/danwoods/2018/06/22/how-deception-technology-gives-you-the-upper-hand-in-cybersecurity/#494c7d32689e

[28] https://www.riskinsight-wavestone.com/2017/11/deceptive-security-comment-arroser-larroseur/