Honeypot

01 — DéfinitionQu'est-ce qu'un honeypot ?

Un honeypot (littéralement « pot de miel ») est un système informatique volontairement exposé et configuré pour ressembler à une cible attractive pour les attaquants, dans le but de les attirer, d'observer leurs techniques et d'analyser leurs objectifs sans mettre en danger les systèmes de production.

L'idée fondatrice remonte à 1991 avec l'article « An Evening with Berferd » de Bill Cheswick chez Bell Labs, qui raconte comment il a attiré et observé un attaquant pendant plusieurs mois via un système leurre. Le concept a été popularisé et formalisé par Lance Spitzner dans son livre Honeypots : Tracking Hackers (2002) et par la fondation du Honeynet Project, communauté internationale de chercheurs qui développent des outils honeypot depuis 1999.

La valeur du honeypot repose sur un principe simple : toute activité observée sur le honeypot est suspecte par définition. Un système qui n'a aucune raison légitime d'exister ne devrait recevoir aucune requête valide. Chaque connexion, chaque tentative d'authentification, chaque scan représente donc :

• Soit un attaquant opportuniste qui scanne Internet à la recherche de cibles vulnérables.
• Soit un attaquant ciblé qui explore un réseau qu'il a compromis.
• Soit un chercheur ou bot de référencement (souvent filtrable).

Contrairement aux systèmes de détection classiques qui doivent distinguer le légitime du malveillant dans un flot massif, le honeypot élimine ce bruit par conception : pas de trafic légitime attendu, donc un faible taux de faux positifs.

Un honeypot transforme l'ambiguïté en certitude. Dans un SIEM classique, 1000 alertes produisent peut-être 10 incidents réels. Sur un honeypot bien positionné, chaque alerte mérite investigation.

02 — TypesLes grandes familles de honeypots

Par niveau d'interaction

Honeypots basse interaction

Émulent partiellement un service ou un système. Ils répondent aux connexions et simulent des interactions basiques mais ne contiennent pas de vrai système d'exploitation. Avantages : sécurité maximale (impossible de prendre contrôle), faible consommation de ressources, simple à déployer, collecte rapide d'indicateurs pour la threat intelligence. Inconvénient : les attaquants sophistiqués détectent rapidement l'émulation. Exemples : Honeyd, Dionaea.

Honeypots haute interaction

Systèmes complets avec vrai OS, vraies applications, vraies vulnérabilités. L'attaquant peut vraiment s'y installer. Avantages : informations beaucoup plus riches (TTP complètes, malwares déployés), indiscernables d'un vrai système. Inconvénients : risque sécurité (possibilité de rebond), ressources importantes, maintenance continue, expertise pointue nécessaire. Réservés aux chercheurs et équipes spécialisées de threat intelligence.

Moyenne interaction

Compromis entre les deux. Émulent plus profondément les services (shell simulé, téléchargement de malwares, protocoles complets) sans exposer un vrai OS. Cowrie est l'exemple emblématique pour SSH.

Par finalité

Honeypots de production

Déployés dans ou à côté de l'infrastructure de production. Objectif : détecter les attaques qui touchent l'organisation. Souvent basse interaction. Utilisés comme complément au SIEM, EDR et autres outils.

Honeypots de recherche

Déployés par des chercheurs (Honeynet Project, éditeurs de threat intelligence, universités) pour étudier les attaquants. Souvent haute interaction, sophistiqués.

Par localisation

Honeypots externes (Internet-facing)

Exposés directement sur Internet. Reçoivent massivement du trafic opportuniste : scanners automatiques, tentatives de brute force, exploits automatiques. Produisent une grande quantité de données sur le paysage global des menaces. Moins utiles pour détecter des attaques ciblées contre une organisation spécifique.

Honeypots internes

Déployés à l'intérieur du réseau d'entreprise. Leur présence dans le SI est invisible aux utilisateurs légitimes. Utilité : toute connexion depuis le réseau interne vers ces leurres signale un attaquant qui a déjà franchi le périmètre et explore le réseau. Efficaces contre les attaques ciblées et les déplacements latéraux.

Par service émulé

• SSH : Cowrie, Kippo (historique), SSH-MITM.
• Web : Glastopf, SNARE/Tanner.
• Base de données : ElasticPot, Redis-honeypot, MongoDB honeypots.
• Industriel (ICS/SCADA) : Conpot, GasPot.
• IoT : plusieurs projets émulent caméras, routeurs, DVR vulnérables.
• Malware : Dionaea (capture de malwares réseau).
• Email : honeypots SMTP pour capturer spam et phishing.
• Documents leurres : Canarytokens (Thinkst).

03 — UsagesÀ quoi servent concrètement les honeypots

1. Détection précoce d'intrusion

Usage principal en entreprise. Un honeypot bien placé dans le réseau interne détecte les attaquants qui ont franchi les défenses et explorent en latéral :

• Faux serveur Active Directory qui émule un DC : toute requête LDAP suspecte est investigée.
• Faux partage réseau nommé « Finance_2026_Confidential » : tout accès déclenche alerte.
• Fausses credentials dans des gestionnaires ou fichiers : leur utilisation ailleurs signale un vol.
• Canarytokens dans des documents : leur ouverture hors contexte déclenche notification.

C'est le principe du canari : un élément qui n'a aucune raison d'être touché, et dont l'activation signale une intrusion.

2. Recherche et threat intelligence

Les chercheurs déploient des honeypots pour collecter des données sur :

• Les nouvelles vulnérabilités exploitées activement (in the wild).
• Les campagnes de malware émergentes.
• Les TTP des attaquants.
• Les infrastructures C2 et les acteurs de menace.
• Les identifiants et mots de passe testés par les bots.

Ces données alimentent les publications de threat intelligence, les signatures de détection, les rapports des CERT.

3. Ralentir et épuiser les attaquants

Les honeypots peuvent absorber le temps et les ressources des attaquants. Un attaquant qui passe des heures dans un leurre est un attaquant qui n'attaque pas les vraies cibles. Technique historique du tarpit : services qui répondent très lentement pour bloquer les scans automatiques.

4. Formation et exercices

Support pédagogique pour : formation des analystes SOC, exercices Red Team/Blue Team, études académiques, compétitions CTF.

5. Enrichissement des défenses

Les observations sur les honeypots alimentent directement les outils de production : IOC à bloquer dans pare-feu et proxy, règles de détection Sigma/YARA pour SIEM/EDR, signatures WAF, listes de mots de passe interdits.

6. Cas particuliers — honeypots sectoriels

• Honeypots ICS/SCADA : étudier les attaques visant l'industrie et infrastructures critiques. Conpot est la référence open source.
• Honeypots IoT : collecter les malwares Mirai et variantes.
• Honeypots cloud : exposer AWS, Azure, GCP mal configurés pour étudier les attaques cloud.
• Honeypots crypto : faux portefeuilles et smart contracts pour étudier les attaques blockchain.

04 — DeceptionLa deception technology moderne

De la honeypot à la deception

Le concept de honeypot s'est étendu en 2015-2020 en une catégorie plus large : la deception technology. Au lieu de quelques honeypots isolés, il s'agit de saupoudrer l'ensemble du SI avec des leurres multiples et interconnectés, donnant à un attaquant l'impression de toujours être dans un vrai environnement alors qu'il navigue entre des pièges.

Composants de la deception moderne

Decoys (leurres systèmes)

Faux serveurs, faux postes, faux partages réseau, fausses bases de données déployés partout dans le SI. Ressemblant aux vrais systèmes, mais instrumentés pour détecter toute interaction.

Breadcrumbs (miettes de pain)

Fausses informations disséminées sur les vrais systèmes pour attirer les attaquants vers les leurres : fausses entrées dans les caches de credentials Windows, faux bookmarks navigateur, faux comptes « admin_backup » dans l'AD, faux fichiers de config avec credentials plausibles. Un attaquant qui fait sa reconnaissance tombera forcément sur ces breadcrumbs.

Honeytokens

Éléments de données fictives instrumentés. Dès qu'un honeytoken est utilisé, une alerte se déclenche. Exemples :

• Faux comptes AWS avec clés d'API qui déclenchent alerte à l'usage.
• Documents Word/Excel qui pingent un serveur à l'ouverture (Canarytokens).
• Adresses email leurres qui alertent lors d'envoi.
• Faux identifiants dans les gestionnaires de mots de passe.

Canarytokens de Thinkst est la référence gratuite de ce concept — simple, efficace, largement déployé.

Honeyfiles

Fichiers leurres plausibles (tableurs RH, notes stratégiques, documents financiers) placés aux endroits où un attaquant cherchera. Leur ouverture déclenche une alerte immédiate.

Plateformes deception commerciales

• Illusive Networks : racheté par Proofpoint en 2022. Cartographie préalable de l'environnement pour placer les leurres de façon crédible.
• TrapX Security : racheté par Commvault en 2022. Leurres spécialisés industrie et santé.
• Attivo Networks : racheté par SentinelOne en 2022, intégré à Singularity XDR.
• Thinkst Canary : appliance physique/virtuelle, UX simple, très populaire (PME aux grandes entreprises). Canarytokens gratuits.
• CounterCraft : acteur européen (espagnol) pour grandes entreprises.

Avantages de la deception moderne

• Taux de faux positifs extrêmement bas.
• Détection des attaques avancées qui contournent les défenses classiques.
• Couvre les environnements hybrides (on-premise, cloud, SaaS).
• Peu intrusif, pas d'agent lourd sur les vrais systèmes.
• Évolution progressive possible.

05 — OutilsPaysage des solutions

Projets open source populaires

T-Pot

Plateforme multi-honeypot maintenue par Deutsche Telekom. Agrège plusieurs dizaines de honeypots spécialisés (Cowrie, Dionaea, Conpot, Snare/Tanner, Heralding) avec dashboard centralisé basé sur Elastic. Déploiement Docker Compose en quelques minutes. Référence pour un setup complet rapide.

Cowrie

Honeypot SSH et Telnet moyenne interaction. Émule un shell complet, capture les commandes, les téléchargements, les binaires déposés. Très largement utilisé pour étudier les attaques Mirai et variantes.

Dionaea

Spécialisé dans la capture de malwares réseau. Émule des services vulnérables (SMB, FTP, HTTP, TFTP, MSSQL) et récupère exploits et payloads. Contribue à MalwareBazaar.

Conpot

Honeypot ICS/SCADA maintenu par le Honeynet Project. Émule des protocoles industriels (Modbus, S7, BACnet, IEC 60870-5-104) pour étudier les attaques contre les systèmes industriels.

Canarytokens (gratuit)

Service gratuit de Thinkst : génération de honeytokens en quelques clics (fichiers Word, PDF, URLs, clés AWS factices) qui déclenchent alerte par email ou webhook lors d'utilisation. Accessible sans compétences techniques poussées.

Solutions commerciales

• Thinkst Canary : appliance physique ou virtuelle, UX exemplaire, tarifs transparents. Produit mature.
• SentinelOne Singularity Identity (ex-Attivo) : intégration deception + XDR.
• Proofpoint Illusive : intégration à la plateforme Proofpoint.
• Commvault ThreatWise (ex-TrapX) : positionnement protection des données.
• CounterCraft : acteur européen grandes entreprises.

Intégration avec l'écosystème

Un honeypot moderne produit peu de valeur en silo. Intégrations cruciales : logs vers SIEM (Splunk, Sentinel, QRadar, Elastic), signaux vers XDR, IOC vers SOAR, export threat intelligence (STIX/TAXII, MISP), alertes vers canaux opérationnels (Teams, Slack, PagerDuty).

06 — DéploiementDémarche pragmatique

07 — LimitesPièges et précautions

Risque de rebond (pivot)

Un honeypot haute interaction mal isolé peut être utilisé par un attaquant comme point d'appui pour attaquer d'autres systèmes. Précautions obligatoires : isolation réseau stricte, filtrage sortant paranoïaque, surveillance en temps réel, procédures de kill switch rapides.

Détection par les attaquants sophistiqués

Les attaquants expérimentés savent reconnaître les honeypots : fingerprinting des solutions connues, tests d'intégrité, timing anormal, versions de logiciels incohérentes. Les solutions commerciales récentes luttent activement mais aucune n'est indétectable.

Questions juridiques

• RGPD : si des données personnelles sont capturées (IP, sessions), documenter le traitement, prévoir la rétention, information adaptée.
• Hack back : illégal. Un honeypot ne doit pas initier d'actions offensives contre ses attaquants.
• Notifications autorités : pour les données collectées particulièrement sensibles, se rapprocher du CERT-FR.

Valeur limitée pour les PME standard

Pour une PME sans équipe sécurité dédiée, le honeypot produit peu de valeur : pas de temps pour analyser les alertes, pas d'expertise pour exploiter les observations. Mieux vaut investir dans les protections de base (EDR, MFA, sauvegardes, sensibilisation phishing) avant le honeypot. Exception : Canarytokens gratuits restent accessibles à tous et peuvent apporter des signaux sans investissement majeur.

Charge opérationnelle

Même les solutions commerciales demandent de la maintenance : mise à jour des leurres pour qu'ils restent crédibles, revue régulière des alertes, adaptation aux évolutions du SI. Compter 0,2 à 1 ETP selon l'ampleur du déploiement.

Fausse sécurité

Un honeypot ne remplace pas les protections classiques : il les complète. Une organisation qui déploie un honeypot sans avoir déjà du EDR, des sauvegardes, du MFA, du patch management à jour se trompe de priorité. Le honeypot est une couche avancée, pas une fondation.

08 — FAQQuestions fréquentes

Peut-on déployer un honeypot sur le cloud ?

Oui, c'est même particulièrement pertinent. Les acteurs cloud (AWS, Azure, GCP) acceptent les honeypots sous réserve du respect de leurs conditions d'utilisation : pas d'attaque sortante, respect des quotas, pas de détournement de ressources. Les honeypots cloud sont très utiles pour étudier les attaques contre les configurations mal maîtrisées — S3 buckets ouverts, clés API exposées, conteneurs mal sécurisés. T-Pot se déploie facilement sur une VM cloud.

Les honeypots sont-ils efficaces contre les APT ?

Oui, particulièrement les leurres internes et la deception moderne. Les groupes APT font systématiquement de la reconnaissance interne après compromission initiale : énumération AD, scan réseau, exploration des partages. Ils touchent inévitablement les leurres bien placés, ce qui déclenche l'alerte. Illusive a publié plusieurs études de cas montrant la détection réussie de groupes sophistiqués via deception.

Combien coûte une solution deception commerciale ?

Variable selon l'éditeur et la taille. Thinkst Canary démarre à quelques milliers d'euros par an pour quelques appliances. SentinelOne Singularity Identity, Illusive, Commvault ThreatWise s'adressent plutôt aux grandes entreprises avec des tarifs à partir de dizaines de milliers d'euros par an. Canarytokens gratuits restent une option très accessible pour démarrer sans budget.

Les honeypots protègent-ils contre les ransomwares ?

Indirectement. Ils ne bloquent pas l'exécution d'un ransomware, mais peuvent détecter les phases préparatoires : reconnaissance réseau, vol de credentials, déplacement latéral. Détecter l'attaquant pendant ces phases permet d'intervenir avant le chiffrement final. Quelques solutions intègrent des mécanismes spécifiques : faux partages réseau qui génèrent alertes immédiates lors de tentatives de chiffrement massives.

Un honeypot peut-il remplacer un EDR ou un SIEM ?

Non, il les complète. L'EDR couvre l'ensemble des endpoints en continu, le SIEM centralise et corrèle les logs. Le honeypot apporte des signaux très précis mais ponctuels, avec un périmètre beaucoup plus restreint. Un dispositif de sécurité moderne combine les trois : EDR partout, SIEM pour la corrélation transverse, honeypots/deception pour la détection qualitative des intrusions avancées.