Toute entreprise qui stocke des informations privées est une cible potentielle pour les pirates informatiques. Ils emploient toute une série de techniques pour accéder aux réseaux sécurisés et sont motivés par le fait que les données personnelles volées peuvent être vendues ou faire l’objet d’une demande de rançon.
Toutes les entreprises responsables prennent des mesures pour éviter cela en rendant leurs systèmes aussi difficiles d’accès que possible. Une option que de nombreuses entreprises négligent cependant est l’utilisation de honeytokens, qui peuvent être utilisés pour fournir des alertes lorsqu’une intrusion se produit.
Qu’est-ce qu’un honeytoken et votre entreprise devrait-elle l’utiliser ?
Que sont les Honeytokens ?
Les Honeytokens sont des éléments d’information falsifiés qui sont ajoutés à des systèmes sécurisés afin de déclencher une alerte lorsqu’un intrus s’en empare.
Les honeytokens sont principalement utilisés pour montrer qu’une intrusion est en cours, mais certains d’entre eux sont également conçus pour fournir des informations sur les intrus qui peuvent révéler leur identité.
Honeytokens vs. Honeypots : Quelle est la différence ?
Les Honeytokens et les pots de miel reposent sur la même idée. En ajoutant de faux actifs à un système, il est possible d’être alerté de la présence d’intrus et d’en apprendre davantage sur eux. La différence réside dans le fait que les honeytokens sont de fausses informations, tandis que les honeypots sont de faux systèmes.
Alors qu’un honeytokens peut prendre la forme d’un fichier individuel, un honeypot peut prendre la forme d’un serveur entier. Les pots de miel sont nettement plus sophistiqués et peuvent être utilisés pour distraire les intrus dans une plus large mesure.
Types de Honeytokens
Il existe de nombreux types de honeytokens. Selon celui que vous utilisez, vous pouvez obtenir différentes informations sur un intrus.
Adresses électroniques
Pour utiliser une fausse adresse électronique comme honeytoken, il suffit de créer un nouveau compte de messagerie et de le stocker dans un endroit accessible à un intrus. Les fausses adresses électroniques peuvent être ajoutées à des serveurs de messagerie et à des appareils personnels par ailleurs légitimes. À condition que le compte de messagerie ne soit stocké qu’à cet endroit, si vous recevez des courriels à destination de ce compte, vous saurez qu’il y a eu une intrusion.
Enregistrements de base de données
De faux enregistrements peuvent être ajoutés à une base de données de sorte que si un intrus accède à la base de données, il les volera. Cela peut être utile pour fournir de fausses informations à un intrus, le distraire de données précieuses, ou détecter l’intrusion, si l’intrus fait référence aux fausses informations.
Fichiers exécutables
Un fichier exécutable est idéal pour être utilisé comme honeytoken car il peut être configuré pour révéler des informations sur toute personne qui l’exécute. Les fichiers exécutables peuvent être ajoutés à des serveurs ou à des appareils personnels et déguisés en données de valeur. En cas d’intrusion, si l’attaquant vole le fichier et l’exécute sur son appareil, vous pouvez être en mesure de connaître son adresse IP et les informations relatives à son système.
Balises web
Une balise web est un lien dans un fichier vers un petit graphique. Comme un fichier exécutable, une balise web peut être conçue pour révéler des informations sur un utilisateur chaque fois qu’elle est consultée. Les balises web peuvent être utilisées comme des honeytokens en les ajoutant à des fichiers qui semblent précieux. Une fois le fichier ouvert, la balise web diffuse des informations sur l’utilisateur.
Il convient de noter que l’efficacité des balises web et des fichiers exécutables dépend de l’utilisation par l’attaquant d’un système dont les ports sont ouverts.
Cookies
Les cookies sont des paquets de données utilisés par les sites web pour enregistrer des informations sur les visiteurs. Les cookies peuvent être ajoutés aux zones sécurisées des sites web et utilisés pour identifier un pirate informatique de la même manière qu’ils sont utilisés pour identifier n’importe quel autre utilisateur. Les informations collectées peuvent inclure ce à quoi le pirate tente d’accéder et la fréquence de ses tentatives.
Identifiants
Un identifiant est un élément unique ajouté à un fichier. Si vous envoyez un document à un grand nombre de personnes et que vous soupçonnez l’une d’entre elles de le divulguer, vous pouvez ajouter un identifiant à chacune d’entre elles, qui indique qui est le destinataire. En ajoutant l’identifiant, vous saurez immédiatement qui est l’auteur de la fuite.
Clés AWS
Une clé AWS est une clé pour Amazon Web Services, largement utilisée par les entreprises ; elle donne souvent accès à des informations importantes, ce qui la rend très populaire auprès des pirates. Les clés AWS sont idéales pour être utilisées comme honeytokens, car toute tentative d’utilisation est automatiquement enregistrée. Les clés AWS peuvent être ajoutées aux serveurs et aux documents.
Liens intégrés
Les liens intégrés sont idéaux pour être utilisés comme miels car ils peuvent être configurés pour envoyer des informations lorsqu’ils sont cliqués. En ajoutant un lien intégré à un fichier avec lequel un attaquant peut interagir, vous pouvez être alerté à la fois lorsque le lien est cliqué et potentiellement par qui.
Où placer les Honeytokens
Comme les honeytokens sont petits et peu coûteux, et qu’il en existe de nombreux types différents, ils peuvent être ajoutés à presque tous les systèmes. Une entreprise intéressée par l’utilisation de jetons de miel devrait dresser une liste de tous les systèmes sécurisés et ajouter un jeton de miel approprié à chacun d’entre eux.
Les honeytokens peuvent être utilisés sur des serveurs, des bases de données et des appareils individuels. Après avoir ajouté des honeytokens à un réseau, il est important qu’ils soient tous documentés et qu’au moins une personne soit responsable du traitement des alertes.
Comment réagir au déclenchement d’un honeytoken ?
Le déclenchement d’un honeytoken signifie qu’une intrusion s’est produite. Les mesures à prendre varient évidemment beaucoup en fonction de l’endroit où l’intrusion s’est produite et de la manière dont l’intrus a obtenu l’accès. Les actions les plus courantes consistent à changer les mots de passe et à essayer de savoir à quoi d’autre l’intrus a pu accéder.
Pour utiliser efficacement les honeytokens, la réaction adéquate doit être décidée à l’avance. Cela signifie que tous les honeytokens doivent être accompagnés d’un plan d’intervention en cas d’incident.
Les honeytokens sont idéaux pour tout serveur sécurisé
Toutes les entreprises responsables renforcent leurs défenses pour éviter les intrusions de pirates informatiques. Les Honeytokens sont une technique utile non seulement pour détecter les intrusions, mais aussi pour fournir des informations sur le cyber-attaquant.
Contrairement à de nombreux aspects de la cybersécurité, l’ajout de honeytokens à un serveur sécurisé n’est pas non plus un processus coûteux. Ils sont faciles à fabriquer et, à condition qu’ils paraissent réalistes et potentiellement utiles, la plupart des intrus y auront accès.