Universit Hassan 1er

Rapport de projet
HONEYPOTs

3me anne cycle dingnieurs

Gnie Rseaux et Tlcommunications
Ralis par :

Encadr par :

BOUKHIRA Adil
GHAMRANE Layla
HADJI Abdelhakim
LOUAH Majdouline

Anne universitaire 2013-2014

Pr Y.KHAMLICHI

Remerciement
Nous tenons prsenter nos vifs remerciements et notre profond
respect M.KHAMLICHI qui nous a prt main forte pour
lencadrement et la ralisation de ce travail.
Ainsi, nous adressons nos remerciements tous nos professeurs,
Monsieur le Directeur ainsi qu tout le personnel de lEcole Nationale
des Sciences Appliqus Khouribga. Nous tenons aussi remercier
tous ceux qui ont contribu de prs ou de loin au bon droulement de
notre projet.

1
Services Daccs

Table des matires

I.

Prsentation ......................................................................................................................... 4
1. Quest-ce quun honeypot ? ............................................................................................ 4
2. Quest-ce quun exploit ? ................................................................................................ 4
3. Un peu dhistoire ............................................................................................................. 4
4. Buts recherchs ............................................................................................................... 5
a. Production .................................................................................................................... 5
b. Recherche .................................................................................................................... 5
5. Avantages et inconvnients des honeypots ..................................................................... 5
a. Avantages .................................................................................................................... 5
b. Inconvnients ............................................................................................................... 5

II.

tude thorique des honeypots ........................................................................................... 5

1. Web honeypots ................................................................................................................ 6
2. Honeypots faible interaction......................................................................................... 6
3. Honeypot moyenne interaction ..................................................................................... 7
4. Honeypots forte interaction .......................................................................................... 8

III. Mise en place des honeypots .............................................................................................. 8

1. Honeypots faible interaction : AMUN ......................................................................... 8
a. Amun.conf : ................................................................................................................. 9
b. log-mail.conf................................................................................................................ 9
c. Start Amun ................................................................................................................... 9
2. Honeypot faible attraction : Nepenthes ...................................................................... 10
3. Comparaison entre Nepenthes et Amun ........................................................................ 12
4. Honeypots faible interaction : Pentbox. ..................................................................... 12
5. Rseaux de machine faible interaction Honeyd ......................................................... 14
a. Configuration ............................................................................................................. 15
b. Tests. .......................................................................................................................... 16
c. Conclusion : ............................................................................................................... 18

2
Services Daccs

6. Honeypot moyen attraction : Kojoney ....................................................................... 18

a. Prparation : ............................................................................................................... 18
b. Tlcharger et installer Kojoney................................................................................ 19
7. Honeypot haute attraction : Honeynet ........................................................................ 19
IV. Dtection des honeypots ................................................................................................... 20
V.

Conclusion :...................................................................................................................... 22

3
Services Daccs

I.

Prsentation

Ces dernires annes avec le dveloppement dInternet, le nombre dattaques a considrablement

augment. En effet, avec linformation disponible sur la toile, un nophyte peut facilement se
procurer les outils spcialiss et lancer des attaques partir de chez lui. En dehors de ces petites
attaques "pour le fun", on retrouve galement les attaques de grandes envergures menes la
baguette par des professionnels du piratage et qui sont destines obtenir des donnes
confidentielles afin den faire du profit. Ceux sont ces attaques qui sont les plus redoutes par les
entreprises. Ainsi pour tre efficace face ces attaques, le monde de la scurit a ragi
rapidement et a labor de nouvelles mthodes prventives, les honeypots sont la tte de cellesci.

1. Quest-ce quun honeypot ?

Un honeypot est une ressource volontairement vulnrable destine attirer et piger les
pirates. En pratique cest gnralement une machine, virtuelle ou non, faisant tourner ou mulant
un ou plusieurs services, qui nattendent que dtre compromis par un pirate.

2. Quest-ce quun exploit ?

Plusieurs termes relatifs la scurit informatique sont employs tout au long de ce rapport.
Parmi ceux-ci, on retrouve le terme exploit qui dsigne un programme malveillant utilisant un
payload particulier pour exploiter une faille de scurit dans un systme dexploitation ou un
logiciel. Une exploitation russie peut conduire une lvation de privilges en local ou un
accs distant sur la machine pirate. Les failles de scurit les plus exploits sont celles des
applications web et les dbordements de tampon dans les logiciels/noyaux. La faille de type
dbordement de tampon consiste envoyer dans un tampon plus de donnes quil ne peut en
contenir, si le programme est mal dvelopp il va crire les donnes en trop en dehors de
lespace mmoire alloue pour le tampon et craser des donnes essentielles (variables, saved
eip) au bon droulement du programme. Le pirate peut ainsi dtourner le flot dexcution dun
programme pour le placer sur un Shellcode.

3. Un peu dhistoire
Lide nest pas nouvelle et peut tre attribue Bill Cheswick, un programmeur systme
spcialis dans la scurit et travaillant chez AT&T Bell. Le 7 Janvier 1991, il a commenc
jouer avec un pirate en rpondant manuellement ces requtes qui tentaient dexploiter une faille
dans le dmon sendmail. Bill a alors russi lui faire croire quil avait obtenu une copie du
fichier passwd qui contenait en ralit que des comptes falsifis et contrls par le programmeur
de AT&T Bell. Il a alors laiss le pirate samuser sur la machine et a tudi son comportement
pendant plusieurs mois. Il a ensuite publi un papier sur ses dcouvertes.
Ce nest seulement quen 2000 que le terme honeypot a vraiment t intgr dans le monde
des entreprises. En effet, cest cette poque que lon a vu le dploiement des premiers
honeynets.

4
Services Daccs

4. Buts recherchs
Les pots de miel sont essentiellement utiliss dans des environnements de production ou de
recherche.
a. Production
Dans un environnement de production, un honeypot est utilis pour drouter les attaques vers
des machines leurres qui simulent un rseau de production. Ce type dhoneypot ne requiert pas
beaucoup de vigilance de la part de ladministrateur. Il doit uniquement surveiller les intrusions
sur les machines leurres afin de sassurer que les failles exploites ne sont pas prsentes sur les
machines de production relles.
b. Recherche
Cest le domaine dapplication des honeypots le plus intressant et celui qui a t trait tout
au long du projet. Le rle de lhoneypot dans un environnement de recherche est dobserver les
mthodes de piratage et tudier le comportement des pirates. Ce type dhoneypot est plus
difficile mettre en place et requiert un suivi constant si on ne veut pas avoir de mauvaises
surprises.

5. Avantages et inconvnients des honeypots

a. Avantages
Le but dun honeypot est de capturer un pirate et/ou de loccuper pendant un certain temps,
pendant lequel il ne sattaquera pas aux vrais systmes de production. Cest dans cette optique
quil est important de rappeler que les honeypots ne sont pas une solution que lon place pour
rsoudre un problme mais un outil exploiter. Ce sont des allis trs efficaces pour les IDS et
sont des solutions trs rapides mettre en place.
Enfin, utiliser un honeypot au sein dun rseau interne dune entreprise se rvle tre un outil
redoutable pour la dtection des actes de malveillance provenant de lintrieur.
b. Inconvnients
Puisque les honeypots doivent simuler des services et des systmes utiliss par les vrais
systmes de production, ils doivent tre attractifs afin de susciter lintrt sinon il sera ignor
donc par consquent inutile.

II.

tude thorique des honeypots

Selon les besoins, on distingue plusieurs types dhoneypots. Cette section dcrit les types
dhoneypots les plus rpandus.

5
Services Daccs

1. Web honeypots
Des dizaines dapplications web naissent chaque jour. Gnralement crites en PHP, ces
applications contiennent des bugs qui conduisent pour la plupart du temps des vulnrabilits.
"XSS", "include", "path disclosure", "file disclosure" sont des termes qui nont plus aucun secret
pour les pirates et tous les jours, des milliers de sites sont compromis grce lexploitation dune
de ces failles. Cest ainsi que lon a vu grandir les web honeypots dans le but de
contrer/comprendre/analyser ce genre dattaque.
titre dexemple, on peut citer le Google Hack Honeypot, le premier web honeypot qui
mule des applications PHP connues telles que phpbb, joomla, les rfrences ensuite dans le
moteur de recherche le plus utilis du monde et attend des attaques pour rcuprer la requte
utilise pour atteindre la fausse application. Les informations glanes peuvent tre ensuite
analyses pour localiser de nouvelles failles non publies, prvoir larrive dun nouveau ver et
le contrer comme cela a t fait pour le ver Santy qui rcuperait des sites vulnrables en
envoyant des requtes spcifiques Google qui na mis que quelques jours pour les bloquer.

2. Honeypots faible interaction

Un honeypot faible interaction mule des faux services vulnrables qui par dfaut ne
rpondent aucune requte. En contrepartie, tous les paquets arrivant destination des ports en
coute sont enregistrs. Le pirate ninteragit jamais avec le systme dexploitation en lui-mme
et la scurit est ainsi conserve, si les faux services ne contiennent bien videment pas de trou
de scurit.
Ce type de pot de miel est utile pour relever des statistiques sur les services les plus attaqus.
Si le payload de lexploit se trouve dans le premier paquet envoy par le pirate alors on peut
capturer des vers, dceler de nouvelles vulnrabilits. Ils sont simples mettre en oeuvre et
administrer mais sont grandement limits dans le sens o nous navons aucune information sur le
comportement des pirates puisquils noffrent aucune possibilit au pirate dinteragir avec le
service et mme la machine.
Parmi les honeypots faible interaction les plus populaires, on retrouve honeytrap qui
coute sur tous les ports TCP non utiliss par le systme et qui loge toutes les tentatives de
connexion ainsi que les payloads utiliss. De plus un systme danalyse de payload permet
dextraire, des shellcodes connus, les excutables qui taient censs sexcuter si la faille aurait
t prsente.

6
Services Daccs

Figure 1 : honeypot faible interaction

3. Honeypot moyenne interaction

Les honeypots moyenne interaction sont quune simple volution des honeypots prsents
prcdemment dans le sens o ils rpondent au pirate avec des fausses rponses qui laissent
croire au pirate que la faille est bien prsente et quelle a t exploite avec succs. Ainsi on peut
imaginer un faux serveur, lorsquil reoit une requte lgitime, il rpond avec une rponse qui
colle au protocole demand tandis que lorsquil reoit une requte avec un argument de plus de
65535 octets, il rpond pas la requte, analyse le payload qui tente dexcuter des instructions
arbitraires et lance un programme externe qui simule lattitude de ce payload, le pirate ny voit
que du feu et envoie maintenant ses donnes, qui sont loges, loutil qui simule le payload.
Nepenthes est un de ces honeypot moyenne interaction qui permet dmuler des
vulnrabilits connues dans Microsoft Windows et qui possde un analyseur de payload qui
reconnat et peut muler plus de 90% des shellcodes afin de rcuprer des vers, des
virus .

Figure2 : honeypot a moyenne interaction

7
Services Daccs

4. Honeypots forte interaction

Contrairement aux deux types prcdents, les honeypots forte interaction ne sont pas bass
sur lmulation de services ou de systmes dexploitation. Au contraire, ils reposent sur un vrai
systme dexploitation ou de vritables services, vulnrables ou non, tournent et sont accessibles
aux pirates. Ainsi, la mthode dapproche est compltement diffrente puisque lon offre au
pirate la possibilit de rentrer dans le systme et de faire ce quil lui plat une fois le systme
compromis.
Le but du jeu est donc de contrler les faits et gestes du pirate sans se faire dmasquer. Cest le
type dhoneypot le plus dploy pour faire de la recherche puisque ceux sont les seuls qui
permettent de rellement dtudier le comportement des pirates et ceux sont galement les plus
difficiles administrer. Diffrentes mthodes pour contrler et capturer les donnes ont t
labores par lorganisation "The Honeynet Project" que nous allons dcrire et mettre en place
dans la section suivante.

Figure 3 : honeypots forte interaction

III.

Mise en place des honeypots

1. Honeypots faible interaction : AMUN

La mise en place de honeytrap, honeypot faible interaction prsent dans la section 2, ncessite
l :
Installation des packages ncessaires :
$ sudo apt-get install python-psyco python-mysqldb python-psycopg2

8
Services Daccs

Installation dAmun :
$ cd ~/src/
$ wget http://downloads.sourceforge.net/project/amunhoney/amun/amunv0.1.9/amun-v0.1.9.tar.gz
$ tar xzvf amun-v0.1.9.tar.gz
$ cd amun/
a. Amun.conf :
Dans le fichier de configuration, nous avons configur toutes les adresses IP o existe linterface
quAmun peut prendre.

Figure 4 : fichier Amun.conf

b. log-mail.conf
Pour que nous puissions recevoir un email si un nouveau programme malveillant est dtect, il
faut configurer le fichier log-mail.conf :

Figure 5 : fichier de configuration log-mail.conf

c. Start Amun
On utilise la commande suivante pour mettre en marche Amun :
$ cd /opt/amun/
$ sudo ./amun_server.py

9
Services Daccs

Figure 6 : lancement dAmon

Une fois Amon a collect les malwares, ils ont apparu dans le rpertoire malware/md5sum/ :
$ ls -l /opt/amun/malware/md5sum/

2. Honeypot faible attraction : Nepenthes

Pour installer Nepenthes, on excute la commande suivante:

# apt-get install nepenthes

Cette commande permet dinstaller le paquet Nepenthes et tous les autres paquets ncessaires

Figure 7 : installation de Nepenthes

10
Services Daccs

Parmi les avantages de Nepenthes, ils font la collection de malwares une fois ils ont install sur
le pc. En effet, il ne ncessite pas une configuration bien spcifique. Le fichier de configuration
par dfaut est suffisant.

Figure 8 : fichier de configuration de nepenthes

Aprs cette tape, on peut accder aux fichiers log o toutes les informations sont enregistres,
laide de la commande suivante :

# gedit /var/log/nepenthes.log
Voici ci-dessous un exemple de fichier log :

Figure 9 : fichier log

11
Services Daccs

3. Comparaison entre Nepenthes et Amun

Nepenthes
Honeypot faible interaction.
Collecte automatique de malwares tel que les
bots.
Emulation des vulnrabilits connues.
Extraction dinformations partir du payload
dexploit puis tlchargement des malwares
essayant dexploiter les vulnrabilits du
rseau.
Implment en c++.

Contient les modules suivants :

Modules de vulnrabilits qui mulent
des services existants comportant des
vulnrabilits.
Modules danalyse du contenu envoy
par les modules de vulnrabilits.
Modules de rcupration, qui utilisent
les informations reues par les modules
danalyse afin de tlcharger le
malware.
Modules de chargement qui soccupent
de stocker le malware.
Modules de gnration de log qui
enregistrent toutes les informations
concernant lmulation.

Amun
Honeypot faible interaction.
Collecte de malwares se propageant de faon
autonome sur le rseau.
Emulation des vulnrabilits des services
rseaux connues.
Tlchargement de payload malicieux afin de
les analyser.

Implment en python et bas sur XML donc

sa maintenance et son extension de modules
sont plus faciles.
Contient les modules suivants :
Modules de vulnrabilits.
Modules danalyse du contenu des
payload.
Modules de rcupration.
Modules de tlchargement des
malwares.
Soumission, des malwares analyser,
vers des sandbox.
Modules de gnration de fichiers log.

4. Honeypots faible interaction : Pentbox.

PenTBox est une suite de scurit qui peut tre utilis dans des missions de tests de
pntration pour effectuer une varit d'activits. Plus prcisment ces activits comprennent de
hachage de craquage, numration DNS et les tests de rpertoire HTTP brute de stress force.In
cet article nous allons voir cet outil en action et ce genre de rsultats que nous pouvons avoir.
Ce qui nous intresse dans ce package cest la possibilit de crer un honeypot.

12
Services Daccs

Lapplication ne ncessite aucune installation :

Figure 10 : package de pentbox

On tape 2 Pour choisir les outils de rseau.

Aprs avoir appuy sur la touche ENTER options d'outils de rseau s'affiche, on doit
slectionner les options de Honeypot.
Tapez le numro 3 et appuyez sur la touche Entre.
Ensuite, Nous avons configur manuellement le port ouvrir, le message qui sera affich et le
fichier de sauvegarde.

Figure 11 : configuration de port et de message affich

13
Services Daccs

Figure 12 : configuration de fichier de sauvegarde

Depuis une autre machine Backtrack, nous allons essayer daccder lautre machine avec telnet
sur le port ouvert :

Figure 13 : connexion telnet

On vrifie le fichier log :

Figure 14 : fichier log

5. Rseaux de machine faible interaction Honeyd

Honeyd est un programme open source. Cre et dvelopp par Niels Provos, Honeyd est
un programme qui sert construire des systmes faible interaction du plus simple au plus
complexe. Son avantage principal rside dans la possibilit dmuler un rseau informatique
entier, compos de diffrents systmes dexploitation virtuels qui sont capables de fournir des
services fictifs.
Une utilisation correcte dun honeypot repose essentiellement sur la rsolution et la mise
en parallle de trois problmatiques :

14
Services Daccs

la surveillance ;
la collecte d'information ;
l'analyse d'information.

Le principe du programme Honeyd est simple : lorsquun intrus essaie de se connecter

sur ladresse IP du systme mul, Honeyd se fait passer pour ce systme et commence la
communication avec lordinateur de lintrus.

Figure 15 : application honeyd

a. Configuration
Sous BackTrack5, la configuration de lhoneyd commence par la cration dun fichier de
configuration.

Figure 16: cration de fichier de configuration de honeyd

15
Services Daccs

Aprs on dite le fichier comme ci-dessous puis on lenregistre.

Fichier 17: Edition de fichier honeyd

Explication du fichier de configuration :

Nous avons cr une machine Windows : Une adresse mac et une adresse ip statique
sont attribues. Plusieurs ports ont t ouverts. On peut de mme faon ajouter dautres
machines ayant dautres adresses IP, do la notion de rseaux.
Quand lHoneyd reoit un paquet dirig lune de ces adresses, il utilisera le profil associ et
rpondra conformment sa configuration.
b. Tests.
Pour tester la configuration, on entre la commande suivante sur le terminal.
$ honyed d f honeyd.conf
Cette commande permet de dmarrer lhoneyd :
-f: permet de prciser le fichier de configuration.
-d: lance en mode interactif.

Figure 18 : test de la configuration

16
Services Daccs

On utilise la commande ping pour vrifier si notre machine Honeyd (Windows) est bien
fonctionne.

Figure 19 : test de la connexion entre 2 machines

Nous constatons que la machine honeyd est en marche et elle rpond dune manire correcte
notre ping.
On peut vrifier le fonctionnement de la machine honeyd (si elle est vivante et si les ports sont
ouverts) laide de la commande suivante :
$nmap 192.168.1.22

Figure 20: vrification de fonctionnement de la machine Honeyd

17
Services Daccs

Remarque :
Nous avons utilis deux machines BackTrack 5, lune pour linstallation et la
configuration de lhoneyd et lautre pour les tests de ping et de vrification.
c. Conclusion :
Honeyd est un honeypot trs souple. Mais lHoneyd na pas t conu pour fonctionner dans
un systme de production mais plutt dans le domaine de la recherche pour pouvoir amliorer
lavenir la scurit dun rseau.

6. Honeypot moyen attraction : Kojoney

Kojoney est un honeypot moyenne interaction dvelopp en python et bas sur les librairies
rseau Twisted. Il mule un serveur SSH tournant sur un systme o les utilisateurs ont des mots
de passe faibles.
Certains pirates ont recours des scanneurs qui se connectent sur des adresses IP prises au
hasard et qui tentent une attaque par brute force sur les mots de passe, ciblant principalement les
mots de passe par dfaut ou ceux dont lutilisateur na pas fait preuve dimagination. Combien
dadministrateur cre un compte test avec comme mot de passe test pour tester le systme et
oublie de lenlever une fois le systme mis en production ?
Le logiciel enregistre dans des fichiers de log toutes les tentatives qui ont t faites ainsi que
les commandes lances par le pirate ds que celui-ci a trouv un des comptes utiliss par
Kojoney.
Kojoney est cependant trs loin dtre parfait, un pirate ayant un niveau correct et quelques
connaissances des systmes UNIX sapercevra immdiatement du pige.
Techniquement le programme ne fait que boucler sur ce que tape lutilisateur et y rpondre
quand il en est capable. Par consquent on atteint trs facilement les limites de ce faux
environnement, par exemple il est impossible de se promener ailleurs que dans la racine (/) et le
pirate ne peut pas utiliser de programmes interactifs (emacs, vim, ftp...)....
Aucune configuration nest ncessaire, nous pouvons lancer directement kojoney. Il va se
mettre en coute sur le port 22 et va enregistrer toutes les tentatives dans le fichier
/var/log/honeypot.
a. Prparation :
Tout d'abord, puisque nous voulons toujours tre en mesure de se connecter notre propre
machine, nous devons changer le port SSH par dfaut 22 autre chose :
$ vi /etc/ssh/sshd_config

Vous devez dcommenter la ligne "# Port 22" et changer "22" ce que vous voulez (en prendre
note), par exemple 2222.

18
Services Daccs

On redmarre le serveur ssh pour que le changement prenne effet:

$ /etc/init.d/sshd restart
A ce stade, on peut dconnecter notre systme et se connecter l'aide dun nouveau port.
Kojoney ncessite les packages suivants qui peuvent tre installs par la commande suivante :
$ yum install gcc python python-devel

b. Tlcharger et installer Kojoney

$ cd /tmp
$wget
http://dfn.dl.sourceforge.net/project/kojoney/kojon
ey-0.0.4.2.tar.gz
$ tar -xvf kojoney-0.0.4.2.tar.gz
$ cd /tmp/kojoney
$ sh INSTALL.sh
$ /etc/init.d/kojoney start
Le fichier journal cre est situ "/ var / log / honeypot.log". Kojoney a dj une liste intgre
de nom d'utilisateur et mot de passe, stocke dans / etc / Kojoney / fake_users". Si quelqu'un
pntre dans un combo trouv dans ce dossier, il a accs. Enfin, le binaire est stock "/ usr /
bin / kojoneyd".

7. Honeypot haute attraction : Honeynet

Honeynet est un exemple de high-interaction honeypot. Honeynet n'est une solution logicielle
que l'on installe sur un ordinateur. Au lieu de cela, honeynet est une architecture, une entit du rseau
des ordinateurs construits pour tre attaqu. L'ide est de proposer une architecture qui cre un rseau
contrl au niveau o tous les activits sont contrles et captures.
Dans le rseau on met des ordinateurs intentionnels, ce sont les ordinateurs rels qui lancent
des applications rels. L'attaquant trouve, attaque, et entre dans les systmes proposs. Quand ils
fonts cela, ils ne prennent pas de conscience d'tre dans Honeynet. Toutes ses activits sont captures
sans aucune connaissance. Cela est fait par linsrer des modules dans le noyau du systme victime
qui capture tous les actions des attaquants. En mme temps, l'honeynet contrle les activits des
attaquants. Il le fait en utilisant un Honeywall qui dtourne le trafic vers un systme victime, et
contrle le trafic sortie en utilisant la technologie de prdiction des instructions. Cela donnera aux
attaquants une flexibilit dans l'interaction avec le systme victime, mais interdire laccs ay nonhoneynet systme.

19
Services Daccs

L'exemple du dploiement de honeynet est dans la figure suivante:

Figure 21 : dploiement de honeynet

IV.

Dtection des honeypots

Un honeypot est ractif et rpond aux requtes du pirate. De plus la ractivit, dans le cas
des honeypots forte interaction, est totale puisque le pirate la main mise sur un vritable
systme gr de faon, suppos, inaperue de lextrieur par un bonhomme qui fait de la
scurit. Malheureusement, comme tout systme informatique, il possde des faiblesses que cette
section va tenter dillustrer.
Pour quil soit le plus attractif possible, un honeypot doit tre indtectable par un pirate.
En effet, la mise en place de pots de miel sest rpandue dans les entreprises et les pirates ont mis
en place des techniques permettant de dtecter leur prsence. Cette sous-section dcrit plusieurs
mthodes qui auraient pu tre mise en place par un pirate pour sapercevoir quil est dans un
rseau leurr.
Commenons avec les pots de miel faible et moyenne interaction qui sont faciles dtecter
pour un humain, le camouflage ntant pas une priorit dans le sens o ces honeypots sont
destins piger les programmes automatiss tels que les vers ou les mass rooter plutt que les
pirates.

20
Services Daccs

Par exemple :
Nepenthes
La dtection de nepenthes peut se faire en essayant dexploiter deux failles touchant deux
versions de Windows diffrentes, si les deux russissent alors il est fort probable quun
nepenthes se cache derrire la machine.

Kojoney
La dtection de Kojoney peut se faire en jouant avec des caractres spciaux tels que le
C ou le D qui dans le read() de python nont pas la mme attitude que dans le read() du vrai
serveur ssh. En plus de ces diverses anomalies dans linterprteur, on peut galement visualiser
la clef publique envoye par le serveur ssh pour dtecter un kojoney sachant quil utilise toujours
la mme clef.

21
Services Daccs

V.

Conclusion :

travers ce projet, tous les intrts que peuvent prsenter la mise en place de pots de
miel dans un rseau informatique ont t mis en avant. Les pots de miel sont les outils idaux
pour tudier le comportement, les tactiques et les motivations des pirates informatiques et ainsi
se prmunir efficacement des attaques de ces derniers.
Il faut cependant garder lesprit que les honeypots visent attirer les pirates sur son
rseau informatique et que la dcision de dployer ce genre de rseau leurr ne doit pas tre prise
la lgre. Les objectifs doivent tre clairement dfinis car ils reprsentent un outil trs efficace,
leurs configurations et leurs manipulations restent trs dlicates et une erreur peut se rpercuter
sur le rseau de production.
Mme si les pots de miel sont encore assez jeunes et rservs aux experts de la scurit,
ils reprsentent dores et dj une technologie trs prometteuse dans la lutte contre la
cybercriminalit.

22
Services Daccs