Le piège à pirates était un peu trop visible…

Honeyd, développé par Niels Provos, permet de mettre en place un puissant « pot de miel », un piége à pirates. Le rôle de Honeyd est d’émuler n’importe quel service, n’importe quel type de « stack » IP et de ‘monitorer’ en temps réel les connexions sur le serveur

host virtuel ainsi créé. En simulant ainsi une machine possédant des services vulnérables et connectée à Internet, Honeyd permet de récupérer des statistiques sur les attaques, de détourner l’attention de pirates, ou d’étudier l’exploitation de nouvelles failles. Ironiquement, ce piége à pirate n’est pas vacciné contre les vulnérabilités. Un ‘bug’ dans la gestion des réponses renvoyées lors d’une prise d’empreintes TCP avec Nmap (*) permet de mettre en évidence la présence de Honeyd sur une machine et donc d’avertir le pirate de la présence du piége ! Les versions de Honeyd inférieures à la 0.8 sont concernées par ce problème: si vous utilisez Honeyd, il vous faut installer la version 0.8 qui corrige le défaut. ___ (*) Chaque système d’exploitation (OS)possède une stack ou « pile » IP qui lui est propre. En prennant ses empreintes (c’est à dire en étudiant son comportement quand on l’interroge), on peut en déduire, à distance, le type d’OS et sa version: c’est, en anglais, l' »OS Finger Printing ». Nmap est un célèbre utilitaire qui permet, entre autres, de faire cet « OS fingerprinting » (https://www.insecure.org/nmap) mais sa vocation première est le « scan » de ports et l’identification des services à distance. Aurélien Cabezon, Vulnerabilite.com ©