Projet de fin d'étude pour l'obtention du

Diplôme Nationale d'Ingénieur en Informatique

Annexe 2 : Étude comparative sur les Honeyclients Open Source

Société d'accueil : L'Agence Nationale de la Sécurité Informatique (ANSI)

Encadré par : Mme. Hela KAFFEL BEN AYED (FST)M. Sami MABROUK (ANSI)

Année universitaire 2008/2009

Élaboré par :

Mohamed BEN BOUZID

Page 2

Honeypots

Un honeypot est un dispositif de sécurité basé sur la tromperie : c'est un environnement similaire à un environnement réel qui permet de faire croire aux pirate que c'est le vrai environnement réel.

Cette technique permet :

En premier lieu d'attirer les pirates en créant des environnements avec des failles laissées volontairement qui servent comme appâts pour les pirates.

Puis, ils permettent la surveillance de tout le trafic réseau, ainsi la journalisation de tous les évènements dans ce réseau.

Enfin et après collecte d'information, les Honeypots permettent l'analyse des informations recueillies, ainsi découvrir les défaillances du réseau.

Page 3

Honeyclients

Alors que les Honeypot sont des dispositifs qui qui attendent

passivement les attaques, les honeyclients sont des dispositifs de

sécurité qui permettent la recherche des serveurs malveillants qui

attaquent les clients.

Un client honeypot ou honeyclient comporte trois composantes:

Crawler : parcoure les hyperliens pour aspirer leurs contenus.

Scanner : outils qui permet la détection des malwares dans les sites.

Analyser : outil qui permet d'analyser les malwares trouvés.

Page 4

Honeypots Vs. Honeyclients

Honeypots Honeyclients

Page 5

Faible interaction Vs. Haute interaction

Faible interaction Haute interaction

Honeypot Simulation des systèmes et des services.

De vrais systèmes et services.

Honeyclient Simulation des clients et des systèmes Web.

De vrais clients et systèmes Web.

Avantages Très rapide.Ne consomme pas beaucoup de ressources.Multithread et multi-système.Extensible.

Détection des exploits « zero day ».Analyses détaillées des attaques.Un environnement réel de détection d'intrusions.

Inconvénients Ne détecte pas les exploits « zero day »

Très lent dans l'analyse des attaques.Lourde dans le chargement.architecture complexe et peu extensible.

Page 6

Honeycients à Haute interaction

Capture - HPC HoneyClient HoneyMonkey Spycrawler Web Exploit Finder

Licence Logiciel LibreGPLv2

Logiciel LibreGPLv2

Propriétaire Propriétaire Logiciel LibreGPLv2

destination Tous les naviagteurs

Internet explorerFireFox

Internet explorer Internet explorerFireFox

Tous les naviagteurs

Outil d'analyse des malwares

Son propre outil Son propre outil Strider Tools FDR, GB, GK

Lavasoft AdAware

Son propre outil

Date de première version

2006 2004 2005 2005 2006

Version actuelle 2.5.12 Septembre 2008

1.0.2 Pas commercialisé

Pas commercialisé

2.029 Octobre 2007

Système d'exploitation

Multi OS Windows Windows Windows Virtualisation de Windows XP

Développeur Université de Welington

Mitre Microsoft Research

Université de Washington

Université de Hochschule der

Medien - Stuttgart

Page 7

Honeyclients à faible intéraction

SpyBye HoneyC HoneyD Monkey-Spider

Licence Logiciel Libre GPLv2

Logiciel LibreGPLv2

Logiciel LibreGPLv2

Logiciel Libre GPLv3

destination Tous les navigateurs

crawler HTTP, FTP, etc crawler/émail

Outil d'analyse des malwares

ClamAV Snort Libevent, libpcap, libnet, arpd

(packages sous linux)

ClamAV

Date de première version

2007 2006 2003 2006

Version actuelle

0.309 Juin 2007

1.2.013 Septembre 2008

1.5c27 Mai 2007

0.223 Mars 2009

Système d'exploitation

Multi OS Multi OS Unix/linux BSD et windows avec cyguin

Multi OS

Développeur Niels Provos Université de Welington -

Nouvelle-Zélande

Niel Provos Université de Mannheim

Page 8

Arcitecture de Monkey-Spider

InternetBase deDonnées

Antivirus Crawler