Ce document présente une étude comparative sur les honeypots et honeyclients, deux dispositifs de sécurité utilisés pour détecter les attaques informatiques. Les honeypots attirent les pirates en simulant un environnement vulnérable, tandis que les honeyclients recherchent activement des serveurs malveillants et analysent les malwares. Il décrit également les avantages et inconvénients de chaque approche ainsi que plusieurs outils et logiciels associés.

1. Élaboré par : Mohamed BEN BOUZID Projet de fin d'étude pour l'obtention du Diplôme Nationale d'Ingénieur en Informatique Annexe 2 : Étude comparative sur les Honeyclients Open Source Société d'accueil : L'Agence Nationale de la Sécurité Informatique (ANSI) Encadré par : Mme. Hela KAFFEL BEN AYED (FST) M. Sami MABROUK (ANSI) Année universitaire 2008/2009

2. Honeypots Un honeypot est un dispositif de sécurité basé sur la tromperie : c'est un environnement similaire à un environnement réel qui permet de faire croire aux pirate que c'est le vrai environnement réel. Cette technique permet : En premier lieu d'attirer les pirates en créant des environnements avec des failles laissées volontairement qui servent comme appâts pour les pirates. Puis, ils permettent la surveillance de tout le trafic réseau, ainsi la journalisation de tous les évènements dans ce réseau. Enfin et après collecte d'information, les Honeypots permettent l'analyse des informations recueillies, ainsi découvrir les défaillances du réseau.

3. Honeyclients Alors que les Honeypot sont des dispositifs qui qui attendent passivement les attaques , les honeyclients sont des dispositifs de sécurité qui permettent la recherche des serveurs malveillants qui attaquent les clients. Un client honeypot ou honeyclient comporte trois composantes: Crawler : parcoure les hyperliens pour aspirer leurs contenus. Scanner : outils qui permet la détection des malwares dans les sites. Analyser : outil qui permet d'analyser les malwares trouvés.

4. Honeypots Vs. Honeyclients Honeypots Honeyclients

5. Faible interaction Vs. Ha ute interaction Faible interaction Haute interaction Honeypot Simulation des systèmes et des services. De vrais systèmes et services. Honeyclient Simulation des clients et des systèmes Web. De vrais clients et systèmes Web. Avantages Très rapide. Ne consomme pas beaucoup de ressources. Multithread et multi-système. Extensible. Détection des exploits « zero day ». Analyses détaillées des attaques. Un environnement réel de détection d'intrusions. Inconvénients Ne détecte pas les exploits « zero day » Très lent dans l'analyse des attaques. Lourde dans le chargement. architecture complexe et peu extensible.

6. Honeycients à Haute interaction Capture - HPC HoneyClient HoneyMonkey Spycrawler Web Exploit Finder Licence Logiciel Libre GPLv2 Logiciel Libre GPLv2 Propriétaire Propriétaire Logiciel Libre GPLv2 destination Tous les naviagteurs Internet explorer FireFox Internet explorer Internet explorer FireFox Tous les naviagteurs Outil d'analyse des malwares Son propre outil Son propre outil Strider Tools FDR, GB, GK Lavasoft AdAware Son propre outil Date de première version 2006 2004 2005 2005 2006 Version actuelle 2.5.1 2 Septembre 2008 1.0.2 Pas commercialisé Pas commercialisé 2.0 29 Octobre 2007 Système d'exploitation Multi OS Windows Windows Windows Virtualisation de Windows XP Développeur Université de Welington Mitre Microsoft Research Université de Washington Université de Hochschule der Medien - Stuttgart

7. Honeyclients à faible intéraction SpyBye HoneyC HoneyD Monkey-Spider Licence Logiciel Libre GPLv2 Logiciel Libre GPLv2 Logiciel Libre GPLv2 Logiciel Libre GPLv3 destination Tous les navigateurs crawler HTTP, FTP, etc crawler/émail Outil d'analyse des malwares ClamAV Snort Libevent, libpcap, libnet, arpd (packages sous linux) ClamAV Date de première version 2007 2006 2003 2006 Version actuelle 0.3 09 Juin 2007 1.2.0 13 Septembre 2008 1.5c 27 Mai 2007 0.2 23 Mars 2009 Système d'exploitation Multi OS Multi OS Unix/linux BSD et windows avec cyguin Multi OS Développeur Niels Provos Université de Welington - Nouvelle-Zélande Niel Provos Université de Mannheim

8. Arcitecture de Monkey-Spider Internet Base de Données Antivirus Crawler