{"id":605401,"date":"2023-02-13T09:43:28","date_gmt":"2023-02-13T11:43:28","guid":{"rendered":"https:\/\/teknomers.com\/fr\/honeypot-factory-lutilisation-de-la-tromperie-dans-les-environnements-ics-ot\/"},"modified":"2023-02-13T09:43:28","modified_gmt":"2023-02-13T11:43:28","slug":"honeypot-factory-lutilisation-de-la-tromperie-dans-les-environnements-ics-ot","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/honeypot-factory-lutilisation-de-la-tromperie-dans-les-environnements-ics-ot\/","title":{"rendered":"Honeypot-Factory\u00a0: l&#8217;utilisation de la tromperie dans les environnements ICS\/OT"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEheTRuXLR34T447pGZgFN03OQ3Pvb84nZ4wJp_h5CEIym_-G6KLf9Ccdeo9MKymjR45aQn2yJ7IBhOUm68M4SmRblEV_Eb2MvfK7_CUfV7hmiKqsq_AASN18oR1BUBXANissOVj325bWQFGXLvCg2ay_mVQPHNqocNU7xnTZ0350xyeyJgsF5vSQB5m\/s728-e365\/orange.png\" alt=\"\" border=\"0\" data-original-height=\"380\" data-original-width=\"728\"\/><\/div>\n<p>Il y a eu un certain nombre de rapports d&#8217;attaques sur les syst\u00e8mes de contr\u00f4le industriels (ICS) au cours des derni\u00e8res ann\u00e9es.  En regardant d&#8217;un peu plus pr\u00e8s, la plupart des attaques semblent avoir d\u00e9bord\u00e9 de l&#8217;informatique traditionnelle.  C&#8217;est normal, car les syst\u00e8mes de production sont g\u00e9n\u00e9ralement connect\u00e9s aux r\u00e9seaux d&#8217;entreprise ordinaires \u00e0 ce stade. <\/p>\n<p>Bien que nos donn\u00e9es n&#8217;indiquent pas \u00e0 ce stade que de nombreux acteurs de la menace ciblent sp\u00e9cifiquement les syst\u00e8mes industriels &#8211; en fait, la plupart des preuves indiquent un comportement purement opportuniste &#8211; le vent pourrait tourner \u00e0 tout moment, une fois que la complexit\u00e9 suppl\u00e9mentaire des environnements OT compromettants promet de porter ses fruits. .  Les criminels saisiront toutes les occasions de faire chanter les victimes dans des stratag\u00e8mes d&#8217;extorsion, et l&#8217;arr\u00eat de la production peut causer d&#8217;immenses d\u00e9g\u00e2ts.  Ce n&#8217;est probablement qu&#8217;une question de temps.  La cybers\u00e9curit\u00e9 pour la technologie op\u00e9rationnelle (OT) est donc d&#8217;une importance vitale. <\/p>\n<p>La tromperie est une option efficace pour am\u00e9liorer les capacit\u00e9s de d\u00e9tection et de r\u00e9ponse aux menaces.  Cependant, la s\u00e9curit\u00e9 ICS diff\u00e8re de la s\u00e9curit\u00e9 informatique traditionnelle de plusieurs mani\u00e8res.  Alors que la technologie de tromperie \u00e0 usage d\u00e9fensif comme les pots de miel a progress\u00e9, il reste des d\u00e9fis en raison de diff\u00e9rences fondamentales comme les protocoles utilis\u00e9s.  Cet article a pour but de d\u00e9tailler les progr\u00e8s et les d\u00e9fis lorsque la technologie de tromperie passe de l&#8217;informatique traditionnelle \u00e0 la s\u00e9curit\u00e9 ICS.<\/p>\n<h2 style=\"text-align: left;\"><strong>La valeur de la tromperie : reprendre l&#8217;initiative<\/strong><\/h2>\n<p>La technologie de tromperie est une m\u00e9thode de d\u00e9fense de s\u00e9curit\u00e9 active qui d\u00e9tecte efficacement les activit\u00e9s malveillantes.  D&#8217;une part, cette strat\u00e9gie construit un environnement de fausses informations et de simulations pour tromper le jugement d&#8217;un adversaire, faisant tomber des attaquants sans m\u00e9fiance dans un pi\u00e8ge pour perdre leur temps et leur \u00e9nergie, augmentant la complexit\u00e9 et l&#8217;incertitude de l&#8217;intrusion. <\/p>\n<p>Dans le m\u00eame temps, les d\u00e9fenseurs peuvent collecter des journaux d&#8217;attaque plus complets, d\u00e9ployer des contre-mesures, retracer la source des attaquants et surveiller leurs comportements d&#8217;attaque.  Tout enregistrer pour rechercher les tactiques, techniques et proc\u00e9dures (TTP) utilis\u00e9es par un attaquant est d&#8217;une grande aide pour les analystes de la s\u00e9curit\u00e9.  Les techniques de d\u00e9ception peuvent redonner l&#8217;initiative aux d\u00e9fenseurs. <\/p>\n<div class=\"article-board\">\n<p>D\u00e9couvrez les derni\u00e8res nouveaut\u00e9s en mati\u00e8re de cybers\u00e9curit\u00e9 avec des &#8220;<b><a rel=\"nofollow noopener\" href=\"https:\/\/www.orangecyberdefense.com\/global\/security-navigator?utm_source=hackernews&amp;utm_medium=media&amp;utm_campaign=sn2023\" target=\"_blank\">Navigateur de s\u00e9curit\u00e9 2023<\/a><\/b>&#8221; rapport. Ce rapport ax\u00e9 sur la recherche est bas\u00e9 sur des informations 100% de premi\u00e8re main provenant de 17 SOC mondiaux et de 13 CyberSOC d&#8217;Orange Cyberdefense, du CERT, d&#8217;Epidemiology Labs et de World Watch et fournit une mine d&#8217;informations et d&#8217;informations pr\u00e9cieuses sur le pr\u00e9sent et l&#8217;avenir paysage des menaces.<\/p>\n<\/div>\n<p>Avec certaines applications trompeuses, par exemple les pots de miel, l&#8217;environnement d&#8217;exploitation et la configuration peuvent \u00eatre simul\u00e9s, incitant ainsi l&#8217;attaquant \u00e0 p\u00e9n\u00e9trer la fausse cible.  De cette mani\u00e8re, les d\u00e9fenseurs pourront saisir les charges utiles que les attaquants d\u00e9posent et obtenir des informations sur les h\u00f4tes de l&#8217;attaquant ou m\u00eame sur le navigateur Web par JavaScript dans les applications Web.  De plus, il est possible de conna\u00eetre les comptes de m\u00e9dias sociaux de l&#8217;attaquant par JSONP Hijacking ainsi que de contrer l&#8217;attaquant via des &#8220;fichiers de miel&#8221;.  On peut pr\u00e9dire que la technologie de tromperie sera plus mature et largement utilis\u00e9e dans les ann\u00e9es \u00e0 venir.<\/p>\n<p>R\u00e9cemment, l&#8217;int\u00e9gration des technologies de l&#8217;information et de la production industrielle s&#8217;est acc\u00e9l\u00e9r\u00e9e avec le d\u00e9veloppement rapide de l&#8217;Internet industriel et de la fabrication intelligente.  La connexion de r\u00e9seaux et d&#8217;\u00e9quipements industriels massifs \u00e0 la technologie informatique entra\u00eenera in\u00e9vitablement une augmentation des risques de s\u00e9curit\u00e9 dans ce domaine.<\/p>\n<h2 style=\"text-align: left;\"><strong>Production \u00e0 risque<\/strong><\/h2>\n<p>Les incidents de s\u00e9curit\u00e9 fr\u00e9quents tels que les ransomwares, les violations de donn\u00e9es et les menaces persistantes avanc\u00e9es affectent gravement la production et les op\u00e9rations commerciales des entreprises industrielles et menacent la s\u00e9curit\u00e9 de la soci\u00e9t\u00e9 num\u00e9rique.  G\u00e9n\u00e9ralement, ces syst\u00e8mes sont susceptibles d&#8217;\u00eatre faibles et facilement exploitables par l&#8217;attaquant en raison de leur architecture simple, qui utilise une faible puissance de traitement et une faible m\u00e9moire.  Il est difficile de prot\u00e9ger ICS contre les activit\u00e9s malveillantes car les composants d&#8217;ICS sont peu susceptibles de prendre des mises \u00e0 jour ou des correctifs en raison de leur architecture simple.  L&#8217;installation d&#8217;agents de protection des terminaux n&#8217;est g\u00e9n\u00e9ralement pas possible non plus.  Compte tenu de ces d\u00e9fis, la tromperie peut \u00eatre un \u00e9l\u00e9ment essentiel de l&#8217;approche de la s\u00e9curit\u00e9.<\/p>\n<div class=\"grey-box\">\n<ul>\n<li><strong>Conpot<\/strong> est un pot de miel peu interactif qui peut simuler les protocoles IEC104, Modbus, BACnet, HTTP et autres, qui peuvent \u00eatre facilement d\u00e9ploy\u00e9s et configur\u00e9s. <\/li>\n<li><strong>XPOT<\/strong> est un pot de miel PLC hautement interactif bas\u00e9 sur un logiciel qui peut ex\u00e9cuter des programmes.  Il simule les API de la s\u00e9rie Siemens S7-300 et permet \u00e0 l&#8217;attaquant de compiler, d&#8217;interpr\u00e9ter et de charger des programmes API sur XPOT.  XPOT prend en charge les protocoles S7comm et SNMP et est le premier pot de miel PLC hautement interactif.  Puisqu&#8217;il est bas\u00e9 sur un logiciel, il est tr\u00e8s \u00e9volutif et permet de grands r\u00e9seaux de leurres ou de capteurs.  XPOT peut \u00eatre connect\u00e9 \u00e0 un processus industriel simul\u00e9 afin de rendre compl\u00e8tes les exp\u00e9riences des adversaires. <\/li>\n<li><strong>CryPLH<\/strong> est un pot de miel Smart-Grid ICS peu interactif et virtuel simulant des automates Siemens Simatic 300.  Il utilise des serveurs Web Nginx et miniweb pour simuler HTTP(S), un script Python pour simuler le protocole ISO-TSAP Step 7 et une impl\u00e9mentation SNMP personnalis\u00e9e.  Les auteurs ont d\u00e9ploy\u00e9 le pot de miel dans la plage IP de l&#8217;universit\u00e9 et ont observ\u00e9 des tentatives de num\u00e9risation, de ping et de connexion SSH.  On peut voir que la capacit\u00e9 d&#8217;interaction augmente progressivement de la simulation du protocole ICS \u00e0 l&#8217;environnement ICS.<\/li>\n<\/ul>\n<\/div>\n<p>Avec le d\u00e9veloppement de la technologie de cybers\u00e9curit\u00e9, la tromperie a \u00e9t\u00e9 appliqu\u00e9e dans diverses circonstances comme le Web, les bases de donn\u00e9es, les applications mobiles et l&#8217;IoT.  La technologie de tromperie a \u00e9t\u00e9 incorpor\u00e9e dans certaines applications de pot de miel ICS dans le domaine OT.  Par exemple, les pots de miel ICS comme Conpot, XPOT et CryPLH peuvent simuler les protocoles Modbus, S7, IEC-104, DNP3 et autres.<\/p>\n<p>En cons\u00e9quence, la technologie de tromperie comme les applications de pot de miel ci-dessus peut compenser la faible efficacit\u00e9 des syst\u00e8mes de d\u00e9tection des menaces inconnues et peut jouer un r\u00f4le important pour assurer la s\u00e9curit\u00e9 des r\u00e9seaux de contr\u00f4le industriels.  Ces applications peuvent aider \u00e0 d\u00e9tecter les cyberattaques sur les syst\u00e8mes de contr\u00f4le industriels et afficher une tendance g\u00e9n\u00e9rale des risques.  Les vuln\u00e9rabilit\u00e9s OT r\u00e9elles exploit\u00e9es par les attaquants peuvent \u00eatre d\u00e9tect\u00e9es et envoy\u00e9es \u00e0 l&#8217;analyste de la s\u00e9curit\u00e9, ce qui conduit \u00e0 des correctifs et \u00e0 des renseignements en temps opportun.  En plus de cela, il est possible d&#8217;obtenir une alerte rapide, par exemple avant que le ransomware n&#8217;\u00e9clate et d&#8217;\u00e9viter des pertes massives et un arr\u00eat de la production.<\/p>\n<h2 style=\"text-align: left;\"><strong>D\u00e9fis<\/strong><\/h2>\n<p>Ce n&#8217;est pas une &#8220;solution miracle&#8221;, cependant.  Par rapport \u00e0 la tromperie sophistiqu\u00e9e disponible dans la s\u00e9curit\u00e9 informatique traditionnelle, la tromperie dans les ICS est toujours confront\u00e9e \u00e0 certains d\u00e9fis. <\/p>\n<p>Tout d&#8217;abord, il existe de nombreux types de dispositifs de contr\u00f4le industriels ainsi que de protocoles, et de nombreux protocoles sont propri\u00e9taires.  Il est presque impossible d&#8217;avoir une technologie de d\u00e9ception applicable \u00e0 tous les dispositifs de contr\u00f4le industriels.  Par cons\u00e9quent, les pots de miel et autres applications doivent souvent \u00eatre personnalis\u00e9s pour l&#8217;\u00e9mulation de diff\u00e9rents protocoles, ce qui entra\u00eene un seuil relativement \u00e9lev\u00e9 pour la mise en \u0153uvre dans certains environnements.<\/p>\n<p>Le deuxi\u00e8me probl\u00e8me est que les pots de miel de contr\u00f4le industriel virtuel pur ont encore des capacit\u00e9s de simulation limit\u00e9es, ce qui les rend sensibles \u00e0 l&#8217;identification des pirates.  Le d\u00e9veloppement et l&#8217;application actuels de pots de miel ICS purement virtuels ne permettent que la simulation sous-jacente de protocoles de contr\u00f4le industriels, et la plupart d&#8217;entre eux sont open source, faciles \u00e0 trouver par des moteurs de recherche tels que Shodan ou Zoomeye.  Collecter des donn\u00e9es d&#8217;attaque ad\u00e9quates et am\u00e9liorer les capacit\u00e9s de simulation des pots de miel ICS reste un d\u00e9fi pour les chercheurs en s\u00e9curit\u00e9.<\/p>\n<p>Enfin, les pots de miel de contr\u00f4le industriel \u00e0 haute interaction consomment des ressources consid\u00e9rables et ont des co\u00fbts de maintenance \u00e9lev\u00e9s.  Apparemment, les pots de miel n\u00e9cessitent souvent l&#8217;introduction de syst\u00e8mes ou d&#8217;\u00e9quipements physiques afin de cr\u00e9er un environnement de simulation en temps r\u00e9el.  Cependant, les syst\u00e8mes et \u00e9quipements de contr\u00f4le industriels sont co\u00fbteux, difficiles \u00e0 r\u00e9utiliser et difficiles \u00e0 entretenir.  M\u00eame les dispositifs ICS apparemment similaires sont souvent remarquablement diversifi\u00e9s en termes de fonctionnalit\u00e9s, de protocoles et d&#8217;instructions.<\/p>\n<h2 style=\"text-align: left;\"><strong>Est-ce que \u00e7a vaut le coup?<\/strong><\/h2>\n<p>Sur la base de la discussion ci-dessus, la technologie de d\u00e9ception pour ICS devrait \u00eatre envisag\u00e9e pour l&#8217;int\u00e9gration avec la nouvelle technologie.  La capacit\u00e9 de simuler et d&#8217;interagir avec un environnement simul\u00e9 renforce la technologie de d\u00e9fense.  De plus, le journal d&#8217;attaque captur\u00e9 par l&#8217;application de d\u00e9ception est d&#8217;une grande valeur.  Analys\u00e9 via des outils d&#8217;IA ou de Big data, il permet d&#8217;acqu\u00e9rir une compr\u00e9hension approfondie de l&#8217;intelligence de terrain ICS.<\/p>\n<p>Pour r\u00e9sumer, la technologie de d\u00e9ception joue un r\u00f4le vital dans le d\u00e9veloppement rapide de la s\u00e9curit\u00e9 des r\u00e9seaux ICS et am\u00e9liore l&#8217;intelligence ainsi que la capacit\u00e9 de d\u00e9fense.  Cependant, la technologie est toujours confront\u00e9e \u00e0 des d\u00e9fis et a besoin d&#8217;une perc\u00e9e.<\/p>\n<p>Si vous souhaitez en savoir plus sur ce que les chercheurs occup\u00e9s d&#8217;Orange Cyberdefense ont enqu\u00eat\u00e9 cette ann\u00e9e, vous pouvez simplement vous rendre sur la page d&#8217;accueil de leur article r\u00e9cemment publi\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/www.orangecyberdefense.com\/global\/security-navigator?utm_source=hackernews&amp;utm_medium=media&amp;utm_campaign=sn2023\" target=\"_blank\"><b>Navigateur de s\u00e9curit\u00e9<\/b><\/a>.<\/p>\n<p><i><b>Note: <\/b>Cet article perspicace a \u00e9t\u00e9 con\u00e7u de mani\u00e8re experte par Thomas Zhang, analyste de la s\u00e9curit\u00e9 chez Orange Cyberdefense.<\/i><\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/02\/honeypot-factory-use-of-deception-in.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Il y a eu un certain nombre de rapports d&#8217;attaques sur les syst\u00e8mes de contr\u00f4le industriels (ICS) au cours des derni\u00e8res ann\u00e9es. En regardant d&#8217;un peu plus pr\u00e8s, la plupart des attaques semblent avoir d\u00e9bord\u00e9 de l&#8217;informatique traditionnelle. C&#8217;est normal, car les syst\u00e8mes de production sont g\u00e9n\u00e9ralement connect\u00e9s aux r\u00e9seaux d&#8217;entreprise ordinaires \u00e0 ce stade. [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4168,4158,4165,4161,429,48187,145593,145594,4157,4159,4171,4170,65,4167,7953,4160,4163,4162,4172,4169,46031,4166,4164],"class_list":["post-605401","post","type-post","status-publish","format-standard","hentry","category-technologie","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-environnements","tag-honeypotfactory","tag-icsot","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-lutilisation","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-securite-informatique","tag-securite-internet","tag-tromperie","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/605401","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=605401"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/605401\/revisions"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=605401"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=605401"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=605401"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}