Qu'est-ce qu'un honeypot, quels types existent, et quelle valeur apporte-t-il à une équipe bleue ?
Réponse courte
Un honeypot est un système ou service leurre sans usage métier légitime, délibérément exposé pour attirer les attaquants. Comme rien de bénin ne devrait jamais le toucher, toute interaction est une alerte hautement fiable. Les honeypots à faible interaction émulent des services à peu de frais ; ceux à forte interaction sont de vrais systèmes qui livrent une intel plus riche mais comportent plus de risque. Les honeytokens sont la même idée appliquée à de faux identifiants, fichiers ou enregistrements. Valeur : détection précoce, peu de faux positifs et threat intelligence.
Un honeypot renverse la détection. Au lieu d'essayer de repérer des attaques dans des montagnes de trafic légitime, vous dressez quelque chose qu'aucun utilisateur légitime ne devrait jamais toucher — de sorte que tout contact est, par définition, suspect. Les recruteurs posent cette question pour voir si vous comprenez la tromperie comme stratégie de détection et ses compromis.
Ce que c'est
Un honeypot est un système, service ou compte leurre sans finalité de production, placé là où un attaquant est susceptible de sonder. Comme il n'a pas de vrais utilisateurs, il ne génère presque aucun faux positif : un contact signifie du scan, du déplacement latéral ou une intrusion active. Au-delà de l'alerte, il capture les outils, techniques et infrastructure de l'attaquant — une threat intelligence précieuse.
Types
- Faible interaction — émule des services (une fausse bannière SSH, un « RDP » ouvert) pour journaliser les tentatives de connexion. Peu coûteux, sûr, mais limité ; un attaquant attentif peut remarquer que c'est faux.
- Forte interaction — un vrai système pleinement fonctionnel. Il livre des données comportementales riches mais est dangereux : s'il est compromis, il pourrait servir de pivot, il doit donc être fortement isolé et surveillé.
- Honeytokens / canaries — le concept appliqué à de fausses données : faux identifiants, un fichier leurre « passwords.xlsx », un faux compte AD ou une clé d'API piège. Dès que quelqu'un les utilise, vous savez qu'il y a un intrus, souvent au cœur de l'environnement.
- Un réseau de honeypots est un honeynet.
Valeur et risque
Forces : détection précoce, hautement fiable et intel. Risques : un honeypot à forte interaction mal isolé peut devenir une rampe de lancement ; et un honeypot ne voit que les attaquants qui interagissent avec lui, il complète donc — sans jamais remplacer — votre supervision principale.
Pourquoi c'est important
Une bonne réponse définit le concept de leurre, insiste sur la propriété de faible taux de faux positifs, distingue faible vs forte interaction, et mentionne les honeytokens pour la détection intra-réseau ainsi que le risque d'isolation. Cela montre que vous saisissez la tromperie comme une couche de défense délibérée et peu bruyante.
Questions de suivi probables
- Pourquoi un honeypot produit-il si peu de faux positifs comparé à un IDS normal ?
- Quel risque supplémentaire un honeypot à forte interaction introduit-il, et comment l'atténuer ?
- Comment déploieriez-vous un honeytoken dans Active Directory ?