Technical #deceptive #honeypot #bestpractices

Les meilleurs honeypots en 2026 : comparatif open source et commercial

Quel est le meilleur honeypot en 2026 ? Trapster, Cowrie, T-Pot, OpenCanary... Comparatif complet des solutions open source et commerciales, avec critères de choix.

Trapster
18 mai 2026
0 min
Les meilleurs honeypots en 2026 : comparatif open source et commercial

Quel est le meilleur honeypot en 2026 ? La réponse dépend de votre objectif : recherche sur les menaces, alerte simple sur un petit réseau, ou détection d'intrusion à l'échelle d'une entreprise. Un honeypot reste l'un des moyens les plus fiables de détecter une intrusion : un système leurre n'a aucun usage légitime, donc toute interaction avec lui est suspecte par définition. Ce comparatif passe en revue les meilleures solutions du moment, open source comme commerciales, avec leurs forces, leurs limites, et des critères concrets pour choisir.

Comment nous les avons évalués

Nous avons retenu quatre critères, ceux qui font la différence en conditions réelles :

  • Réalisme des leurres : un honeypot détectable par un scan de fingerprinting perd l'essentiel de sa valeur face à un attaquant expérimenté.
  • Couverture protocolaire : SSH et HTTP ne suffisent pas ; un réseau interne réaliste expose SMB, RDP, bases de données, LDAP...
  • Exploitation des alertes : formats de sortie (JSON, Syslog, webhook), intégration SIEM, qualité de la journalisation.
  • Maintenance : fréquence des commits, activité de la communauté, simplicité de mise à jour.

Trapster Community : le plus complet pour un réseau interne

Trapster Community est un honeypot moderne multi-services écrit en Python (asyncio), conçu pour être déployé sur un réseau interne. C'est le projet open source qui motorise la plateforme Trapster, et il en hérite plusieurs capacités rares dans l'écosystème :

  • Clonage de sites web réalistes : le module HTTP peut répliquer l'apparence d'équipements réels (interfaces d'administration, portails) à partir d'une simple configuration YAML.
  • Réponses assistées par IA : les requêtes HTTP inattendues reçoivent des réponses générées dynamiquement, ce qui rend le fingerprinting nettement plus difficile.
  • Multi-services : SSH, FTP, HTTP/HTTPS, DNS, MySQL, MSSQL, LDAP, RDP, SNMP, entre autres, dans un seul agent.
  • Sorties structurées : journalisation JSON prête à ingérer dans un SIEM ou un pipeline ELK.

C'est le choix naturel si votre objectif est la détection d'intrusion interne (mouvement latéral, reconnaissance) plutôt que la recherche académique.

Cowrie : la référence SSH/Telnet

Cowrie est le successeur de Kippo et la référence pour piéger les attaques SSH et Telnet. Il émule un shell interactif complet : l'attaquant croit obtenir un accès, ses commandes sont enregistrées, les fichiers qu'il télécharge sont capturés. C'est un excellent outil pour observer les campagnes de brute force et les botnets IoT.

Ses limites : il se concentre sur SSH/Telnet (avec un peu de SFTP/SCP), et ses artefacts par défaut sont connus des attaquants ; un déploiement sérieux demande de personnaliser hostname, faux système de fichiers et bannières.

T-Pot : la plateforme tout-en-un

T-Pot, maintenu par Deutsche Telekom Security, n'est pas un honeypot mais une distribution qui en agrège plus d'une vingtaine (Cowrie, Dionaea, Conpot, ElasticPot...) dans des conteneurs Docker, avec un stack Elastic et des tableaux de bord prêts à l'emploi.

C'est l'outil idéal pour la recherche et l'observation des menaces sur une IP exposée à Internet. En revanche, son empreinte est lourde (plusieurs Go de RAM), et son profil très reconnaissable le destine davantage à l'étude des attaques opportunistes qu'à la détection discrète sur un réseau interne.

OpenCanary : le minimaliste

OpenCanary, publié par Thinkst, est un démon Python léger qui émule une dizaine de services (SMB, FTP, HTTP, MySQL, VNC...) avec une consommation minimale. Il s'installe en quelques minutes sur un Raspberry Pi ou une petite VM et envoie ses alertes par e-mail, webhook ou Syslog.

C'est un excellent point d'entrée dans la déception. Ses émulations restent superficielles : suffisantes pour détecter un scan ou une tentative de connexion, insuffisantes pour tromper longtemps un opérateur humain.

Dionaea et Conpot : les spécialistes

Deux projets plus anciens gardent leur pertinence sur des niches :

  • Dionaea capture les malwares qui se propagent par SMB, FTP ou MSSQL. Utile pour collecter des échantillons, moins pour la détection interne.
  • Conpot émule des systèmes industriels (Modbus, S7comm, BACnet). Si vous opérez de l'OT, c'est l'un des rares leurres ICS/SCADA disponibles.

Et côté commercial ? Les plateformes de deception

Pour une entreprise, le meilleur honeypot n'est pas seulement un bon leurre : c'est un leurre déployé partout, maintenu dans le temps et dont les alertes arrivent au bon endroit. C'est le rôle des plateformes commerciales.

  • Trapster : plateforme de deception française bâtie sur le moteur open source Trapster Community. VM prêtes à l'emploi (déploiement en quelques minutes), personas réalistes avec clonage d'interfaces et réponses assistées par IA, honeytokens générés et suivis depuis le tableau de bord, intégrations SIEM natives (Splunk, Sentinel, QRadar, Elastic), données hébergées en France. Pensée pour la détection interne des PME, ETI et MSSP.
  • Thinkst Canary : le pionnier de la catégorie, apprécié pour sa simplicité. Appliances physiques ou virtuelles et service de canary tokens, tarification par équipement. Une valeur sûre, avec un modèle centré sur des leurres unitaires plus que sur une couverture réseau pilotée.
  • Les suites de deception des grands éditeurs (par exemple FortiDeceptor chez Fortinet) : pertinentes si votre infrastructure est déjà standardisée chez l'éditeur en question, au prix d'une adhérence forte à son écosystème et de coûts de licence élevés.

Tableau comparatif 2026

Solution Type Cas d'usage principal Services / leurres Effort de déploiement
Trapster Commercial (moteur open source) Détection interne à l'échelle, PME à MSSP Multi-services + honeytokens + clonage web Très faible
Thinkst Canary Commercial Alerte simple par appliances Appliances + canary tokens Très faible
FortiDeceptor Commercial Environnements Fortinet Suite de leurres intégrée Moyen
Trapster Community Open source Détection interne, leurres réalistes SSH, HTTP, RDP, DB, LDAP... Faible
Cowrie Open source Observation SSH/Telnet SSH, Telnet Faible
T-Pot Open source Recherche, veille sur IP exposée 20+ honeypots agrégés Moyen à élevé
OpenCanary Open source Alerte simple, petit budget ~10 services émulés Très faible
Dionaea Open source Capture de malwares SMB, FTP, MSSQL... Moyen
Conpot Open source Environnements industriels (OT) Modbus, S7, BACnet Moyen

Quel honeypot choisir selon votre profil

  • Vous voulez apprendre ou expérimenter : Trapster Community ou Cowrie sur une VM, en une soirée.
  • Vous êtes chercheur ou CERT : T-Pot sur une IP exposée, pour le volume et les dashboards.
  • Vous êtes une PME sans SOC : une plateforme managée avec des alertes actionnables ; c'est le cœur de cible de Trapster.
  • Vous êtes un SOC ou un MSSP : une plateforme avec API, intégrations SIEM/SOAR et gestion multi-tenant des leurres et honeytokens.
  • Vous opérez de l'industriel : Conpot en complément d'une couverture IT classique.

Les limites de l'open source à l'échelle

Un honeypot open source répond bien à un besoin ponctuel : un leurre sur un segment, une sonde de recherche, un projet d'apprentissage. Les difficultés apparaissent à l'échelle d'une organisation :

  • déployer et mettre à jour des dizaines de leurres sur plusieurs segments et sites,
  • générer et suivre des honeytokens sur les vrais actifs,
  • centraliser les alertes, les dédupliquer et les router vers le SOC,
  • maintenir le réalisme dans le temps (bannières, versions, conventions de nommage).

C'est précisément le périmètre des plateformes de deception managées. Trapster s'appuie sur le moteur open source de Trapster Community et y ajoute le déploiement centralisé, les honeytokens, les intégrations SIEM natives et le support. Commencez avec l'open source pour valider le concept ; industrialisez quand le périmètre grandit.

Par où commencer

  1. Déployez un leurre sur votre segment le plus sensible (serveurs, VLAN d'administration).
  2. Branchez les alertes sur un canal que quelqu'un lit vraiment (SIEM, Slack, e-mail d'astreinte).
  3. Testez : lancez un scan nmap depuis un poste interne et vérifiez que l'alerte arrive.
  4. Étendez la couverture segment par segment, puis ajoutez des honeytokens.

Et si vous voulez voir ce que donne une plateforme complète, réservez une démo de 30 minutes : nous déployons un environnement de test avec vous.

Questions fréquentes

Quel est le meilleur honeypot open source ? Pour la détection d'intrusion sur un réseau interne, Trapster Community offre la couverture protocolaire la plus large avec des leurres réalistes. Pour observer spécifiquement les attaques SSH, Cowrie reste la référence. Pour la recherche sur une IP exposée, T-Pot agrège le meilleur de l'écosystème.

Un honeypot gratuit suffit-il pour une entreprise ? Pour valider le concept sur un segment, oui. À l'échelle (plusieurs segments, honeytokens, alertes centralisées vers un SOC, maintenance du réalisme), le coût de possession de l'open source dépasse vite celui d'une plateforme managée.

Un honeypot remplace-t-il un EDR ou un IDS ? Non, il les complète. L'EDR couvre les terminaux équipés d'un agent, l'IDS analyse le trafic par signatures ; le honeypot détecte ce qui leur échappe (mouvement latéral, machines sans agent) avec un taux de faux positifs proche de zéro. Notre définition complète du honeypot détaille cette complémentarité.

Combien coûte un honeypot ? De zéro (open source auto-hébergé) à quelques milliers d'euros par an pour une plateforme d'entreprise avec support, selon le nombre de leurres et les intégrations. Consultez nos tarifs pour un ordre de grandeur concret.