{# Use overflow-x: clip instead of hidden so html/body don't become scroll containers, which would break `position: sticky` (e.g. the blog TOC sidebar). #} Breadcrumb (miette) : définition et fonctionnement | Trapster
Définition

Breadcrumb (miette)

Un breadcrumb, ou « miette », est une trace numérique délibérément déposée sur un actif réel et productif du système d'information (poste de travail, serveur, station d'administration) dans le but d'être découverte par un attaquant pendant sa phase de reconnaissance. Contrairement à un leurre qui est un système entier fabriqué, la miette est un détail crédible et discret : un identifiant RDP enregistré, un mot de passe stocké dans le navigateur, un lecteur réseau monté, une entrée d'historique de commandes ou un signet pointant vers une interface d'administration. Son rôle n'est pas de piéger directement, mais de jouer le rôle de balise : elle attire l'attention de l'intrus et le pousse à suivre une piste qui le conduit, étape par étape, vers un environnement entièrement surveillé. La miette transforme ainsi le mouvement latéral de l'attaquant en un chemin balisé dont chaque foulée génère un signal de détection à haute fiabilité.

Comment ça fonctionne

Le principe repose sur l'asymétrie entre le défenseur, qui connaît son terrain, et l'attaquant, qui doit le découvrir. Après une compromission initiale, un intrus inspecte le poste pour trouver des chemins de rebond : informations d'identification mises en cache, partages réseau, connexions enregistrées, configurations d'outils. Le défenseur sème en amont des indices qui imitent exactement ces artefacts légitimes, mais qui mènent à des destinations contrôlées. Comme un utilisateur ou un processus normal n'a aucune raison d'interagir avec ces faux éléments, toute manipulation constitue un signal de haute fiabilité, avec très peu de faux positifs.

Une miette n'a de valeur que si elle est crédible et cohérente avec son environnement. Un identifiant administrateur enregistré sur un poste de comptabilité éveillera les soupçons ; le même identifiant sur une station d'administration paraîtra naturel. La crédibilité dépend du nommage, de l'emplacement, des horodatages et de la cohérence avec le reste du parc.

  • Identifiants RDP ou SSH enregistrés pointant vers une machine leurre.
  • Mots de passe stockés dans le gestionnaire du navigateur pour de fausses applications internes.
  • Lecteurs réseau mappés ou partages SMB référençant un serveur de fichiers piégé.
  • Historique de commandes (PowerShell, Bash) contenant des connexions vers des hôtes contrôlés.
  • Entrées de configuration, fichiers de session ou clés de registre désignant des services factices.
  • Signets de navigateur et raccourcis dirigeant vers une console d'administration leurre.

Placement et crédibilité

Le placement est l'élément déterminant de l'efficacité d'une miette. Elle doit être posée là où l'attaquant regardera spontanément, sans être si visible qu'elle trahisse sa nature artificielle. Les stations d'administration, les serveurs de saut et les postes d'utilisateurs à privilèges élevés sont des emplacements de choix, car ce sont précisément les cibles que recherche un intrus en quête d'élévation de privilèges et de rebond. Disperser les miettes de manière cohérente à travers le parc augmente la probabilité qu'une au moins soit découverte tôt dans l'intrusion.

La crédibilité exige aussi de soigner le revers de la médaille : la destination vers laquelle pointe la miette doit elle-même résister à l'inspection. Un identifiant qui ouvre une session sur un honeypot dont les services répondent de façon réaliste maintient l'illusion et prolonge l'engagement de l'attaquant, donnant au défenseur le temps d'observer ses outils, ses techniques et ses objectifs. À l'inverse, une miette qui mène à une coquille vide est rapidement repérée et abandonnée.

Complémentarité avec honeytokens et leurres

La miette s'inscrit dans une chaîne de tromperie. Elle est souvent matérialisée par un honeytoken, c'est-à-dire un identifiant, une clé ou une donnée artificielle dont toute utilisation déclenche une alerte ; la miette en est le support et le contexte, le honeytoken en est le mécanisme de détection. Le chemin balisé par les miettes débouche sur un leurre ou un honeypot, environnement complet conçu pour absorber et observer l'intrus. Là où le honeypot attend passivement qu'on vienne à lui, la miette agit comme un aimant qui oriente activement le mouvement latéral vers le piège.

Cette architecture en couches procure une détection précoce et une faible charge d'analyse : plutôt que de trier des millions d'événements pour repérer un comportement anormal, l'équipe de sécurité reçoit un signal net dès qu'une miette est touchée. Bien orchestrées, les miettes raccourcissent le temps de détection et fournissent un renseignement direct sur les intentions de l'adversaire.

Avec Trapster

Trapster permet de générer et de déployer des miettes cohérentes sur les actifs réels du parc, puis de les relier automatiquement aux leurres et honeypots correspondants, de sorte que chaque trace découverte par un attaquant produise une alerte qualifiée et le guide vers un environnement surveillé.

Termes liés

Honeytoken Un honeytoken est une donnée leurre (identifiants, clé d'API, document) qui ne sert jamais légitimement et dont tout usage trahit une compromission. Mouvement latéral Le mouvement latéral désigne la phase post-compromission où un attaquant progresse de son point d'entrée vers d'autres systèmes du réseau. Leurre (decoy) Actif factice (serveur, poste, service, partage, base de données) imitant une ressource de production pour attirer, ralentir et détecter un attaquant. Honeypot Un honeypot est un système leurre surveillé, sans usage légitime, dont toute interaction signale une activité suspecte.

Passez de la théorie à la détection

Découvrez comment Trapster déploie honeypots, leurres et honeytokens sur votre réseau pour transformer chaque interaction suspecte en alerte fiable.

Réserver une démo Tout le glossaire

Démo de 30 min, sans engagement · Hébergé en France