Canary token

Comment ca fonctionne

Le principe repose sur une asymetrie simple : un objet legitime mais piege est place a un endroit ou seul un acteur explorant ou exfiltrant des donnees ira le toucher. Chaque token embarque un identifiant unique relie a un service de collecte. Lorsque l'objet est consulte, ce service recoit une requete et enregistre les metadonnees disponibles, puis notifie le defenseur en temps quasi reel. Contrairement a une regle de detection classique, il n'y a pas de faux positif structurel : tout declenchement traduit une interaction avec un leurre qui n'aurait jamais du etre touche.

Les metadonnees remontees varient selon le type de token, mais incluent typiquement :

• L'adresse IP source de la requete (publique, souvent celle de l'attaquant ou de son infrastructure relais).
• L'horodatage precis du declenchement, utile pour reconstituer la chronologie d'une intrusion.
• Le user-agent ou la signature du logiciel utilise (navigateur, lecteur PDF, client DNS), qui renseigne sur l'outillage de l'adversaire.
• Des informations contextuelles propres au token : nom de domaine resolu, en-tetes HTTP, ou identifiant de l'application appelante.

Le canary token se distingue par sa nature passive : il ne scanne rien, ne consomme aucune ressource tant qu'on ne le sollicite pas, et reste invisible dans le flux operationnel normal. C'est cette discretion qui en fait un excellent detecteur de mouvement lateral et d'exfiltration, deux phases ou les outils de prevention en perimetre sont deja contournes.

Les principaux types de canary tokens

La force du concept tient a la diversite des supports que l'on peut piéger. Chaque type cible une etape ou une tactique d'attaque differente :

• URL de tracage : un lien unique qui beacone des qu'il est visite, ideal pour detecter le suivi d'un lien depose dans un document ou un wiki interne.
• Documents filigranes (Word, Excel, PDF) : a l'ouverture, le fichier tente de charger une ressource distante, ce qui revele que le document confidentiel a ete consulte hors de son perimetre.
• Token DNS : une resolution de nom unique declenche l'alerte, technique robuste car le DNS franchit souvent les pare-feux et fonctionne meme depuis des environnements cloisonnes.
• Fausses cles d'API AWS : une paire de cles d'apparence valide qui alerte des qu'un attaquant tente de l'utiliser contre les API du fournisseur cloud, trahissant une fuite de secrets.
• QR codes piéges : utiles pour les supports physiques ou les affichages, ils signalent qui scanne un code cense rester inutilise.
• Adresses e-mail canari : une boite ou un alias jamais communique qui, des reception d'un message, revele une fuite de carnet d'adresses ou une compromission de base de donnees.
• Tokens de dossier Windows : un fichier desktop.ini piege dans un repertoire sensible alerte des qu'un explorateur de fichiers parcourt l'arborescence, signe classique de reconnaissance interne.

Chacun de ces formats est trivialement bon marche a produire et a multiplier : on peut en semer des centaines a travers partages reseau, gestionnaires de secrets, bases de code et messageries, sans surcout d'infrastructure et sans maintenance lourde.

Canary token et honeytoken : quelle relation

En toute rigueur, le canary token est une implementation concrete et populaire de la notion plus large de honeytoken. Un honeytoken designe n'importe quelle donnee leurre dont le seul usage attendu est d'etre utilisee a tort par un acteur illegitime : un enregistrement de base fictif, un identifiant inutilise, un fichier appat. Le canary token ajoute a cette idee un mecanisme de beaconing standardise et pret a l'emploi, popularise par des plateformes dediees. Autrement dit, tout canary token est un honeytoken, mais tous les honeytokens ne beaconent pas automatiquement.

Cette distinction guide le choix de l'outil. Le canary token brille la ou l'on veut une alerte immediate et autonome a partir d'un artefact unique. Il s'articule naturellement avec d'autres dispositifs de defense par tromperie : un leurre (decoy) simule un actif entier comme un serveur ou une application, tandis qu'une breadcrumb (miette de pain) est un indice volontairement laisse pour attirer l'attaquant vers ce leurre. Le canary token, lui, est souvent la charge qui declenche l'alerte une fois la breadcrumb suivie, ou que l'on dissemine a l'interieur d'un honeypot pour confirmer une interaction. Combines, ces elements forment une couche de detection qui ne depend ni de signatures ni de seuils statistiques, mais de la simple curiosite de l'adversaire.