{# Use overflow-x: clip instead of hidden so html/body don't become scroll containers, which would break `position: sticky` (e.g. the blog TOC sidebar). #} Honeypot : définition et fonctionnement | Trapster
Définition

Honeypot

Un honeypot est un système informatique délibérément exposé pour attirer, observer et enregistrer les actions d'un attaquant. Conçu pour ressembler à une ressource légitime (serveur, base de données, poste de travail, service applicatif), il n'a en réalité aucune fonction productive et n'est connu d'aucun utilisateur autorisé. Ce principe fondateur en fait sa force : puisque personne n'a de raison valable d'y accéder, toute interaction est par définition anormale et mérite une investigation. Le honeypot transforme ainsi le silence d'une ressource fictive en signal de détection à très haute fidélité, avec un taux de faux positifs proche de zéro.

Comment ça fonctionne

Un honeypot est instrumenté de bout en bout : chaque connexion, requête, tentative d'authentification ou commande exécutée est journalisée et déclenche une alerte. Contrairement à un IDS ou un antivirus qui doivent distinguer le trafic malveillant d'un flux légitime massif, le honeypot ne supporte aucun trafic normal. Le raisonnement de détection est donc binaire et robuste : présence d'interaction égale présence d'un acteur qui ne devrait pas être là, qu'il s'agisse d'un attaquant externe, d'un mouvement latéral interne ou d'un processus de reconnaissance automatisé.

Pour être atteint, un honeypot doit être découvert par l'adversaire. On l'expose donc dans les zones que les attaquants explorent naturellement, et on sème parfois des indices pour l'y conduire :

  • Des breadcrumbs (miettes) : identifiants stockés, entrées de configuration, partages réseau ou historiques de commande qui pointent discrètement vers le leurre.
  • Des honeytoken disséminés sur les vrais actifs, qui se comportent comme des appâts portables et déclenchent une alerte dès leur usage.
  • Une exposition de services réalistes (SSH, RDP, SMB, bases de données, API) avec des bannières et des comportements crédibles pour soutenir l'illusion.
  • Un placement aligné sur les chemins d'attaque probables, depuis la DMZ jusqu'au cœur du réseau interne et aux segments sensibles.

Types et placement dans le réseau

On classe traditionnellement les honeypots selon leur niveau d'interaction. Un honeypot basse interaction émule seulement la surface d'un service : il répond à une poignée de requêtes, capture les premières actions et présente peu de risque, mais offre une profondeur d'observation limitée. Un honeypot haute interaction met à disposition un système d'exploitation ou une application réels, ce qui permet de capturer le comportement complet de l'attaquant et ses outils, au prix d'un risque de compromission bien supérieur à maîtriser. Le choix relève d'un arbitrage entre richesse du renseignement et exposition.

Le placement détermine la valeur du signal. En périmètre ou en DMZ, le honeypot recense les scans et tentatives opportunistes venues d'Internet. À l'intérieur du réseau, parmi les actifs de production, il devient un détecteur de mouvement latéral : un attaquant déjà entré qui cartographie le domaine finira par sonder le leurre. Le honeypot s'inscrit dans une famille plus large de leurres de déception, aux côtés du decoy, du canary token et du honeytoken, qui couvrent ensemble fichiers, identifiants, services et hôtes entiers.

Valeur de détection, renseignement et risques

La principale valeur d'un honeypot est une détection précoce et fiable : il alerte souvent avant qu'un dommage réel ne survienne, là où les outils périmétriques sont aveugles. Il fournit aussi du renseignement de première main, ou intelligence : adresses sources, identifiants testés, outils déployés, tactiques et techniques observées, autant d'éléments qui alimentent la réponse à incident et le threat hunting. Le concept remonte aux travaux fondateurs des années 1990, popularisés par Lance Spitzner et le Honeynet Project, et reste aujourd'hui un pilier des stratégies de cyber-déception.

Le risque majeur tient à l'isolation. Un honeypot haute interaction mal cloisonné peut être détourné par l'attaquant pour rebondir vers les vrais systèmes ou servir de point de pivot. Une isolation réseau stricte, une surveillance permanente et des règles de confinement sortantes sont donc indispensables. Un leurre trop générique ou mal entretenu risque par ailleurs d'être identifié comme tel, perdant sa crédibilité face à un adversaire averti.

Avec Trapster

Trapster, plateforme de déception d'origine open source, déploie des honeypots et leurres sur l'ensemble du réseau, du périmètre aux segments internes, et les relie à des breadcrumbs et honeytoken sur les actifs réels afin d'orienter les attaquants vers les pièges. Chaque interaction avec un actif fictif est convertie en alerte qualifiée et à faible bruit, ce qui permet aux équipes SOC de détecter scans, accès non autorisés et mouvements latéraux sans noyer les analystes sous les faux positifs.

Termes liés

Honeytoken Un honeytoken est une donnée leurre (identifiants, clé d'API, document) qui ne sert jamais légitimement et dont tout usage trahit une compromission. Leurre (decoy) Actif factice (serveur, poste, service, partage, base de données) imitant une ressource de production pour attirer, ralentir et détecter un attaquant. Canary token Un canary token est un marqueur unique et inerte qui declenche une alerte des qu'il est consulte ou utilise, agissant comme un fil-piege numerique. Honeypot haute interaction vs basse interaction Comparaison des honeypots basse et haute interaction selon le compromis entre réalisme, qualité du renseignement, risque opérationnel et coût.

Passez de la théorie à la détection

Découvrez comment Trapster déploie honeypots, leurres et honeytokens sur votre réseau pour transformer chaque interaction suspecte en alerte fiable.

Réserver une démo Tout le glossaire

Démo de 30 min, sans engagement · Hébergé en France