{# Use overflow-x: clip instead of hidden so html/body don't become scroll containers, which would break `position: sticky` (e.g. the blog TOC sidebar). #} Honeytoken : définition et fonctionnement | Trapster
Définition

Honeytoken

Un honeytoken est une donnée artificielle, sans aucune valeur opérationnelle, déposée volontairement dans un système d'information pour piéger un attaquant. Contrairement à un honeypot, qui est un système ou un service entier mis sous surveillance, un honeytoken n'est qu'une information : un couple identifiant / mot de passe, une clé d'accès AWS, un jeton d'API, un enregistrement de base de données, un compte Active Directory ou un document apparemment confidentiel. Sa propriété fondamentale est qu'il ne doit jamais être utilisé par un processus ou un utilisateur légitime. Personne dans l'organisation n'a de raison d'y toucher. Dès lors, toute tentative d'authentification, de lecture ou d'usage de ce token constitue, par construction, le signal d'une activité malveillante. Le honeytoken déplace ainsi la détection du terrain probabiliste (analyse de comportements suspects) vers un terrain binaire : il a été touché, donc il y a compromission. C'est ce qui en fait un signal à très haute fidélité, presque exempt de faux positif.

Comment ça fonctionne

Le principe repose sur l'instrumentation. Chaque honeytoken est associé à un mécanisme de détection qui se déclenche dès qu'il est manipulé. Une fausse clé d'API, par exemple, est connue du fournisseur ou d'un service de surveillance : la première requête signée avec cette clé lève immédiatement une alerte, en révélant l'adresse IP, l'horodatage et parfois la région d'où provient l'appel. Un faux compte Active Directory déclenche un événement de sécurité dès la première tentative d'authentification. Un document piégé peut embarquer une balise qui appelle un serveur distant à son ouverture.

  • Création : on génère une donnée crédible mais factice, indiscernable d'un secret réel pour un attaquant.
  • Placement : on la dépose là où un intrus ira fouiller (fichiers de configuration, gestionnaires de mots de passe, annuaire, bases de données).
  • Instrumentation : on relie le token à un capteur qui notifie tout accès ou tout usage.
  • Alerte : la moindre interaction génère un événement enrichi (qui, quand, depuis où), prêt à être corrélé dans le SIEM ou le SOAR.

Parce qu'aucun flux métier ne devrait jamais croiser ces données, le taux de bruit est quasi nul. C'est exactement l'inverse d'une règle de détection comportementale, qui doit composer en permanence avec le faux positif.

Honeytoken, honeypot et notions voisines

La confusion la plus fréquente oppose honeytoken et honeypot. Un honeypot est un système surveillé (serveur, service, machine) qui imite une ressource réelle et observe les attaquants qui s'y connectent. Un honeytoken, lui, n'est pas un système : c'est une donnée inerte que l'on sème un peu partout. On peut d'ailleurs disséminer des centaines de honeytokens à coût quasi nul, là où déployer un honeypot demande des ressources d'hébergement et de maintenance.

  • Le canary token est une forme très répandue de honeytoken : un jeton léger (URL, document, clé) qui « chante » dès qu'on le touche.
  • Le breadcrumb (miette de pain) est une trace volontairement laissée sur un poste pour guider l'attaquant vers un leurre ; un honeytoken peut servir de breadcrumb.
  • Le honeypot complète le dispositif en offrant une cible interactive une fois l'attaquant attiré.
  • Le faux positif est précisément ce que le honeytoken minimise, puisque tout déclenchement est légitimement suspect.

Cas d'usage : vol d'identifiants et exfiltration

Les honeytokens excellent dans la détection précoce des mouvements latéraux et du vol de secrets. De faux identifiants placés dans un fichier de configuration, un script ou un coffre de mots de passe ne seront trouvés que par quelqu'un qui fouille, c'est-à-dire un attaquant ou un outil de collecte automatisée. Leur usage signale alors que la compromission a déjà eu lieu et qu'une progression est en cours. De même, un enregistrement leurre injecté dans une base de données clients ne sera lu que lors d'une exfiltration massive : sa réapparition ailleurs, ou la requête qui le touche, dévoile la fuite. Cette stratégie raccourcit drastiquement le délai de détection, souvent le maillon faible face aux ransomwares et aux attaques par double extorsion.

Avec Trapster

Trapster s'appuie sur la logique des honeytokens en distribuant des données leurres au sein de votre environnement : faux identifiants, clés et comptes dont le seul usage déclenche une alerte à haute fidélité. Toute interaction avec un de ces leurres est traitée comme un signal de compromission immédiat, sans le bruit des détections comportementales classiques.

Termes liés

Canary token Un canary token est un marqueur unique et inerte qui declenche une alerte des qu'il est consulte ou utilise, agissant comme un fil-piege numerique. Breadcrumb (miette) Trace ou indice volontairement planté sur un poste réel pour être découvert par un attaquant et l'orienter vers un leurre ou un honeypot. Honeypot Un honeypot est un système leurre surveillé, sans usage légitime, dont toute interaction signale une activité suspecte. Faux positif Un faux positif est un événement légitime qualifié à tort de malveillant par un outil de détection, générant une alerte sans menace réelle.

Passez de la théorie à la détection

Découvrez comment Trapster déploie honeypots, leurres et honeytokens sur votre réseau pour transformer chaque interaction suspecte en alerte fiable.

Réserver une démo Tout le glossaire

Démo de 30 min, sans engagement · Hébergé en France