{# Use overflow-x: clip instead of hidden so html/body don't become scroll containers, which would break `position: sticky` (e.g. the blog TOC sidebar). #} Leurre (decoy) : définition et fonctionnement | Trapster
Définition

Leurre (decoy)

Un leurre (decoy) est un actif factice délibérément déployé sur un réseau pour imiter une ressource de production légitime : un serveur, un poste de travail, un service exposé, un partage de fichiers, une application web, une base de données, voire un équipement IoT ou un automate OT. Sa seule raison d'être est d'être découvert, sondé puis exploité par un attaquant déjà présent dans l'environnement. Comme aucun utilisateur ou processus métier n'a de raison légitime d'y accéder, la moindre interaction avec un leurre constitue un signal à très faible taux de faux positifs. Le leurre est l'une des briques élémentaires de la sécurité par tromperie : il transforme le réseau interne en terrain piégé, où chaque tentative de reconnaissance ou de progression latérale risque de toucher un actif observé.

Comment ça fonctionne

Un leurre est conçu pour être crédible. Il présente une surface réaliste : ports ouverts cohérents, bannières de service plausibles, noms d'hôte alignés sur la convention de nommage interne, certificats, comptes apparents et contenus factices mais vraisemblables. L'objectif est qu'un attaquant en phase de reconnaissance ne puisse pas distinguer le leurre d'un actif réel par simple scan ou énumération. Toute connexion, authentification, requête ou exfiltration tentée contre le leurre est journalisée et remontée comme alerte de haute fidélité.

Les leurres se déploient à l'échelle. Plutôt qu'un actif isolé, on dissémine des dizaines ou des centaines de leurres à travers les VLAN, les segments DMZ, les réseaux utilisateurs et les zones serveurs. Cette densité augmente la probabilité qu'un attaquant en mouvement touche un leurre avant d'atteindre une cible réelle, et permet de cartographier sa trajectoire au fil des interactions successives.

  • Reconnaissance : un balayage réseau ou une énumération de services finit par interroger un leurre, déclenchant une alerte dès la phase de découverte.
  • Mouvement latéral : un attaquant qui pivote de machine en machine se connecte à un partage, un RDP ou un service factice et se trahit.
  • Vol d'identifiants : des comptes ou des secrets factices placés sur le leurre, utilisés ailleurs, révèlent que l'attaquant a tenté de les réutiliser.
  • Détection précoce : parce qu'aucun trafic légitime ne vise un leurre, le signal est quasi exempt de faux positifs.

Leurre et honeypot : une distinction subtile

Les termes leurre et honeypot se recouvrent largement et sont souvent employés de façon interchangeable. La nuance tient à l'accent mis. Le mot leurre désigne avant tout l'actif factice lui-même : ce qui imite une ressource réelle pour attirer l'adversaire. Le terme honeypot met davantage l'accent sur la dimension piège instrumenté et surveillé, c'est-à-dire le système conçu pour observer, enregistrer et analyser en détail le comportement d'un attaquant qui s'y est laissé prendre.

Concrètement, un leurre devient un honeypot dès lors qu'il est instrumenté pour capturer l'activité. Inversement, tout honeypot est un leurre du point de vue de l'attaquant. En pratique moderne, on parle souvent de leurres lorsque l'on évoque le déploiement massif d'actifs factices répartis sur le réseau, et de honeypot lorsque l'on insiste sur l'analyse fine d'une interaction. Les deux notions s'inscrivent dans la même discipline et se complètent : le leurre attire, le honeypot observe.

Réalisme, échelle et rôle dans la défense

La valeur d'un leurre dépend entièrement de sa crédibilité. Un actif factice trop évident, mal intégré ou détectable par des outils d'analyse anti-déception sera ignoré ou contourné. La qualité du réalisme, la cohérence avec l'environnement réel et le placement stratégique des leurres conditionnent leur efficacité, davantage que leur seul nombre.

Les leurres s'articulent avec d'autres mécanismes de la sécurité par tromperie. Des breadcrumbs (miettes de chemin) disposés sur les postes réels, comme des identifiants enregistrés, des entrées d'historique ou des fichiers de configuration, orientent discrètement l'attaquant vers les leurres. Ensemble, ils raccourcissent fortement le délai de détection d'une intrusion et offrent aux équipes SOC une visibilité directe sur les tactiques de l'adversaire, sans dépendre de signatures ni de seuils comportementaux complexes.

Avec Trapster

Trapster déploie des leurres réalistes à grande échelle à travers vos VLAN et segments réseau, sans agent sur les actifs de production, et remonte chaque interaction comme une alerte de haute fidélité directement exploitable par votre SOC.

Termes liés

Honeypot Un honeypot est un système leurre surveillé, sans usage légitime, dont toute interaction signale une activité suspecte. Breadcrumb (miette) Trace ou indice volontairement planté sur un poste réel pour être découvert par un attaquant et l'orienter vers un leurre ou un honeypot. Deceptive security (technologie de déception) La déception est une stratégie de défense qui sème des leurres et des appâts pour détecter, tromper et étudier les attaquants déjà présents dans le réseau. Mouvement latéral Le mouvement latéral désigne la phase post-compromission où un attaquant progresse de son point d'entrée vers d'autres systèmes du réseau.

Passez de la théorie à la détection

Découvrez comment Trapster déploie honeypots, leurres et honeytokens sur votre réseau pour transformer chaque interaction suspecte en alerte fiable.

Réserver une démo Tout le glossaire

Démo de 30 min, sans engagement · Hébergé en France