LEURRÉ.COM : RETOUR D'EXPÉRIENCE SUR PLUSIEURS MOIS D'UTILISATION D'UN POT DE MIEL DISTRIBUÉ MONDIALEMENT
par Marc  DACIER (Eurecom)
Résumé
Le projet Leurré.com est fondé sur un partenariat entre de nombreux intervenants disséminés dans le monde entier qui ont déployé un ensemble de pots de miel tous configurés de manière identique. Les données collectées sont rassemblées dans une base de données centralisée. Cet environnement unique, administré par l'institut Eurecom, offre à ses partenaires des données qu'ils peuvent analyser par le biais de techniques innovantes. Pour l'instant, plus de 20 plateformes sont en fonctionnement depuis plusieurs mois sur les 5 continents. Ce papier présente les derniers résultats obtenus. Entre autres choses, nous montrons l'influence grandissante du crime organisé dans les attaques vues sur Internet. Nous éclairons les stratégies de coopérations qui existent entre différents groupes d'attaquants. Nous expliquons pourquoi interdire l'accès à son réseau à un certain nombre d'adresses IP déjà vues peut être un gaspillage de ressources. Nous expliquons aussi la valeur que peuvent retirer les administrateurs et les officiers de sécurité des données collectées afin de leur permettre de mieux réagir aux menaces identifiées. Enfin, nous offrons aux participants à la conférence d'accéder gratuitement à l'ensemble de nos données en échange du déploiement d'un de nos honeypots au périmètre de leur environnement.
Biographie
Marc Dacier reçoit le diplôme d'ingénieur civil en informatique de l'Université Catholique de Louvain (UCL), Belgique, en 1989 et un doctorat, label européen, de l'institut national polytechnique de Toulouse, France, en 1994. De 1989 à 1991, il travaille à l'UCL. De 1992 à 1994, il fait partie du groupe Tolérance aux fautes et Sûreté de Fonctionnement (TSF) du LAAS-CNRS à Toulouse où il travaille sur la problématique de l'évaluation quantitative de la sécurité informatique opérationnelle. En 1995, il travaille pour la société Firstel à Paris en tant que consultant en sécurité. En 1996, il rejoint le laboratoire de recherches IBM de Zurich, Suisse. En 1997, il devient responsable du groupe intitulé « Global Security Analysis Lab (GSAL) ». Ce groupe conduit plusieurs projets dans le domaine de la détection d'intrusions qui ont mené, notamment, à la création du premier produit de corrélation d'alertes, Tivoli Risk Manager. Depuis 1997, il a donné en tant que chercheur invité un séminaire en détection d'intrusions à l'université de Louvain (UCL), de Namur (FUNDP), de Liège (ULg) ainsi qu'à l'ENSEEIHT de Toulouse. En 2002, il reçoit le titre de professeur invité à l'UCL et professeur associé à l'ULg. En 1998, il a cofondé avec Kathleen Jackson du laboratoire national de Los Alamos, Etats-Unis, le symposium « Recent Advances on Intrusion Detection » (RAID). Il en préside le steering comittee. Il fut le codirecteur avec Brian Randell de l'université de Newcastle, du projet Européen MAFTIA. Il sert dans les comités de programme des principales conférences mondiales en sécurité et en sûreté de fonctionnement. Il est membre du steering committee de la conférence « European Symposium on Research in Computer Security » (Esorics). Il est membre du comité éditorial du journal IEEE Transactions on Dependable and Secure Computing. Il a rejoint le département de communications d'entreprises de l'institut Eurecom en Juillet 2002 en tant que professeur. Ses recherches et ses activités d'enseignement concernent la sécurité informatique, la détection d'intrusion, la gestion des systèmes, la sûreté de fonctionnement en présence de fautes malicieuses. Il est l'auteur de nombreuses publications internationales et de plusieurs brevets.

Icon  Name                                  Size  
[PARENTDIR] Parent Directory - [   ] SSTIC05-article-Dacier-Leurre_com.pdf 144K [   ] SSTIC05-Dacier-Leurre_com.pdf 3.8M