Chapitre 4 — IDS, IPS & Honeypots
Ce module couvre les systèmes de détection et prévention des intrusions (IDS/IPS), leurs méthodes de détection, leur placement dans le réseau, et les leurres comme les honeypots.
Mémorisez ! IDS = détecte et alerte (passif, out-of-band). IPS = détecte ET bloque (actif, inline). Un IDS ne peut pas bloquer — il génère des alertes. Un IPS peut bloquer mais peut aussi provoquer des faux positifs.
| Caractéristique | IDS | IPS |
|---|---|---|
| Position réseau | Hors du flux (out-of-band) — reçoit une copie du trafic | Inline — dans le chemin du trafic |
| Réponse aux menaces | Alerte + log seulement | Bloque, rejette, isole en temps réel |
| Impact sur les performances | Aucun impact sur le flux réseau | Peut ajouter de la latence |
| Risque faux positif | Alerte inutile uniquement | Peut bloquer du trafic légitime |
| Type de contrôle | Détectif | Préventif + Détectif |
| Méthode | Comment ça fonctionne | Avantage | Limite |
|---|---|---|---|
| Signature-based | Correspond le trafic à des signatures d'attaques connues | Peu de faux positifs, rapide | Inefficace contre les zero-days (pas de signature) |
| Anomaly-based | Définit une ligne de base "normale" et alerte sur les déviations | Détecte les zero-days et nouvelles attaques | Plus de faux positifs, phase d'apprentissage longue |
| Behavior-based | Analyse les comportements au lieu des signatures | Détecte les menaces avancées (APT) | Complexe à calibrer |
| Heuristic | Règles heuristiques basées sur des patterns suspects | Peut détecter des variantes de malwares | Faux positifs possibles |
Scénario : Un IDS basé sur les signatures détecte une attaque Heartbleed (CVE-2014-0160) car il a la signature dans sa base de données. Mais il rate une nouvelle variante personnalisée. Un IDS basé sur les anomalies remarque que le comportement de ce trafic TLS est inhabituel (grande réponse à une petite requête) et génère une alerte — même sans signature connue.
- NIDS (Network-based IDS) : surveille le trafic réseau. Placé au niveau du segment réseau (ex: derrière le routeur). Voit tout le trafic réseau mais pas ce qui se passe sur les hôtes individuellement.
- HIDS (Host-based IDS) : agent installé sur chaque hôte. Surveille les fichiers système, journaux, processus, appels système. Plus précis pour les menaces sur l'hôte. Ex: OSSEC, Wazuh.
- Wireless IDS (WIDS) : détecte les AP pirates (rogue AP), les attaques sur le Wi-Fi (deauth, evil twin).
Astuce Examen
NIDS vs HIDS : une question mentionnant "modifications de fichiers système" ou "processus malveillants sur un hôte" → HIDS. "Trafic réseau anormal" ou "scans de ports" → NIDS. Les deux peuvent coexister et se complémentent.
- Honeypot : système leurre conçu pour attirer les attaquants. Non utilisé en production — toute activité est suspecte. Permet d'étudier les techniques d'attaque.
- Honeypot à faible interaction : simule un service (ex: un faux SSH). Moins de risque mais moins d'informations.
- Honeypot à haute interaction : système réel (VM) exposé. Plus de données mais risque de rebond si compromis.
- Honeynet : réseau entier de honeypots simulant une infrastructure.
- Honeyfile : fichier appât (ex: "mots_de_passe.xlsx") qui déclenche une alerte si ouvert.
- Darknet / Darkspace : plage d'adresses IP non utilisées. Tout trafic vers ces IPs est par définition suspect (scan, malware propagation).