ObjectifCyber

Chapitre 4 — IDS, IPS & Honeypots

Ce module couvre les systèmes de détection et prévention des intrusions (IDS/IPS), leurs méthodes de détection, leur placement dans le réseau, et les leurres comme les honeypots.

Mémorisez ! IDS = détecte et alerte (passif, out-of-band). IPS = détecte ET bloque (actif, inline). Un IDS ne peut pas bloquer — il génère des alertes. Un IPS peut bloquer mais peut aussi provoquer des faux positifs.
CaractéristiqueIDSIPS
Position réseauHors du flux (out-of-band) — reçoit une copie du traficInline — dans le chemin du trafic
Réponse aux menacesAlerte + log seulementBloque, rejette, isole en temps réel
Impact sur les performancesAucun impact sur le flux réseauPeut ajouter de la latence
Risque faux positifAlerte inutile uniquementPeut bloquer du trafic légitime
Type de contrôleDétectifPréventif + Détectif

MéthodeComment ça fonctionneAvantageLimite
Signature-basedCorrespond le trafic à des signatures d'attaques connuesPeu de faux positifs, rapideInefficace contre les zero-days (pas de signature)
Anomaly-basedDéfinit une ligne de base "normale" et alerte sur les déviationsDétecte les zero-days et nouvelles attaquesPlus de faux positifs, phase d'apprentissage longue
Behavior-basedAnalyse les comportements au lieu des signaturesDétecte les menaces avancées (APT)Complexe à calibrer
HeuristicRègles heuristiques basées sur des patterns suspectsPeut détecter des variantes de malwaresFaux positifs possibles
Scénario : Un IDS basé sur les signatures détecte une attaque Heartbleed (CVE-2014-0160) car il a la signature dans sa base de données. Mais il rate une nouvelle variante personnalisée. Un IDS basé sur les anomalies remarque que le comportement de ce trafic TLS est inhabituel (grande réponse à une petite requête) et génère une alerte — même sans signature connue.

Astuce Examen

NIDS vs HIDS : une question mentionnant "modifications de fichiers système" ou "processus malveillants sur un hôte" → HIDS. "Trafic réseau anormal" ou "scans de ports" → NIDS. Les deux peuvent coexister et se complémentent.

1. Quelle est la principale différence fonctionnelle entre un IDS et un IPS ?

IDS (Detection) = passif — surveille, détecte, alerte. IPS (Prevention) = actif inline — détecte ET peut bloquer/rejeter en temps réel. L'IPS peut provoquer des interruptions si des faux positifs bloquent du trafic légitime.

2. Un IDS basé sur les anomalies (anomaly-based) est capable de détecter :

L'anomaly-based detection crée un profil de comportement "normal" (ligne de base) et alerte quand le comportement dévie significativement. C'est son avantage sur la détection par signature : pas besoin de signature connue pour détecter.

3. Quel type d'IDS est le plus adapté pour détecter des modifications non autorisées de fichiers système sur un serveur web ?

HIDS surveille l'hôte lui-même : fichiers système, processus, journaux, appels système. Une modification de fichier système (ex: /etc/passwd modifié) est visible par HIDS. NIDS ne voit que le trafic réseau et ne peut pas détecter des modifications de fichiers locaux.

4. Un administrateur dépose un fichier nommé "credentials_db.xlsx" sur un partage réseau et configure une alerte si ce fichier est ouvert. Quelle technique de détection est utilisée ?

Un honeyfile est un fichier appât conçu pour attirer les attaquants. Aucun utilisateur légitime n'a de raison d'ouvrir ce fichier — tout accès est donc suspect et déclenche une alerte. Technique de déception (deception technology).

5. Pourquoi un IPS inline peut-il causer des problèmes de disponibilité ?

Un IPS inline se trouve dans le chemin du trafic. Si sa règle de détection génère un faux positif (trafic légitime identifié comme malveillant), il peut bloquer une connexion légitime et causer une interruption de service. L'IDS hors-bande ne peut pas causer ce problème.

6. La détection par signature est inefficace contre :

Les signatures ne peuvent détecter que les attaques connues pour lesquelles une signature a été créée. Un zero-day est une attaque contre une vulnérabilité inconnue — pas de signature possible. L'anomaly-based detection est complémentaire pour ce cas.

7. Un "honeynet" est :

Un honeynet simule une infrastructure complète (plusieurs serveurs, services, données fictives) pour attirer les attaquants sophistiqués. Il permet d'étudier leurs techniques, outils et procédures (TTP) en détail.

8. Quel est l'avantage du positionnement "out-of-band" d'un IDS par rapport à un IPS inline ?

Hors-bande = l'IDS reçoit une copie du trafic (via port mirror/SPAN). Le trafic réel n'est pas affecté — aucune latence ajoutée, aucun risque de blocage de trafic légitime. Inconvénient : il peut seulement alerter, pas bloquer en temps réel.

9. Un "darknet" ou "darkspace" dans un contexte IDS/sécurité réseau représente :

Un darknet/darkspace est une plage d'IP allouée mais non utilisée. Aucun hôte légitime n'y répond. Tout trafic vers ces IPs signale un scan de ports, un malware en propagation, ou un mauvais routage. Excellente source de threat intelligence.

10. Lors du déploiement d'un NIDS, où doit-il être placé pour surveiller tout le trafic entrant depuis internet ?

Un NIDS surveille une copie du trafic via un port SPAN (Switch Port ANalyzer) ou un tap réseau physique. Pour voir tout le trafic internet, il doit être positionné avant le premier pare-feu (pour voir les attaques bloquées) ou entre le pare-feu et le LAN (pour voir ce qui passe).