La participation à ce workshop a été extrêmement intéressante. Pas vraiment en terme de découverte technique, dans la mesure où, ne serait-ce que par goût personnel et aussi de part les gens que je fréquente, je n'ai jamais vraiment perdu le secteur de vue. Intéressant surtout par la nature des discussions. Parce que vouloir partager des données, plus précisément de traces d'activités, est un vœu pieu qui implique malheureusement nettement plus de choses que juste se balancer des logs en FTP. Et surtout plein de considérations pas techniques du tout, voire juridiques parfois... De par la variété des acteurs présents, des différentes projets et de leurs buts, bes besoins et des obligations de chacun, c'est tout un processus à mettre en place avec des questions pas simples du tout, malgré les apparence parfois, comme par exemple "de quel type de traces a-t-on besoin globalement ?".

Tout un tas de questions qui vont venir se greffer comme les soucis de confidentialité, de protection des données et de leur échange, de respect des réglementations, de partage responsabilité, etc. On pensera par exemple à des problématiques aussi variées que l'anonymisation efficace des traces ou la mise en place d'accords de confidentialités entre différents acteurs. Sans parler de gérer la relation avec les autorités qui ne manqueront pas, le temps venu, de vouloir jeter leur nez dans une mine d'informations de ce genre...

Quoi qu'il en soit, si les projets honeypots ont fait des progrès énormes, ils pêchent encore sur un point pourtant crucial : l'échelle. En effet, l'analyse scientifique des données générées par ces outils requiert une certaine représentativité. Or, l'ampleur manque quelque peu aux projets existants. Même si on peut raisonnablement avancer que les données recueillies par des infrastructure très distribuées comme le projet Leurre.com ou le Global Distributed Honeynet du Honeynet Project peuvent prétendre à quelque représentativité, il n'empêche que des datasets beaucoup plus larges, avec des sources beaucoup plus nombreuses et éclatées sur l'ensemble du globe, ne feraient pas de mal pour donner plus de validité aux résultats.

Et on sent bien qu'un projet seul, aussi bon soit-il, a très peu de chance d'atteindre cette représentativité, là où la mise en commun d'une partie des traces produites par plusieurs projets donnera certainement de bien meilleurs résultats. encore faut-il arriver à se mettre d'accord...


Sinon, je ne peux résister à la tentation de vous envoyer vers "# Mémoire Partagée", le blog que Daniel Polombo, dit Bozo pour les intimes, a ouvert le mois dernier. J'ai rencontré Daniel à mon entrée à l'ENST Bretagne, puis nous avons sévit ensembles pendant deux ans chez Cartel avant que nos chemins se séparent. C'était il y a presque cinq ans... Autant dire que ça ne rajeunit pas... Bref, vous trouverez dans ces lignes des billets et liens sur Solaris, Linux, AIX, et de la sécurité en général.