Conclusion
Les avantages d’un jeton « Canary »
Le jeton « Canary » est un outil qui permet une visibilité additionnelle en termes de cybersécurité.
Ceci est un moyen peu dispendieux et simple à gérer de détection d’intrusion post exfiltration dans notre réseau : vous augmenter vos chances de savoir si votre réseau a été pénétré de façon indirecte.
Les désavantages d’un jeton « Canary »
- L’intrus pourrait utiliser le site web VirusTotal (https://www.virustotal.com) comme détecteur de contre-mesures.
- Dans le cas du jeton canari que j’ai créé, il semble estamper le fichier avec une très vieille version de Acrobat Pro 15.8.20082. L’intrus pourrait créer un filtre pour chercher des fichiers avec cette version comme de contre mesure donc ne pas ouvrir le fichier. Aucune détection, aucune alerte.
- Le type de jeton « Canary » testé ne rapporte que les informations sur le fichier ouvert qu’à l’extérieur de notre réseau et non pas à l’intérieur de notre réseau.
- Si le fichier exfiltré qui contient le jeton « Canary » est ouvert dans un ordinateur qui n’est pas branché sur l’Internet, vous ne recevez pas d’alerte au moment de son ouverture. Donc aucune indication que votre réseau est compromis.
- Si le fichier exfiltré qui contient le jeton « Canary » est ouvert dans un ordinateur qui branché sur l’Internet, mais à travers un VPN ou un réseau TOR, la valeur de la géolocalisation devient fortement douteuse. Mais au moins, vous savez quand même que le fichier a été exfiltré donc une brèche probable de cybersécurité a eu lieu. Le but et la valeur du jeton « Canary » comme détecteur reste intact.
- Le jeton canari n’offre pas une traçabilité complète de l’échange du fichier à même le fichier. Donc de quel ordinateur à quel ordinateur le fichier a-t-il changé de mains en dehors de notre réseau ?
- Certains logiciels de lecture/édition PDF va possiblement rapporter une alerte que le fichier essaie de communiquer à l’Internet et certains systèmes antivirus pourrait détecter voire même bloquer cette communication donc aucune alerte/détection n’est envoyée.