Un outil de cybersécurité intéressant – Le jeton « Canary » (Canary Token)

Historique

Avant l’avènement de détecteur électronique de gaz tels comme le monoxyde de carbone ou le dioxyde de carbone, un type d’oiseau – le canari était utilisé régulièrement par les travailleurs de mines. Si, une fois dans les profondeurs de la mine, les travailleurs voyaient que le canari apporté avec eux mourrait, on évacuait immédiatement la section affectée de la mine pour effectuer une ventilation majeure avant d’y retourner travailler avec un nouveau canari.

Malgré la mort de l’oiseau, ce petit canari agissait comme un indicateur environnemental qui sauvait des vies humaines. Passons maintenant à aujourd’hui et ce même concept d’indicateur environnemental est maintenant appliqué en cybersécurité.

La raison d’être et la stratégie du jeton « Canary »

Créé il y a déjà quelques années par la compagnie de cybersécurité Thinkst, le but du concept du « Canary Token » (je le traduis par: jeton « Canary » dans ce tutoriel) est d’être déployé comme un « leurre » dans le cadre de mesure de détection d’intrusion en profondeur.

Un fichier « Canary » est habituellement un fichier fictif/bidon dont le type peut être différent : PDF, Word, Excel, HTML, DOCX, répertoire réseau, application web, serveurs web, etc.
Ce fichier (ou service) est nommé d’une manière si alléchante qui les intrus curieux qui ont déjà pénétré dans votre réseau de l’externe et déjoué vos systèmes de détection, sont ainsi repérés lorsque que l’intrus ouvre ce fichier « Canary » plus tard après avoir exfiltré le fichier en question.

À l’ouverture d’un fichier « Canary », une alerte est activée et lancée par courriel (ou par d’autres méthodes) vers votre équipe de cybersécurité avec des détails typiques comme le code de jeton (qui est rendu unique au moment de sa création) et le nom du jeton et l’adresse IP que vous pouvez enquêter et bloquer ensuite.

L’astuce à suivre est de saupoudrer notre réseau entier (ou des sections spécifiques) de ces fichiers fictifs « Canary » qui agissent comme des sentinelles passives donc avec un coût de déploiement et de gestion gratuit ou sinon relativement faible.

Il y a des versions gratuites ou même avancées et payantes qui offrent des options additionnelles et de déploiements complexes. Pour des fins de démonstration, nous allons utiliser le service de jeton gratuit suivant : https://www.canarytokens.org.