cd ../projects
2025-01-15·2 min de lecture

Honeypot avance avec integration SIEM

Un honeypot web haute interaction qui simule des services vulnerables et capture des patterns d'attaque reels, avec integration Grafana, Loki et Promtail pour l'analyse des menaces.

Cybersécurité

A propos

Ce projet de honeypot avance etait mon projet de fin de troisieme annee (B3) en cybersécurité a Bordeaux Ynov Campus. Il s'agit d'un honeypot web haute interaction, concu pour simuler des services vulnerables et capter des comportements d'attaque evolues dans un environnement controle.

Le honeypot est relie a une stack SIEM complete basee sur Grafana, Loki et Promtail, permettant la centralisation des logs en temps reel et la visualisation des attaques. L'infrastructure complete tourne sur Proxmox VE avec des conteneurs Docker pour l'isolation et la scalabilite.

Fonctionnalites

Vulnerabilites simulees

  • Injection SQL : plusieurs points d'injection avec des niveaux de complexite differents.
  • Cross-Site Scripting (XSS) : vulnerabilites XSS refletees et stockees.
  • Remote Code Execution (RCE) : simulation d'injection de commandes avec execution sandboxee.
  • Contournement d'authentification : systemes d'identifiants faibles et failles de session.
  • Directory Traversal : vulnerabilites de manipulation de chemins.

Deception avancee

  • Faux panneaux administrateur : interfaces de connexion realistes pour la collecte d'identifiants.
  • Endpoints caches : decouverte de chemins secrets via enumeration.
  • Reponses interactives : reponses contextualisees selon les patterns d'attaque.

Integration SIEM

  • Logs JSON structures : capture de metadonnees riches (geolocalisation IP, empreintes de requete).
  • Streaming temps reel : integration Promtail pour un envoi immediat des logs.
  • Dashboards Grafana personnalises : supervision des attaques en temps reel avec vue geographique.
  • Reconnaissance de patterns : detection automatique de signatures d'attaque courantes.

Architecture

Le projet repose sur une architecture conteneurisee avec :

  • Moteur Honeypot : developpe en Python Flask pour des services web legers et extensibles.
  • Grafana : dashboards temps reel et visualisation.
  • Loki : aggregation et stockage centralises des logs.
  • Promtail : agent de collecte et forwarding des logs.
  • Docker : deploiement conteneurise pour une isolation complete.

Tous les services communiquent via un reseau Docker dedie, assurant une isolation securisee tout en conservant des scenarios d'attaque realistes.

Objectifs du projet

  • Analyser des techniques d'attaque reelles dans un cadre controle et securise.
  • Mettre en pratique des concepts de securite defensive via une implementation SIEM concrete.
  • Apprendre la correlation de logs et la threat intelligence par l'experience.
  • Construire une plateforme modulaire et scalable pour l'enseignement de la cybersécurité.

Competences developpees

Ce projet a renforce mes competences sur plusieurs axes :

  • Securite defensive : comprehension des methodes d'attaque par analyse pratique.
  • Architecture SIEM : experience terrain avec des solutions de supervision enterprise.
  • Securite conteneurs : bonnes pratiques de deploiement et d'isolation Docker.
  • Threat intelligence : reconnaissance de patterns et attribution d'attaques.
  • Analyse de logs : requetage avance et correlation avec LogQL.

Cloner le projet

git clone https://github.com/Telooss/PROJET-B3-CYBER.git

Deployer le honeypot

cd PROJET-B3-CYBER ; docker-compose up -d
# Acces services:
# Honeypot: http://localhost:5000
# Grafana: http://localhost:3000

Ameliorations futures

Quelques pistes d'evolution :

  • Integration Machine Learning : detection automatique de patterns avec des modeles ML.
  • Support multi-protocole : extension au-dela de HTTP (SSH, FTP, etc.).
  • Deploiement cloud : support natif AWS, Azure et GCP.
  • Integration API : API REST pour l'acces programmatique aux donnees du honeypot.

Conclusion

Ce projet m'a permis de mieux comprendre a la fois les comportements d'attaquants et la supervision defensive via une approche pratique. Il m'a apporte une experience precieuse en operations SIEM, threat hunting et securite applicative.