Honeypot avance avec integration SIEM
Un honeypot web haute interaction qui simule des services vulnerables et capture des patterns d'attaque reels, avec integration Grafana, Loki et Promtail pour l'analyse des menaces.
A propos
Ce projet de honeypot avance etait mon projet de fin de troisieme annee (B3) en cybersécurité a Bordeaux Ynov Campus. Il s'agit d'un honeypot web haute interaction, concu pour simuler des services vulnerables et capter des comportements d'attaque evolues dans un environnement controle.
Le honeypot est relie a une stack SIEM complete basee sur Grafana, Loki et Promtail, permettant la centralisation des logs en temps reel et la visualisation des attaques. L'infrastructure complete tourne sur Proxmox VE avec des conteneurs Docker pour l'isolation et la scalabilite.
Fonctionnalites
Vulnerabilites simulees
- Injection SQL : plusieurs points d'injection avec des niveaux de complexite differents.
- Cross-Site Scripting (XSS) : vulnerabilites XSS refletees et stockees.
- Remote Code Execution (RCE) : simulation d'injection de commandes avec execution sandboxee.
- Contournement d'authentification : systemes d'identifiants faibles et failles de session.
- Directory Traversal : vulnerabilites de manipulation de chemins.
Deception avancee
- Faux panneaux administrateur : interfaces de connexion realistes pour la collecte d'identifiants.
- Endpoints caches : decouverte de chemins secrets via enumeration.
- Reponses interactives : reponses contextualisees selon les patterns d'attaque.
Integration SIEM
- Logs JSON structures : capture de metadonnees riches (geolocalisation IP, empreintes de requete).
- Streaming temps reel : integration Promtail pour un envoi immediat des logs.
- Dashboards Grafana personnalises : supervision des attaques en temps reel avec vue geographique.
- Reconnaissance de patterns : detection automatique de signatures d'attaque courantes.
Architecture
Le projet repose sur une architecture conteneurisee avec :
- Moteur Honeypot : developpe en Python Flask pour des services web legers et extensibles.
- Grafana : dashboards temps reel et visualisation.
- Loki : aggregation et stockage centralises des logs.
- Promtail : agent de collecte et forwarding des logs.
- Docker : deploiement conteneurise pour une isolation complete.
Tous les services communiquent via un reseau Docker dedie, assurant une isolation securisee tout en conservant des scenarios d'attaque realistes.
Objectifs du projet
- Analyser des techniques d'attaque reelles dans un cadre controle et securise.
- Mettre en pratique des concepts de securite defensive via une implementation SIEM concrete.
- Apprendre la correlation de logs et la threat intelligence par l'experience.
- Construire une plateforme modulaire et scalable pour l'enseignement de la cybersécurité.
Competences developpees
Ce projet a renforce mes competences sur plusieurs axes :
- Securite defensive : comprehension des methodes d'attaque par analyse pratique.
- Architecture SIEM : experience terrain avec des solutions de supervision enterprise.
- Securite conteneurs : bonnes pratiques de deploiement et d'isolation Docker.
- Threat intelligence : reconnaissance de patterns et attribution d'attaques.
- Analyse de logs : requetage avance et correlation avec LogQL.
Cloner le projet
git clone https://github.com/Telooss/PROJET-B3-CYBER.git
Deployer le honeypot
cd PROJET-B3-CYBER ; docker-compose up -d
# Acces services:
# Honeypot: http://localhost:5000
# Grafana: http://localhost:3000
Ameliorations futures
Quelques pistes d'evolution :
- Integration Machine Learning : detection automatique de patterns avec des modeles ML.
- Support multi-protocole : extension au-dela de HTTP (SSH, FTP, etc.).
- Deploiement cloud : support natif AWS, Azure et GCP.
- Integration API : API REST pour l'acces programmatique aux donnees du honeypot.
Conclusion
Ce projet m'a permis de mieux comprendre a la fois les comportements d'attaquants et la supervision defensive via une approche pratique. Il m'a apporte une experience precieuse en operations SIEM, threat hunting et securite applicative.