The Hacker's Path : Guide complémentaire
Cet article accompagne Partie 1 : Introduction et Partie 2 : Maîtrise du Flipper. Tu as appris l'attaque. Maintenant, construis ta défense.
J'ai étudié les prix des plateformes commerciales de honeypot le mois dernier. Thinkst Canary demande 5 000 dollars par an pour cinq appareils. D'autres fournisseurs facturent par capteur, par mois, et tes données de menaces transitent d'abord par leur infrastructure. Ils voient tes attaquants avant toi.
C'est délirant.
Un honeypot est un système leurre conçu pour être attaqué. Tu déploies de faux services (SSH, SMB, FTP) et tu observes ce qui se passe. Les attaquants pensent qu'ils s'introduisent dans un vrai serveur, mais en réalité, ils te livrent des renseignements sur leurs outils, techniques et cibles. C'est de la défense offensive.
Le concept est simple. La mise en place ne devrait pas coûter un crédit immobilier.
On a donc construit HoneyAegis : une plateforme honeypot auto-hébergée, native Docker, avec analyse IA locale. Un Raspberry Pi 5 fait tourner les capteurs. Un vieux laptop Alienware fait tourner le cerveau. Tout reste sur ton réseau. Pas de cloud. Pas d'abonnements. Aucun fournisseur ne voit tes données de menaces avant toi.
Déploiement en un après-midi. Tout t'appartient. Pour toujours.
Qu'est-ce qu'un honeypot ?
Avant de construire, clarifions ce qu'on construit.
Un honeypot est un système volontairement vulnérable déployé pour attirer les attaquants. Il a l'air suffisamment réel pour tromper les scanners automatisés et les hackers curieux, mais il est entièrement faux. Pas de vraies données, pas de vrais utilisateurs, pas de vrais services, juste des services émulés qui enregistrent tout.
Pourquoi en vouloir un ?
- Alerte précoce : Les attaquants frappent ton honeypot avant tes vrais systèmes. Tu les vois arriver.
- Renseignement sur les menaces : Apprends quels outils ils utilisent, quels identifiants ils essaient, ce qu'ils cherchent.
- Schémas d'attaque : Construis une base de données de techniques spécifiques à l'exposition de ton réseau.
- Formation : Observe de vraies attaques se dérouler. Mieux que n'importe quelle simulation.
- Tests de pénétration : Une cible sûre pour tes propres exercices offensifs.
Ce que HoneyAegis émule
Cowrie : Honeypot SSH et Telnet. Enregistre les transcriptions complètes des sessions, capture les identifiants, journalise les commandes.
Dionaea : Capture les malwares. Émule SMB, FTP, HTTP et d'autres services. Stocke les payloads pour analyse.
OpenCanary : Honeypot multi-services. Émule les partages Windows, MySQL, SSH et plus encore. Hautement configurable.
L'architecture à deux nœuds
HoneyAegis utilise une séparation délibérée : le capteur fait face à internet, le cerveau reste protégé.
Internet ──► Routeur (redirection de ports) ──► Pi 5 CAPTEUR
│
│ Vector (logs)
▼
Réseau interne ◄──────► Alienware CERVEAU
│
├── PostgreSQL + TimescaleDB
├── FastAPI Backend
├── Ollama (IA locale)
├── Next.js Dashboard
└── Redis + CeleryPourquoi les séparer ?
Le capteur est volontairement exposé. Il sera attaqué. C'est tout l'intérêt. Si quelque chose tourne catastrophiquement mal, si un attaquant s'échappe des conteneurs honeypot, le Pi est un appareil à 60 dollars avec rien dessus sauf des leurres. On efface. On redéploie. Trente minutes.
Le cerveau contient tout ce qui a de la valeur : ta base de données, ton tableau de bord, ton analyse IA, tes données historiques d'attaques. Il ne touche jamais internet. Il reste sur ton réseau interne, recevant les logs du capteur via un canal sécurisé.
⚠️ Le cerveau ne doit jamais être exposé à internet
Rediriger des ports vers le cerveau, c'est la compromission instantanée. Le cerveau a ta base PostgreSQL, ton API, ton dashboard. L'exposer, c'est inviter les attaquants dans ton infrastructure réelle. Seul le capteur reçoit des redirections de ports. Uniquement les ports honeypot. Rien d'autre.
Configuration matérielle
Voici ce qu'on utilise. Ce n'est pas la seule configuration valide, c'est notre setup optimal avec du matériel qu'on avait déjà.
NOEUD 1 — CAPTEUR (Raspberry Pi 5 4Go)
| Composant | Spécification |
|---|---|
| Rôle | Capteur honeypot dédié |
| OS | Raspberry Pi OS (64-bit) |
| CPU | Broadcom BCM2712, quad-core Cortex-A76 @ 2,4 GHz |
| RAM | 4 Go LPDDR4X |
| Stockage | microSD ou NVMe via HAT |
| Services | Cowrie, Dionaea, OpenCanary, Vector, plugins HoneyAegis |
| Utilisation RAM | ~2 à 2,5 Go estimé |
| Réseau | Exposé à internet (ports honeypot uniquement) |
NOEUD 2 — CERVEAU (Alienware 15 R3)
| Composant | Spécification |
|---|---|
| Rôle | Backend, analyse IA, dashboard, base de données |
| OS | Kali GNU/Linux 2025.4 (rolling) |
| CPU | Intel Core i7-7700HQ (4 cœurs / 8 threads @ 2,8 GHz) |
| GPU | NVIDIA GeForce GTX 1070 Mobile — 8 Go VRAM |
| RAM | 16 à 32 Go (16 Go minimum recommandé) |
| NIC | Qualcomm Atheros Killer E2500 Gigabit Ethernet |
| Services | FastAPI, PostgreSQL+TimescaleDB, Redis, Celery, Ollama, Next.js, Traefik |
| Utilisation RAM | ~7,2 Go estimé |
| Réseau | Interne uniquement — JAMAIS exposé |
Pourquoi la GTX 1070 ?
L'IA locale nécessite une accélération GPU pour être utile. La GTX 1070 a 8 Go de VRAM, assez pour faire tourner Ollama avec llama3.1:8b confortablement. Ça te donne des résumés de menaces générés par IA sans envoyer de données à OpenAI ou Anthropic. L'IA explique ce que font les attaquants en langage clair, entièrement sur ton matériel.
Guide étape par étape : capteur Pi 5
Construisons ça à partir de zéro. On commence par le capteur, le Pi 5 qui fait face à internet.
Phase 1 : Configuration du capteur Raspberry Pi 5
Durée : 45 minutes
Prérequis : Raspberry Pi 5 (4Go), carte microSD ou HAT NVMe, alimentation, câble Ethernet, un autre ordinateur avec SSH
1.1 Flasher Raspberry Pi OS
Télécharge le Raspberry Pi Imager sur ton ordinateur. Insère ta carte microSD.
# In Raspberry Pi Imager:
# 1. Choose Device: Raspberry Pi 5
# 2. Choose OS: Raspberry Pi OS Lite (64-bit)
# 3. Choose Storage: Your microSD card
# 4. Click the gear icon for advanced options:
# - Set hostname: honeypot-sensor
# - Enable SSH with password authentication
# - Set username/password (not pi/raspberry)
# - Configure WiFi if needed (but use Ethernet)
# 5. Write the imageInsère la carte dans ton Pi 5, branche l'Ethernet et allume-le.
1.2 Configuration initiale
Connecte-toi en SSH à ton Pi :
bash# Depuis ton ordinateur
ssh [email protected]
# Tout mettre à jour
sudo apt update && sudo apt upgrade -y
# Installer les outils essentiels
sudo apt install -y git curl vim htop1.3 Définir une IP statique
Ton Pi a besoin d'une IP prévisible pour la redirection de ports. Remplace les adresses IP par le schéma de ton réseau :
bash# Vérifier le nom de ta connexion actuelle
nmcli con show
# Définir l'IP statique (adapter à ton réseau)
sudo nmcli con mod "Wired connection 1" ipv4.addresses 192.168.1.50/24
sudo nmcli con mod "Wired connection 1" ipv4.gateway 192.168.1.1
sudo nmcli con mod "Wired connection 1" ipv4.dns "8.8.8.8,8.8.4.4"
sudo nmcli con mod "Wired connection 1" ipv4.method manual
sudo nmcli con up "Wired connection 1"
# Vérifier
ip addr show eth01.4 Installer Docker
bash# Installer Docker avec le script de commodité
curl -fsSL https://get.docker.com -o get-docker.sh
sudo sh get-docker.sh
# Ajouter ton utilisateur au groupe docker
sudo usermod -aG docker $USER
# Installer le plugin Docker Compose
sudo apt install -y docker-compose-plugin
# Se déconnecter et se reconnecter pour les changements de groupe
exit
# Se reconnecter en SSH, puis vérifier
docker --version
docker compose version1.5 Déployer le capteur HoneyAegis
bash# Cloner le dépôt
git clone https://github.com/thesecretchief/HoneyAegis.git
cd HoneyAegis
# Copier le modèle d'environnement
cp .env.example .env
# Modifier la configuration
nano .envDans le fichier .env, définis ces valeurs :
bash# Configuration du capteur
HONEYAEGIS_MODE=sensor
BRAIN_HOST=192.168.1.100 # L'IP de ton Alienware
SENSOR_NAME=pi5-sensor-01Déployer la pile capteur :
bash# Démarrer les services capteur
docker compose --profile sensor up -d
# Observer les conteneurs démarrer
docker ps
# Conteneurs attendus :
# - honeyaegis-cowrie (honeypot SSH/Telnet)
# - honeyaegis-dionaea (capture de malware)
# - honeyaegis-opencanary (multi-service)
# - honeyaegis-vector (envoi de logs)
# Vérifier les logs pour s'assurer que tout fonctionne
docker compose logs -f
Guide étape par étape : cerveau Alienware
Maintenant le cerveau, le nœud protégé qui traite tout.
Phase 2 : Configuration du cerveau Alienware
Durée : 30 minutes
Prérequis : Kali Linux installé, pilotes NVIDIA configurés, connecté au même réseau que le Pi
2.1 Vérifier Kali et NVIDIA
bash# Vérifier la version de Kali
cat /etc/os-release
# Vérifier que le pilote NVIDIA fonctionne
nvidia-smi
# Tu devrais voir :
# - Version du pilote (535+ recommandé)
# - GTX 1070 avec ~8Go VRAM
# - Version CUDA2.2 Installer Docker sur Kali
bash# Mettre à jour et installer Docker
sudo apt update
sudo apt install -y docker.io docker-compose-v2
# Activer et démarrer Docker
sudo systemctl enable docker
sudo systemctl start docker
# Ajouter ton utilisateur au groupe docker
sudo usermod -aG docker $USER
# Se déconnecter et se reconnecter, puis vérifier
docker --version
docker compose version2.3 Installer le NVIDIA Container Toolkit
Ceci permet aux conteneurs Docker d'accéder à ton GPU, requis pour Ollama :
bash# Ajouter le dépôt NVIDIA container toolkit
distribution=$(. /etc/os-release; echo $ID$VERSION_ID)
curl -s -L https://nvidia.github.io/nvidia-docker/gpgkey | sudo apt-key add -
curl -s -L https://nvidia.github.io/nvidia-docker/$distribution/nvidia-docker.list | \
sudo tee /etc/apt/sources.list.d/nvidia-docker.list
# Installer le toolkit
sudo apt update
sudo apt install -y nvidia-container-toolkit
# Configurer Docker pour utiliser le runtime NVIDIA
sudo nvidia-ctk runtime configure --runtime=docker
sudo systemctl restart docker
# Tester l'accès GPU dans un conteneur
docker run --rm --gpus all nvidia/cuda:12.0-base nvidia-smi2.4 Déployer le cerveau HoneyAegis
bash# Cloner le dépôt
git clone https://github.com/thesecretchief/HoneyAegis.git
cd HoneyAegis
# Copier le modèle d'environnement
cp .env.example .env
# Modifier la configuration
nano .envConfigurer le cerveau :
bash# Configuration du cerveau
HONEYAEGIS_MODE=brain
OLLAMA_GPU=true
POSTGRES_PASSWORD=your-strong-password-here
JWT_SECRET=another-strong-secret
ADMIN_PASSWORD=dashboard-admin-passwordDéployer :
bash# Démarrer la pile cerveau complète
docker compose --profile brain up -d
# Le premier lancement prend quelques minutes
# Observer la progression :
docker compose logs -f
# Une fois les conteneurs lancés, télécharger le modèle IA
docker exec -it honeyaegis-ollama ollama pull llama3.1:8b
# Téléchargement de ~4,7Go - prend quelques minutes
# Vérifier tous les conteneurs
docker ps
# Conteneurs attendus :
# - honeyaegis-fastapi (backend API)
# - honeyaegis-postgres (base de données)
# - honeyaegis-redis (cache/file d'attente)
# - honeyaegis-celery (workers en arrière-plan)
# - honeyaegis-ollama (IA locale)
# - honeyaegis-nextjs (dashboard)
# - honeyaegis-traefik (reverse proxy)
Point clé
Ton capteur honeypot est volontairement exposé. Ton nœud cerveau ne doit jamais l'être. Cette séparation est le fondement de toute l'architecture. Si des attaquants s'échappent d'un conteneur sur le Pi, ils ne trouvent rien de valeur. Tes données, ton dashboard et ton analyse IA restent en sécurité sur le réseau interne.
Configuration réseau
C'est là que les gens se plantent. Lis attentivement.
⚠️ Règles de redirection de ports
Redirige UNIQUEMENT ces ports vers le capteur Pi :
| Service | Port externe | Port interne (Pi) | Protocole |
|---|---|---|---|
| Honeypot SSH | 22 | 2222 | TCP |
| Honeypot Telnet | 23 | 2223 | TCP |
| Honeypot FTP | 21 | 2121 | TCP |
| Honeypot SMB | 445 | 4450 | TCP |
Ne redirige JAMAIS ceux-ci :
- Port 3000 (Dashboard)
- Port 8000 (API)
- Port 5432 (PostgreSQL)
- Port 6379 (Redis)
- Aucun port vers l'Alienware
Connecte-toi à ton routeur et configure la redirection de ports vers l'IP statique du Pi (192.168.1.50 dans notre exemple). Les services honeypot tournent sur des ports élevés en interne, mais les attaquants les voient sur des ports standards à l'extérieur.
Accéder au dashboard
Depuis n'importe quel ordinateur de ton réseau interne :
bash# Ouvrir dans le navigateur :
http://192.168.1.100:3000
# Identifiants par défaut (à changer immédiatement !) :
# Nom d'utilisateur : admin
# Mot de passe : (ce que tu as mis dans ADMIN_PASSWORD)Ce que tu verras :
- Flux d'attaques en temps réel : Flux en direct des attaques entrantes au moment où elles se produisent
- Carte GeoIP : Représentation visuelle de l'origine des attaques
- Enregistrements de sessions : Transcriptions complètes des sessions SSH/Telnet, exportables en MP4/GIF
- Résumés IA : Explications des schémas d'attaque générées par Ollama en langage clair
- Statistiques : Fréquence des attaques, identifiants courants, services ciblés
- Configuration des alertes : Configurer des notifications Slack, Discord, email via Apprise
Utiliser HoneyAegis pour les tests de pénétration
C'est là que ça devient amusant. Ton honeypot est une cible sûre pour pratiquer des techniques offensives.
Exercice : attaque ton propre honeypot
Depuis Kali (en ciblant l'IP interne du Pi) :
- Lance nmap contre le Pi pour voir les services exposés
- Tente un brute force SSH avec Hydra
- Essaie l'énumération SMB
- Regarde le dashboard s'illuminer en temps réel
- Lis l'analyse IA de ton attaque
bash# Scanner ton honeypot
nmap -sV -p 22,23,445,21 192.168.1.50
# Brute force SSH (Cowrie accepte tout et l'enregistre)
hydra -l root -P /usr/share/wordlists/rockyou.txt ssh://192.168.1.50:2222
# Se connecter manuellement et explorer
ssh [email protected] -p 2222
# Essaie des mots de passe courants - Cowrie les accepte
# Regarde le dashboard - ta session apparaît instantanément
# Regarde l'IA expliquer ce que tu as faitIntégration avec The Hacker's Path :
- Partie 3 (Fondamentaux Kali) : Utilise ton honeypot comme cible de reconnaissance
- Partie 4 (Exploitation) : Pratique Metasploit contre ton environnement contrôlé
- Partie 5 (Audit complet) : Inclus le déploiement honeypot comme composante défensive
Et Home Assistant sur le même Pi ?
Réponse courte : Ne fais pas ça.
⚠️ Garde ton honeypot isolé
Ton capteur honeypot est volontairement exposé à internet. Il sera attaqué, c'est tout l'intérêt. Faire tourner Home Assistant sur le même appareil met tes contrôles domotiques à un échappement de conteneur des attaquants. Si quelque chose tourne mal, tu veux que le rayon d'explosion se limite à des faux services, pas à tes vraies serrures et ton thermostat. Utilise un Pi séparé pour Home Assistant.
La bonne nouvelle ? Ces ~1,5 Go de marge ne sont pas gaspillés. HoneyAegis a de la place pour évoluer.
Meilleure utilisation de la capacité de ton Pi
Au lieu d'entasser des services sans rapport sur un appareil exposé, utilise cette marge pour des capacités honeypot plus profondes :
Budget RAM du Pi 5 4Go (Capteur dédié)
| Overhead système | ~500 Mo |
|---|---|
| Cowrie (SSH/Telnet) | ~300 Mo |
| Dionaea (capture malware) | ~400 Mo |
| OpenCanary (multi-service) | ~200 Mo |
| Vector (envoi de logs) | ~100 Mo |
| Total de base | ~1,5 Go |
| Disponible pour extension | ~2,5 Go |
Feuille de route : à venir pour HoneyAegis
Nous développons activement des modules capteur supplémentaires pour le projet GitHub HoneyAegis. Les ajouts prévus comprennent :
- Conpot (~200 Mo) — Honeypot pour systèmes de contrôle industriel. Émule des PLCs et systèmes SCADA.
- Mailoney (~100 Mo) — Honeypot SMTP. Capture les bots de spam et les récolteurs d'identifiants.
- Elasticpot (~150 Mo) — Honeypot Elasticsearch. Attrape les bots qui scannent des clusters exposés.
- ADBHoney (~100 Mo) — Honeypot Android Debug Bridge. Détecte les attaquants ciblant les mobiles.
- Honey tokens — Faux identifiants AWS et clés API qui déclenchent des alertes quand ils sont utilisés.
L'architecture est faite pour ça. HoneyAegis utilise une structure Docker Compose modulaire : chaque nouveau honeypot s'ajoute comme un conteneur avec Vector qui envoie ses logs au cerveau. Mets une étoile au dépôt pour suivre le développement, ou contribue tes propres modules.
Le principe : Garde ton capteur honeypot concentré sur une seule tâche, et fais-la bien : être une cible attractive et isolée qui alimente ton cerveau en renseignements. Fais tourner Home Assistant sur un appareil séparé, là où il a sa place.
Lecture complémentaire : Opération Smart Home couvre les installations dédiées Home Assistant, et Ton WiFi peut te voir bouger explique le WiFi sensing sur son propre matériel.
Dépannage et maintenance
bash# Voir les logs (les deux nœuds)
docker compose logs -f
docker compose logs -f service-name
# Redémarrer un service
docker compose restart cowrie
# Vérifier l'utilisation des ressources des conteneurs
docker stats
# Sauvegarde de la base de données (sur le cerveau)
docker exec honeyaegis-postgres pg_dump -U honeyaegis honeyaegis > backup.sql
# Mettre à jour HoneyAegis
git pull
docker compose pull
docker compose up -d
# Supprimer les anciennes données d'attaque (attention !)
docker exec honeyaegis-postgres psql -U honeyaegis -c \
"DELETE FROM sessions WHERE created_at < NOW() - INTERVAL '30 days';"Problèmes courants :
- Conflits de ports : Un autre service utilise les ports honeypot. Vérifie avec
netstat -tlnp - Incompatibilité pilote NVIDIA : La version du container toolkit doit correspondre au pilote. Réinstalle le toolkit après les mises à jour du pilote.
- Vector n'envoie pas les logs : Vérifie
docker compose logs vector. En général un problème réseau/pare-feu entre les nœuds. - Ollama lent : Vérifie l'accès GPU avec
docker exec honeyaegis-ollama nvidia-smi
Et ensuite
Tu as maintenant un réseau honeypot en production qui génère du vrai renseignement sur les menaces. Voici comment le faire évoluer :
- Laisse-le tourner une semaine. Tu seras surpris de la rapidité avec laquelle les attaques apparaissent, généralement en quelques heures.
- Ajuste l'adhérence du honeypot. Configure Cowrie pour émuler un système de fichiers plus réaliste, gardant les attaquants engagés plus longtemps.
- Ajoute des honey tokens. Déploie de faux identifiants qui déclenchent des alertes instantanées quand ils sont utilisés.
- Intègre des flux de menaces. Connecte-toi à MISP ou AbuseIPDB pour un contexte enrichi sur les attaquants.
- Élargis ta flotte de capteurs. Déploie des capteurs Pi supplémentaires à différents points de sortie réseau.
Les plateformes commerciales facturent 5 000 dollars par an pour te montrer ce qui attaque ton réseau. Tu viens de construire la même capacité pour le prix d'un Pi et un peu d'électricité. Les attaquants viennent que tu les surveilles ou non. Maintenant tu surveilles.
Checklist de déploiement
☐ Pi 5 : IP statique assignée, Docker installé, pile capteur en marche
☐ Alienware : Toolkit NVIDIA installé, Docker en marche, pile cerveau déployée
☐ Ollama : Modèle llama3.1:8b téléchargé, accélération GPU vérifiée
☐ Réseau : Redirection de ports configurée (ports honeypot uniquement !)
☐ Isolation du cerveau : Vérifié que le cerveau n'a AUCUNE exposition internet
☐ Dashboard : Accessible à l'IP interne, mot de passe admin changé
☐ Vector : Les logs circulent du capteur au cerveau
☐ Première attaque : Test en attaquant ton propre honeypot
☐ Analyse IA : Vérifié qu'Ollama génère des résumés de menaces
The Hacker's Path
Ce guide accompagne la série sécurité.
Partie 1 : Introduction Partie 2 : Maîtrise du Flipper Guide HoneyAegis ✓ Partie 3 : Fondamentaux Kali Partie 4 : Exploitation
