Holoscope: Open and Lightweight Telescope & Honeypot Platform

Holoscope est une plateforme open source, légère et cloud-native, basée sur K3s et WireGuard, qui simplifie le déploiement et la gestion de capteurs de télescope et de pot de miel distribués afin de permettre une surveillance unifiée, sécurisée et résiliente des attaques Internet à grande échelle à travers divers réseaux.

L'essentiel

Imaginez l'internet comme une ville immense et trépidante. Dans cette ville, il y a deux types de gardes de sécurité qui tentent d'attraper des criminels :

1. Les Gardes du « Terrain Vague » (Darknets/Télescopes) : Ces gardes se tiennent dans des terrains vagues, inutilisés, où personne n'est censé habiter. Comme aucune personne légitime ne vit là, quiconque frappe à la porte est presque certainement un cambrioleur tentant de s'introduire par effraction. Ils se contentent de surveiller et d'enregistrer qui tente d'entrer.
2. Les Gardes des « Boutiques Décoys » (Honeypots) : Ces gardes installent de fausses boutiques vulnérables qui semblent contenir des marchandises faciles à voler. Ils invitent les cambrioleurs à entrer pour voir exactement quelles ruses ils utilisent, quels outils ils apportent et comment ils tentent de forcer les serrures.

Le Problème :
Habituellement, ces gardes sont embauchés par un seul quartier (comme une université ou une entreprise). Le problème est que les criminels ne ciblent souvent que des quartiers spécifiques. Un cambrioleur peut frapper aux portes en Italie mais ignorer le Brésil. Si vous n'avez des gardes que dans un seul endroit, vous ne voyez que la moitié du tableau. Pour comprendre tout le monde criminel, vous avez besoin de gardes dans de nombreuses villes différentes, qui se parlent toutes entre elles.

La Solution : Holoscope
Le document présente Holoscope, une nouvelle plateforme open-source conçue pour être le « centre de commandement » qui connecte ces gardes à travers le monde. Considérez cela comme une télécommande universelle et un centre de communication sécurisé qui permet aux universités, aux entreprises du cloud et aux fournisseurs d'accès à Internet en Europe, au Brésil et aux États-Unis de mettre en place facilement leurs propres capteurs de sécurité et de partager ce qu'ils voient.

Voici comment fonctionne Holoscope, en utilisant des analogies simples :

1. Le Tunnel Sécurisé (WireGuard)

Imaginez que tous les différents gardes se trouvent dans des bâtiments différents avec des systèmes de sécurité différents. Pour se parler sans être espionnés, Holoscope construit un tunnel souterrain secret (un réseau privé virtuel ou VPN) entre eux. Ce tunnel garantit que même si un cambrioleur s'introduit dans une station de garde, il ne peut pas facilement sauter vers la suivante. Cela maintient la communication sûre et privée.

2. Le Gestionnaire Robotique (K3s & Kubernetes)

Installer ces gardes manuellement est difficile. Vous devriez vous rendre dans chaque lieu, installer des logiciels et configurer des paramètres. Holoscope utilise un gestionnaire robotique (basé sur une technologie cloud appelée K3s).

• L'analogie : Imaginez que vous avez une flotte de camions de livraison (les capteurs). Au lieu de conduire jusqu'à chacun d'eux pour leur dire où aller, vous envoyez une seule commande numérique. Le gestionnaire robotique installe automatiquement le logiciel, connecte le camion au réseau et lui dit quoi faire. Si un camion tombe en panne, le robot envoie automatiquement un remplacement ou le répare. Cela rend le système « auto-réparateur ».

3. Les Modules « Plug-and-Play »

Holoscope est construit comme un jeu de LEGO.

• Le Module Darknet : Vous emboîtez cette pièce, et elle transforme un bloc d'adresses IP inutilisées en un « terrain vague » pour surveiller les scanners.
• Le Module Honeypot : Vous emboîtez celle-ci, et elle installe un faux serveur vulnérable pour attirer les hackers.
• Le Policier de la Circulation (Enforcement du Réseau) : C'est une pièce spéciale qui agit comme un directeur de trafic. Elle s'assure que si un hacker tente d'attaquer le « terrain vague », le système n'envoie pas accidentellement de réponse (ce qui révélerait que le capteur est réel). Elle s'assure également que la « boutique de déception » ne laisse pas accidentellement le hacker s'échapper dans le réseau réel.

4. Résultats du Monde Réel

Les auteurs ont testé ce système avec 10 organisations différentes (universités et fournisseurs de cloud) en Italie, au Brésil et aux États-Unis.

• Ce qu'ils ont découvert : Ils ont découvert que différentes localisations voient différents types de criminels. Par exemple, un capteur chez un fournisseur de cloud américain a vu des attaquants qui ressemblaient beaucoup à ceux ciblant les universités européennes, mais qui étaient différents de ceux ciblant le Brésil.
• « L'Anomalie » : Un capteur en Italie (Capteur E) a vu un trafic massif parce que ses adresses IP ressemblaient à des adresses résidentielles privées. Les hackers frappaient accidentellement (ou intentionnellement) à sa porte, pensant qu'il s'agissait d'un réseau domestique. C'est quelque chose qu'un capteur unique situé dans un autre endroit aurait manqué.

Pourquoi c'est important

Le document affirme qu'en utilisant Holoscope, les chercheurs en sécurité peuvent obtenir une vue globale et unifiée des cyberattaques sans avoir besoin de construire une infrastructure massive et coûteuse et personnalisée pour chaque nouveau projet. C'est léger (cela ne consomme pas trop de puissance informatique), ouvert (quiconque peut utiliser le code) et automatisé (il se répare lui-même).

En bref : Holoscope est un ensemble d'outils qui permet à différentes organisations de mettre en place facilement des « caméras de surveillance » et des « pièges de déception » partout dans le monde, de les connecter de manière sécurisée et de partager automatiquement les données pour mieux comprendre comment opèrent les cybercriminels.

Résumé technique

Résumé Technique : Holoscope – Une plateforme de télescope et de pot de miel ouverte et légère

Énoncé du problème
Les infrastructures de surveillance de la sécurité sont essentielles pour identifier les cybermenaces, pourtant les déploiements traditionnels de télescopes réseau (darknets) et de pots de miel (honeypots) sont souvent confinés à des domaines réseau uniques. Cette limitation restreint la visibilité à des systèmes autonomes (AS), des localisations géographiques ou des tailles de préfixes spécifiques, créant une vue fragmentée de l'activité malveillante. Bien que des observatoires distribués existent, leur construction est complexe en raison des défis liés au partage sécurisé des données, à la gestion interorganisationnelle, à l'évolutivité et à la nécessité d'automatisation dans des environnements hétérogènes et aux ressources limitées. Les solutions existantes reposent souvent sur du matériel préconfiguré, des technologies propriétaires ou manquent d'un cadre unifié pour la détection tant passive (télescope) qu'active (honeypot).

Méthodologie et Architecture
Les auteurs présentent Holoscope, une plateforme distribuée et cloud-native conçue pour simplifier le déploiement et la gestion de capteurs exposés à Internet à travers diverses organisations. L'architecture repose sur trois couches principales :

1. Couche de Connectivité Sécurisée : Utilisant WireGuard, Holoscope établit un réseau privé virtuel (VPN) point à point entre chaque capteur et un serveur central. Cette abstraction normalise le réseautage à travers des environnements hétérogènes, atténuant les problèmes liés au NAT, aux pare-feu et à l'adressage IP dynamique, tout en empêissant la visibilité directe de capteur à capteur pour limiter le mouvement latéral.
2. Couche d'Orchestration : Pour garantir la flexibilité et la réactivité, la plateforme adopte K3s (une distribution Kubernetes légère). Cette couche gère les applications conteneurisées (Docker), assurant l'ordonnancement des charges de travail, l'auto-guérison et le maintien de l'état. Elle permet à la plateforme de fonctionner efficacement sur du matériel aux ressources limitées (ex: 4 Go de RAM, 4 vCPU) tout en offrant une redondance grâce à des nœuds etcd répliqués.
3. Couche Modulaire : Les applications sont déployées sous forme de modules autonomes. La plateforme utilise Ansible pour l'Infrastructure-as-Code (IaC) afin d'automatiser l'intégration, la configuration et les mises à jour des capteurs. Helm est employé pour créer des déploiements paramétrés et réutilisables qui s'adaptent aux configurations spécifiques des capteurs (ex: noms d'interfaces réseau, plages IP).

Modules Clés
Holoscope propose une suite d'applications modulaires :

• Darknet (Passif) : Active les capteurs sur des plages d'IP inutilisées via un routage statique, une assignation directe de carte réseau (NIC) ou une redirection ARP de couche 2 transparente. Il se coordonne avec le module d'application de la loi réseau (Network Enforcement) pour bloquer tout trafic sortant, préservant ainsi la nature passive du télescope.
• Honeypot (Actif) : Prend en charge les honeypots conteneurisés. Pour atténuer les risques associés à l'exécution de code vulnérable, la plateforme utilise l'isolation Kubernetes, Falco pour la surveillance de l'exécution (runtime), et un Module d'Application de la Loi Réseau spécialisé. Ce module gère l'aiguillage du trafic et l'exposition des ports au niveau du noyau (via iptables), empêissant le pod du honeypot d'accéder à l'espace de nom réseau racine de l'hôte tout en permettant un contrôle fin de la redirection du trafic et de la limitation de débit.
• Collecteur de Trafic et Synchronisation des Logs : Utilise tcpdump pour la capture de paquets et Rsync pour l'agrégation centralisée des journaux, avec des politiques de rétention de données configurables.
• Analyse de Données : Exécute des tâches de calcul (allant de l'agrégation de métriques à l'IA/ML) sur les capteurs les plus puissants disponibles.

Déploiement et Résultats
Les auteurs ont déployé Holoscope auprès de 10 organisations en Europe (Italie), au Brésil et aux États-Unis (Microsoft Azure), impliquant des universités, des fournisseurs de services et des infrastructures cloud. Le déploiement couvre 11 520 adresses IP.

• Surcharge de Ressources : Les tests de performance sur des VM dédiées (2 vCPU, 2 Go de RAM) ont montré que la plateforme introduit environ 300 Mo de RAM et 3 à 10 % d'utilisation CPU par capteur. Le nœud maître K3s nécessite légèrement plus de ressources (0,6–1 Go de RAM, ~25 % de CPU).
• Aperçus du Trafic : L'analyse de trois mois de données (juillet–octobre 2025) a révélé :
  • Évolution Temporelle : Les répondants actifs (honeypots) ont considérablement augmenté le volume de flux de trafic par rapport aux darknets passifs.
  • Similitude des Expéditeurs : Les capteurs italiens au sein d'un même AS partageaient plus de 50 % des expéditeurs, tandis que les blocs contigus en partageaient jusqu'à 91 %. Les capteurs brésiliens partageaient environ 64 %. Notamment, le capteur Azure basé aux États-Unis présentait une affinité plus élevée avec les capteurs européens (58 %) qu'avec les brésiliens (43 %), suggérant que les capteurs basés sur le cloud attirent des acteurs malveillants similaires à ceux ciblant les réseaux académiques ou d'entreprise européens.
  • Ciblage de Ports : Les darknets ont principalement reçu du trafic sur les ports 22, 23 et 2000. Les répondants actifs ont montré des modèles distincts, tels qu'une activité élevée sur le port 179 (BGP). Un capteur (E) a présenté une anomalie avec plus de 40 % du trafic ciblant le port 9200 (Elasticsearch), indiquant des campagnes DDoS spécifiques.

Signification et Revendications
L'article affirme qu'Holoscope fournit un cadre évolutif, reproductible et sécurisé pour la construction d'observatoires de cybersécurité collaboratifs. Sa signification réside dans :

1. Visibilité Unifiée : Il permet l'agrégation de données provenant de multiples points de vue hétérogènes, révélant la diversité spatiale et les modèles d'attaque que les déploiements à domaine unique ignorent.
2. Efficacité Opérationnelle : En exploitant l'IaC et les technologies cloud-native, il réduit l'intervention manuelle, assure un déploiement cohérent et supporte l'orchestration dynamique dans des environnements aux ressources limitées.
3. Flexibilité : La conception modulaire permet l'intégration facile de nouveaux capteurs et applications (ex: analyse DNS ou de certificats) sans perturber l'infrastructure centrale.

Les auteurs concluent que l'exploitation d'une telle infrastructure distribuée nécessite une résilience de cluster robuste et une automatisation complète pour prévenir les erreurs de configuration et garantir la qualité des données. Les travaux futurs visent à étendre les capacités expérimentales et à diffuser des artefacts exploitables (jeux de données, listes de blocage) à la communauté de la cybersécurité au sens large.