Command Center

Search for a vulnerability, tool, or protocol...

Defensive

Active Defense — Ralentir l’attaquant (Tarpitting) & Déception

Panorama d’active defense côté blue team : tarpitting, leurres, fausses pistes et contrôles de friction — avec limites légales/éthiques et intégration SOC.

14 mars 2026Peran2 min de lecture
#active-defense#tarpitting#deception#friction#soc#incident-response

Cadre (important)

L’active defense vise à augmenter le coût et réduire la vitesse d’un attaquant dans votre périmètre : friction, déception, monitoring, réponses automatisées.

  • Objectif : gagner du temps, améliorer la détection, réduire le blast radius.
  • À éviter : toute action offensive hors périmètre, ou susceptible de causer un dommage.

Règle pratique : rester dans des techniques de défense, d’observabilité et de contrôle d’accès.

Tarpitting (rendre l’attaque “lente”)

Le tarpitting consiste à ralentir des interactions abusives (souvent automatisées) en introduisant de la latence contrôlée.

Où ça marche bien

  • Authentification : tentatives répétées, brute force, enumeration.
  • Mail / formulaires : bots.
  • Services exposés : endpoints de login, APIs publiques.

Techniques défensives (haut niveau)

  • Rate limiting et quotas par IP/identité.
  • Backoff progressif : plus d’échecs → plus de délai.
  • Proof-of-work léger (selon contexte).
  • Challenge adaptatif (par risque), sans pénaliser tout le monde.

“Poisoning” / fausses pistes (déception contrôlée)

L’idée n’est pas de “tromper Internet”, mais de tromper un intrus dans un environnement contrôlé.

  • Faux chemins : répertoires, endpoints, bannières plausibles.
  • Honeytokens : faux secrets surveillés.
  • Documents canaris : contiennent des marqueurs (déclenchement d’alerte si exfiltrés et ouverts dans un environnement surveillé).

Garder ces mécanismes strictement non dangereux : ils doivent servir à l’alerte et l’attribution interne, pas à “piéger” des tiers.

Intégration SOC/IR

  • Déclencher une alerte enrichie (qui, où, quoi, score de risque).
  • Automatiser des actions “safe” :
    • Augmenter le niveau d’authentification (step-up)
    • Bloquer temporairement une IP (avec garde-fous)
    • Isoler un endpoint via EDR

Risques & anti-patterns

  • Friction excessive : dégrade l’expérience utilisateur et crée des contournements.
  • Blocage trop agressif : risque de DoS involontaire.
  • Déception non isolée : le leurre devient une surface d’attaque.

Mesures utiles

  • Temps gagné avant détection/containment.
  • Taux de déclenchement “leurre” vs incidents confirmés.
  • Impact sur les utilisateurs légitimes (SLO login, erreurs).

Voir aussi