Préambule
L'usage des honeypots est une brique très importante dans la cybersécurité. Elle permet d'apporter de précieuses informations sur les attaques du moment.
Il existe des honeypots très sophistiqués, permettant de susciter de l'engagement avancé de la part de l'acteur malveillant. Ils sont très utiles pour découvrir les procédés utilisés tout au long de l'intrusion et de l'exploitation. Ce type de honeypot est employé pour cibler les groupes d'attaquants comportant au moins une petite structure, menant de véritables campagnes. En revanche, ils sont plus complexes à mettre en œuvre, à maintenir, et surtout ils ne s'appliquent qu'à un périmètre technologique restreint.
Les honeypots plus généralistes sont, eux, moins susceptibles d'enregistrer des données concernant les techniques d'attaque avancées mais permettent de capturer du volume. Les indicateurs de compromission qu'ils fournissent constituent une manne d'information importante pour les équipements de sécurité. Ces honeypots sont nombreux aujourd'hui. Si certains s'en plaignent du fait qu’ils faussent la perception sur les taux d'expositions réels des services vulnérables, ces honeypots restent importants, car ils représentent une catégorie à part des services classiques accessibles sur Internet. Les connexions reçues n’y sont jamais le fruit du hasard car un utilisateur lambda n'est pas sensé s'y connecter ; il s'agit systématiquement d'outils automatisés qui ratissent les adresses IP. Ces outils peuvent s’inscrire dans une simple intention de scan des services exposés mais il s'agit parfois également de tentatives d'exploitation d’une vulnérabilité de l'application, constituant le vecteur initial d'une attaque plus avancée.
C'est pourquoi nous proposons une rétrospective sur l'activité que nous avons enregistrée sur nos honeypots entre la période mai 2025 - mai 2026. Nous mettrons particulièrement l'emphase sur les tentatives d'exploitation de vulnérabilités, afin de dégager les tendances observées sur le périmètre que nous surveillons.
Activité générale
Nous préférons ne pas dévoiler les emplacements de nos honeypots. En revanche, en une année d'activité, nous y avons enregistrés les données cumulées suivantes :
- 9 200 000 évènements de sécurité
- 54 000 IP source uniques
- 163 pays source
Les cibles sont les suivantes :
- SSH (75% des évènements) : l'activité sur ce service est extrêmement intensive. Son analyse mériterait un article à lui tout seul. En attendant, n'exposez jamais du SSH sur Internet. Vous seriez pris pour cible pratiquement instantanément et sans relâche.
- WEB HTTP/S (10% des événements) : la source de toutes les tentatives d'exploitation de CVE sur des applications Web, ainsi que des découvertes d'environnement. Nous y reviendrons plus en détail dans la suite de l'article.
- SMTP (10% des événements) : beaucoup de tentatives d'exploitation d'un serveur SMTP en Open Relay, mais peu d'attaques sur le service en lui-même ou de pièces-jointes vérolées.
- Protocoles médicaux (0,01% des évènements) : une activité sur ces protocoles étonnement calme.
Au-delà de cette activité générale, nous allons à présent détailler les tentatives d'attaques plus avancées, impliquant de l'exploitation de vulnérabilités.
Analyse d'exploitation de vulnérabilités
Relevé des compteurs
Si l'on ne restreint nos recherches qu'aux exploitations directes de CVE, nous obtenons une liste de 9 attaques qui se démarquent du lot, notamment sur les applications Web, ainsi que des routeurs. Chacune de ces exploitations possède son propre tempo, parfois avec des pics d'activités que nous verrons par la suite.
Figure 1 : Liste des attaques relevées
09 - Log4Shell (CVE-2021-44228)
CVSS : 10 / Date de publication : décembre 2021
Depuis sa mise en lumière, Log4Shell est devenu un grand classique des exploitations. Mais malgré de légers pics d'activités, les relevés sur cette CVE semblent relativement timides au regard de l'ampleur de cette vulnérabilité. Il est possible qu'elle soit sur le déclin, même si nous suivrons cela dans les prochains mois.
Figure 2 : tentatives d'exploitation de Log4Shell
08 - ownCloud (CVE-2023-49103)
CVSS : 10 / Date de publication : novembre 2023
Nous parlions dans un précédent papier de la CVE-2023-49103 permettant à un attaquant d'obtenir plusieurs d'informations sensibles d'un serveur ownCloud : mots de passe administrateur, clés de licence... Celle-ci semble toujours être testée, avec par exemple un pic d'activité relevé entre février et mars 2026.
Figure 3 : tentatives d'exploitation de la CVE-2023-49103 sur ownCloud
07 - D-Link Dir-645 (CVE-2015-2051)
CVSS : 10 / Date de publication : février 2015
Cette gamme de routeur est ciblée sporadiquement via une tentative d'exploitation d'une vulnérabilité datant de... 2015. Il est effectivement risqué d'en brancher un, si son firmware n'a pas été mis à jour depuis cette date. Il est possible que les pics d'activité observés en octobre 2025 soient liés à la campagne RondoDox.
Figure 4 : tentatives d'exploitation de la CVE-2015-2051 sur D-Link Dir-645
06 - CrushFTP (CVE-2025-54309)
CVSS : 9,8 / Date de publication : mai 2025
Cas intéressant ici puisqu'il s'agit d'une attaque unique et massive ciblant les serveurs CrushFTP via la CVE-2025-54309. Le 13 octobre 2025, nous avons relevé presque 200 tentatives d'attaque provenant de l'adresse IP 83.204.143.43, le tout s'étalant sur une période de 7 minutes seulement, avant de s'arrêter brusquement. Pas vraiment surprenant puisque cette vulnérabilité repose sur une concurrence d'accès. Mais un vrai rappel autour de ce type d'attaque, qui est compliqué à réaliser en masse pour un attaquant, car le volume de requêtes nécessaires est forcément plus élevé. Quant à la date de cette attaque, elle intervient quelques jours seulement après la mise à disposition publique d'un Proof of Concept.
Figure 5 : tentatives d'exploitation de la CVE-2025-54309 sur CrushFTP
05 - Netgear DGN1000 / DGN2000 (CVE-2024-12847)
CVSS : 9,8 / Date de publication : juin 2013
Cette vulnérabilité est un autre cas curieux puisqu'elle date de... 2013. Mais elle n'a été enregistrée officiellement en tant que CVE que 11 ans plus tard. Les attaquants peuvent s'en servir pour contourner l'authentification et exécuter des commandes avec les privilèges root. La majeure partie de ces attaques observées provient des adresses IP suivantes :
- 159.99.95 (15,9%)
- 88.186.85 (14,5%)
- 88.186.32 (8,7%)
- 198.131.83 (8,0%)
- 26.115.195 (4,3%)
- 199.72.27 (2,9%)
- 153.34.156 2,9%
Figure 6 : tentatives d'exploitation de CVE sur Netgear DGN1000/2000
04 - Shellshock (CVE-2014-6271)
CVSS : 9,8 / Date de publication : septembre 2014
Cette vulnérabilité fut une onde de choc en 2014. Il n'est dès lors pas étonnant de voir les attaquants tenter en permanence de s'en prendre aux imprudents qui exposeraient un service avec un bash non patché. Comme certaines stack Web font appel directement au bash, cela constitue une intrusion initiale relativement simple d'accès.
Figure 7 : tentatives d'exploitation de Shellshock
03 - ThinkPHP (multiples CVE)
CVSS : 9,8 (CVE-2018-25270) / Date de publication : avril 2026
Ce framework de développement PHP très populaire en Chine est fréquemment ciblé en raison de son potentiel d'exécution de code à distance. Ceci est d’autant plus vrai depuis la publication de la CVE-2018-25270 courant avril 2026. Nous pourrons suivre son évolution future.
Figure 8 : tentatives d'exploitation de vulnérabilités ThinkPHP
02 - Proxylogon - Proxyshell - ProxyNotShell
CVSS : 9,8 (ProxyLogon, ProxyShell), 8,8 (ProxyNotShell) / Date de publication : février 2021 (ProxyLogon), juillet 2021 (ProxyShell), septembre 2022 (ProxyNotShell)
Cette série de CVE en chaine est couramment exploitée depuis sa découverte en 2021, puis 2022 dans le cas de sa variante ProxyNotShell. Celle-ci permet à un attaquant de prendre la main avec les privilèges système sur un serveur Microsoft Exchange si celui-ci n'est pas patché. C'est un vecteur de compromission initial idéal au vu du serveur ciblé, et de sa simplicité à mettre en œuvre. Il n'est donc pas étonnant que les tentatives d'exploitation relevées soient encore monnaie courante et constantes dans le temps.
Figure 9 : tentatives d'exploitation de ProxyLogon - ProxyShell – ProxyNotShell
01 - React2Shell (CVE-2025-55182 et CVE-2025-66478)
CVSS : 10 / Date de publication : décembre 2025
Cette CVE permet à un attaquant d'obtenir un shell sur un serveur contenant une application Web basée sur Next.js, avec les droits utilisateurs du service. Révélée en décembre 2025, elle voit logiquement un pic d'exploitation opportuniste durant ce même mois avant de redescendre progressivement avec le déploiement des correctifs de sécurité. Une activité latente semble perdurer et nous verrons si elle passera l'épreuve du temps.
La majeure partie des attaques du mois de décembre provenait de ces seules six adresses IP :
- 142.147.209 (35,6%)
- 209.159.158 (26,1%)
- 86.107.35 (14,2%)
- 214.55.246 (6,2%)
- 187.35.21 (4,9%)
- 12.180.207 (3,3%)
Figure 10 : tentatives d'exploitation de la vulnérabilité React2Shell
Conclusions
Lorsque l'on compare ces résultats obtenus avec ceux d'autres acteurs de la cybersécurité possédant également des honeypots, nous pouvons observer des similitudes dans les types d'attaques, ainsi que sur leur rythme.
Ce qui nous permet d'établir les constats suivants :
- les cyberattaques sur les applications Web sont intenses et sans relâche ;
- les CVE avec un haut potentiel d'exploitation (ProxyShell, Shellshock, Log4Shell) sont toujours dans la course. Parfois même pour plus d'une décennie ;
- les routeurs et équipements IoT sont constamment visés ;
- exposer un service SSH sur Internet est extrêmement risqué !
Et pour contrer l'intégralité des menaces listées ci-dessus, il est nécessaire que les systèmes soient mis à jour de manière continue. Il est important de le rappeler régulièrement, puisque c'est l'un des fondamentaux de la cybersécurité.
Il reste bien évidemment le problème des Zero-Days, qui sont par définition impossibles à prévoir. Mais là encore l'usage de honeypots peut se révéler utile via la détection d'éléments suspects et encore inconnus.
