Exposé sur la sécurité informatique Le « sniffing » …

Exposé sur la sécurité informatique
Le « sniffing » …
Introduction
Qu’est-ce que le « sniffing » ? Le sniffing est l’action d’écouter le trafic sur un réseau à l’aide
de drones appelés « sniffers » parfois à l’insu des utilisateurs et des administrateurs. À la base,
il était appelé « analyseur de protocole » voire encore « analyseur de réseau », devenu terme
populaire, il est le plus utilisé de nos jours. Il y a plusieurs types et méthodes de sniffing : son
utilisation en fait sa légalité. Néanmoins, il s’agit d’un comportement normal du système et il
ne faut donc pas s’en inquiéter si on prend soin de bien sécuriser son réseau.
Le renifleur peut être un matériel(hardware) ou un logiciel(software) : Le matériel est bien
plus efficace que le logiciel, encore que, la puissance des machines augmentant sans cesse et
donc il est plus difficile d’utiliser un matériel adéquat. Mais le matériel est surtout beaucoup
plus cher que le logiciel.
Comment ça marche ?
Une petite métaphore pour faciliter la vision d’un sniffer :
Un jour , vous vous réveillez avec une toux grasse. Vous allez chez le médecin et vous lui
dites que vous avez des problèmes de respiration à cause de je ne sais quoi. Son premier
réflexe sera de vous ausculter avec son stéthoscope. Et bien voilà le sniffer est égal à
l’administrateur réseaux ce qu’est le stéthoscope est au médecin : il est tres utile.
Il vous est sûrement déjà arrivé d’installer un freeware (logiciel libre) et, sans que vous ne le
sachiez, celui-ci se connecte à un serveur particulier et envoie des informations concernant
votre système.
Mais s’il est possible de prendre des informations de votre ordinateur , il est également
possible, en utilisant une même méthode, de détecter des logiciels espions (spyware).
C’est vrai qu’un sniffer est un programme installé sur votre ordinateur qui va vous permettre
de mettre en avant les problèmes qui passent par votre carte réseau et ainsi voir ce qui y passe.
Il est évidemment sur que vous ne pourrez voir que ce qui passe entre vous et le serveur et
non pas toutes les communications entre le serveur et les autres personnes connectées sauf si
vous êtes doté de mauvaises intentions et que vous voudriez rendre cela possible.
Qui utilise le sniffer ?
Tout le monde peut se servir de la méthode du sniffing, vous, moi … mais aussi le reste du
monde qui n’est pas composé que de gens honnêtes. C’est-à-dire les hackers.
La majorité des personnes utilisant cette technique à des fins malveillantes sont
principalement des hackers qui vont soutirer toutes les informations nécessaires afin d’en tirer
des bénéfices quelconque grâce à ce genre d’attaque.
Dans quel but ?
Au départ, le sniffing est utilisé dans les réseaux d’entreprise pour surveiller les diverses
informations voyageant entre les stations des employés, il est également très utile pour
détecter une éventuelle panne.
Un administrateur de sécurité pourrait utiliser plusieurs sniffers , extrêmement bien placés
dans tout le réseau, pour ainsi détecter des intrusions si il y en a.
Une mauvaise utilisation
Si les PDG en ont fait une utilisation courante dans les bureaux, les hackers ont eu le panache
de faire dévier le but premier de cette méthode de détection, notamment dans la capture de
donnée confidentielles d’un quelconque utilisateur comme des mots de passe ou des numéros
de compte en banque. S’attaquant aussi aux réseaux d’entreprise, une mauvaise utilisation
peut être dévastatrice pour vos informations.
Comment se protéger ?
La détection reste la seule manière de se protéger contre les sniffers. Si le sniffer arrive à
attaquer les switchs (et est donc actif), le sniffer aura alors plus de chance d’etre détecter que
si le sniffer est passif et n'émet aucun signal(trafic).
Comment détecter des sniffers passif ?
Si un sniffer provoque des résolutions avec des noms inverses , il est possible que vous
puissiez l'identifier grâce à ses requêtes DNS inverses. Pour pouvoir le faire , il faut générer
du trafic grâce à une adresse IP qui n’est pas utilisée sur le réseau et en utilisant une adresse
MAC non valide. Si un ordinateur exécute un sniffer configuré de cette même façon, elle sera
donc la seule à pouvoir faire une requête DNS inverse..
Comment détecter des sniffers actif ?
Détecter un sniffer actif est plus facile car il est évident qu’en observant le trafic , on puisse le
détecter. Si l'on observe beaucoup de réponses ARP (protocole de résolution d’adresse) non
sollicitées ayant toujours la même adresse MAC source, on peut en déduire qu'il s'agit d'une
attaque sur le réseau.
Les programmes permettant de l’utiliser
Il existe de nombreux programmes permettant l’utilisation du sniffing, certains ne sont pas
fiables tandis que d’autres sont remarquablement efficace. Intéressons-nous à ces derniers,
nous avons pris comme exemple deux programmes utilisés fréquemment par les pirates :
« Wireshark » appelé aussi « Ethereal » et « Cain & Abel ».
• Wireshark est un Analyseur de packets utilisé afin de dépanner et analyser les réseaux
informatiques, il est aussi couramment utilisé que Cain & abel et tout aussi efficace
dans le cryptage de données.
•
Cain & abel est un programme servant à la récupération de mot de passe sous
Windows(Même principe que Wireshark).
Comment utiliser « Cain & Abel » ?
Cain & abel est un programme permettant de récupérer des mots de passe en sniffant un
réseau , en cassant des mots de passe hachés , c'est à dire en identifiant rapidement un mot de
passe ou grâce à la recherche exhaustive également qui elle sert donc à rechercher des mots de
passe en énumérant tous les mots de passe possible jusqu'a trouver celui qui est rechercher.
Tout ceci servira éventuellement pour les administrateurs à élever le niveau de sécurité des
stations ( en verifiant si les mots de passe qui sont choisis par les utilisateurs sont assez long
et difficile à trouver) ou encore afin de l'utiliser pour attaquer le réseau ciblé.
Les différents types de sniffing
En fonction du type de fichier ou de donnée que vous voulez récupérer sur le réseau, vous
pouvez utiliser différentes méthodes de sniffing.
La méthode la plus couramment utilisée par les pirates est celle du sniff de mot de passe
Grace à cette méthode , il est possible d’enregistrer tous les noms d’utilisateurs et mots de
passe qui transite sur le réseau mais aussi les noms des serveurs et les services utilisés.
Il est également possible de sniffer toutes les requêtes http grâce au sniff URL. Il est utilisé
afin de déterminer le profil et les habitudes des utilisateurs de ces machines en prenant
connaissance des pages internet visitées par l’utilisateur.
Il est aussi possible grâce à une redirection d’enregistrement de conversation de « sniffer »
toute discussion de messagerie instantanée comme « MSN » par exemple ou encore
d’intercepter des mails transitant sur un réseau, voire des fichiers NFS (Network File System)
grâce au programme filesnarf qui lui enregistre tous les fichiers sniffés dans le répertoire de
travail courant.
Graphique
MDP : Mot de passe
Conclusion
L’analyseur de protocole, dit méthode du « sniffing » est une méthode possédant deux faces.
Si son utilisation rend la vie des administrateurs réseau plus facile dans la protection et la
surveillance des données, elle peut également leur coûter de nombreuses fuites
d’informations, qu’elles proviennent d’une entreprise où d’un simple utilisateur
inexpérimenté n’étant pas capable de se protéger face à de tels attaques sur leur vie privée.