Exposé sur la sécurité informatique Le « sniffing » …
Transcription
Exposé sur la sécurité informatique Le « sniffing » …
Exposé sur la sécurité informatique Le « sniffing » … Introduction Qu’est-ce que le « sniffing » ? Le sniffing est l’action d’écouter le trafic sur un réseau à l’aide de drones appelés « sniffers » parfois à l’insu des utilisateurs et des administrateurs. À la base, il était appelé « analyseur de protocole » voire encore « analyseur de réseau », devenu terme populaire, il est le plus utilisé de nos jours. Il y a plusieurs types et méthodes de sniffing : son utilisation en fait sa légalité. Néanmoins, il s’agit d’un comportement normal du système et il ne faut donc pas s’en inquiéter si on prend soin de bien sécuriser son réseau. Le renifleur peut être un matériel(hardware) ou un logiciel(software) : Le matériel est bien plus efficace que le logiciel, encore que, la puissance des machines augmentant sans cesse et donc il est plus difficile d’utiliser un matériel adéquat. Mais le matériel est surtout beaucoup plus cher que le logiciel. Comment ça marche ? Une petite métaphore pour faciliter la vision d’un sniffer : Un jour , vous vous réveillez avec une toux grasse. Vous allez chez le médecin et vous lui dites que vous avez des problèmes de respiration à cause de je ne sais quoi. Son premier réflexe sera de vous ausculter avec son stéthoscope. Et bien voilà le sniffer est égal à l’administrateur réseaux ce qu’est le stéthoscope est au médecin : il est tres utile. Il vous est sûrement déjà arrivé d’installer un freeware (logiciel libre) et, sans que vous ne le sachiez, celui-ci se connecte à un serveur particulier et envoie des informations concernant votre système. Mais s’il est possible de prendre des informations de votre ordinateur , il est également possible, en utilisant une même méthode, de détecter des logiciels espions (spyware). C’est vrai qu’un sniffer est un programme installé sur votre ordinateur qui va vous permettre de mettre en avant les problèmes qui passent par votre carte réseau et ainsi voir ce qui y passe. Il est évidemment sur que vous ne pourrez voir que ce qui passe entre vous et le serveur et non pas toutes les communications entre le serveur et les autres personnes connectées sauf si vous êtes doté de mauvaises intentions et que vous voudriez rendre cela possible. Qui utilise le sniffer ? Tout le monde peut se servir de la méthode du sniffing, vous, moi … mais aussi le reste du monde qui n’est pas composé que de gens honnêtes. C’est-à-dire les hackers. La majorité des personnes utilisant cette technique à des fins malveillantes sont principalement des hackers qui vont soutirer toutes les informations nécessaires afin d’en tirer des bénéfices quelconque grâce à ce genre d’attaque. Dans quel but ? Au départ, le sniffing est utilisé dans les réseaux d’entreprise pour surveiller les diverses informations voyageant entre les stations des employés, il est également très utile pour détecter une éventuelle panne. Un administrateur de sécurité pourrait utiliser plusieurs sniffers , extrêmement bien placés dans tout le réseau, pour ainsi détecter des intrusions si il y en a. Une mauvaise utilisation Si les PDG en ont fait une utilisation courante dans les bureaux, les hackers ont eu le panache de faire dévier le but premier de cette méthode de détection, notamment dans la capture de donnée confidentielles d’un quelconque utilisateur comme des mots de passe ou des numéros de compte en banque. S’attaquant aussi aux réseaux d’entreprise, une mauvaise utilisation peut être dévastatrice pour vos informations. Comment se protéger ? La détection reste la seule manière de se protéger contre les sniffers. Si le sniffer arrive à attaquer les switchs (et est donc actif), le sniffer aura alors plus de chance d’etre détecter que si le sniffer est passif et n'émet aucun signal(trafic). Comment détecter des sniffers passif ? Si un sniffer provoque des résolutions avec des noms inverses , il est possible que vous puissiez l'identifier grâce à ses requêtes DNS inverses. Pour pouvoir le faire , il faut générer du trafic grâce à une adresse IP qui n’est pas utilisée sur le réseau et en utilisant une adresse MAC non valide. Si un ordinateur exécute un sniffer configuré de cette même façon, elle sera donc la seule à pouvoir faire une requête DNS inverse.. Comment détecter des sniffers actif ? Détecter un sniffer actif est plus facile car il est évident qu’en observant le trafic , on puisse le détecter. Si l'on observe beaucoup de réponses ARP (protocole de résolution d’adresse) non sollicitées ayant toujours la même adresse MAC source, on peut en déduire qu'il s'agit d'une attaque sur le réseau. Les programmes permettant de l’utiliser Il existe de nombreux programmes permettant l’utilisation du sniffing, certains ne sont pas fiables tandis que d’autres sont remarquablement efficace. Intéressons-nous à ces derniers, nous avons pris comme exemple deux programmes utilisés fréquemment par les pirates : « Wireshark » appelé aussi « Ethereal » et « Cain & Abel ». • Wireshark est un Analyseur de packets utilisé afin de dépanner et analyser les réseaux informatiques, il est aussi couramment utilisé que Cain & abel et tout aussi efficace dans le cryptage de données. • Cain & abel est un programme servant à la récupération de mot de passe sous Windows(Même principe que Wireshark). Comment utiliser « Cain & Abel » ? Cain & abel est un programme permettant de récupérer des mots de passe en sniffant un réseau , en cassant des mots de passe hachés , c'est à dire en identifiant rapidement un mot de passe ou grâce à la recherche exhaustive également qui elle sert donc à rechercher des mots de passe en énumérant tous les mots de passe possible jusqu'a trouver celui qui est rechercher. Tout ceci servira éventuellement pour les administrateurs à élever le niveau de sécurité des stations ( en verifiant si les mots de passe qui sont choisis par les utilisateurs sont assez long et difficile à trouver) ou encore afin de l'utiliser pour attaquer le réseau ciblé. Les différents types de sniffing En fonction du type de fichier ou de donnée que vous voulez récupérer sur le réseau, vous pouvez utiliser différentes méthodes de sniffing. La méthode la plus couramment utilisée par les pirates est celle du sniff de mot de passe Grace à cette méthode , il est possible d’enregistrer tous les noms d’utilisateurs et mots de passe qui transite sur le réseau mais aussi les noms des serveurs et les services utilisés. Il est également possible de sniffer toutes les requêtes http grâce au sniff URL. Il est utilisé afin de déterminer le profil et les habitudes des utilisateurs de ces machines en prenant connaissance des pages internet visitées par l’utilisateur. Il est aussi possible grâce à une redirection d’enregistrement de conversation de « sniffer » toute discussion de messagerie instantanée comme « MSN » par exemple ou encore d’intercepter des mails transitant sur un réseau, voire des fichiers NFS (Network File System) grâce au programme filesnarf qui lui enregistre tous les fichiers sniffés dans le répertoire de travail courant. Graphique MDP : Mot de passe Conclusion L’analyseur de protocole, dit méthode du « sniffing » est une méthode possédant deux faces. Si son utilisation rend la vie des administrateurs réseau plus facile dans la protection et la surveillance des données, elle peut également leur coûter de nombreuses fuites d’informations, qu’elles proviennent d’une entreprise où d’un simple utilisateur inexpérimenté n’étant pas capable de se protéger face à de tels attaques sur leur vie privée.