Espionnage dans les reseaux TCP / IP : sniffers et anti

AVANT-PROPOS
Avec le développement de l’informatique, la vie des entreprises modernes est
devenue largement tributaire des échanges et interactions entre leurs diverses
composantes. La plupart d’entre elles intègrent désormais des réseaux locaux. Ces
échanges d’information ne vont pas sans poser des problèmes de sécurité. Par
ailleurs, ces réseaux ont connu une évolution considérable, et on est passé des
réseaux locaux partagés où un hub diffuse les paquets vers toutes les machines du
réseau, aux réseaux locaux commutés où un switch filtre les communications aux
seules machines qui communiquent. Cependant, les pirates sont à l’affût de toute
innovation et ils s’ingénient à la tourner en leur faveur. Nous assistons de jour en
jour à la montée de redoutables menaces mettant en péril la sécurité des systèmes et
des réseaux informatiques. Pour certaines entreprises, ces attaques peuvent causer la
perte ou la détérioration irrémédiables de données précieuses et vitales. Il s’avère
donc nécessaire de prendre les devants pour détecter les tentatives d’attaque. L’une
des tâches d’un administrateur réseau est donc de maîtriser la sécurité de son réseau.
Certes, la plupart des entreprises délaissent leurs anciens hubs pour les nouveaux
switches. Et un ouvrage qui parle des hubs pourrait être taxé d’anachronisme. Loin
s’en faut. Nous en parlons sciemment et nous en voulons pour seule preuve que,
quand certains switches sont saturés par une attaque, ils cessent de filtrer les paquets
pour se transformer en de simples hubs.
La plupart des attaques exploitent les failles présentes dans les protocoles de
communication entre les machines des réseaux, les systèmes d’exploitation, les
applications et les services réseaux. Pour faire face à ces problèmes, des outils de
défenses ont été mis en place, tels les firewalls, les scanners de vulnérabilités, les
systèmes de détection d’intrusion (IDS), les antivirus et les sniffers.
12
L’espionnage dans les réseaux TCP/IP
Les firewalls permettent de filtrer le trafic entrant et sortant d’un réseau, et donc
de prévenir les attaques et d’en limiter l’impact. Ces outils sont exclusivement
réservés à la défense du réseau interne contre le milieu externe mais ne sont d’aucun
secours contre les attaques internes provenant des membres d’un même réseau local,
à moins qu’un firewall ne soit installé dans chaque machine. Les scanners servent, à
partir de bases de données de vulnérabilités, à identifier les faiblesses d’un réseau
et proposent le plus souvent des solutions intéressantes. Quant aux antivirus, ils
protègent les réseaux et les systèmes des virus. Les IDS, eux, sont des systèmes
chargés de détecter toute activité suspecte et d’alerter immédiatement l’administrateur
du réseau.
Dans le présent ouvrage, notre objectif principal est de sensibiliser les
administrateurs aux dangers que représentent les sniffers pour la sécurité de leurs
systèmes et de leurs réseaux. Seront ainsi détaillées, plusieurs attaques par des
sniffers. Il sera également montré comment, dans un réseau partagé ou commuté, un
agresseur, même sans connaissances approfondies, parvient facilement à espionner
les autres utilisateurs en utilisant les techniques du sniffing. Nous présentons enfin
les différents outils (anti-sniffers) disponibles pour détecter les activités malveillantes
d’écoute et d’espionnage administratif.
Le sniffer est une arme à double tranchant. En effet, c’est un outil de gestion des
réseaux. Il sert, en outre, à détecter des activités suspectes et à contrôler les accès, ce
qui permet à un administrateur, en capturant et en analysant les paquets qui circulent
dans un réseau, d’avoir une vision globale sur tout le trafic. Cependant, un utilisateur
malveillant pourrait utiliser les sniffers pour des activités d’espionnage. Il peut
écouter les communications qui transitent sur le réseau, intercepter les paquets dans
le but de s’approprier des informations très sensibles telles que les logins, les mots
de passe, les e-mails ou encore des documents confidentiels.
Cet ouvrage fournira :
– une présentation des réseaux locaux Ethernet, des protocoles TCP/IP et des
services réseau. Ceci constituera, en quelque sorte, un prérequis pour pouvoir
comprendre les chapitres suivants (chapitre 1) ;
– une description détaillée de quelques scénarios de piratage et d’espionnage
dans les réseaux et les systèmes (chapitre 2) ;
– une présentation des sniffers dédiés aux réseaux partagés (chapitre 3) ;
– des exemples réels montrant comment un utilisateur malveillant, muni d’un
sniffer, peut espionner ses collègues sur un réseau et obtenir des informations
confidentielles (chapitre 4) ;
Avant-propos
13
– les différentes techniques et outils de détection des sniffers dans les réseaux
partagés (chapitre 5) ;
– une présentation des sniffers dédiés aux réseaux commutés (chapitre 6) ;
– les différentes techniques et outils de détection des sniffers dans les réseaux
commutés (chapitre 7).
En annexe, un document donnera en Visual C++ les codes source nécessaires
à la programmation d’un sniffer aussi bien pour un réseau partagé que pour un
réseau commuté.
A la fin de l’ouvrage, une bibliographie et des adresses de sites web fourniront
les références à ceux qui voudraient en savoir plus.
Le livre s’adresse principalement aux :
– directeurs et responsables de la sécurité informatiques des entreprises ;
– administrateurs et ingénieurs de sécurité réseaux ;
– consultants en matière de sécurité des systèmes d’information et des réseaux ;
– étudiants des écoles d’ingénieurs.
Nous voudrions enfin remercier tous ceux qui nous ont aidé à réaliser ce travail,
notamment Aymen Soualah et Bessem Ardhaoui, de l’Ecole nationale des sciences
de l’informatique (ENSI), qui m’ont assisté dans l’implémentation et les tests de
l’anti-sniffer Advanced AntiSniffer.
Zouheir TRABELSI