mer, 26/08/2009 - 16:26
La technique du spoofing, ou d’usurpation d’identité numérique, est ancienne et souvent bien connu de la part des entreprises présentes sur internet. Ce type d’attaque est-il alors obsolète ? La réponse est malheureusement non. Explications de Julien Monin, Expert Sécurité chez Avanade
La technique du spoofing, ou d’usurpation d’identité numérique, est ancienne et souvent bien connu de la part des entreprises présentes sur internet. Ce type d’attaque est-il alors obsolète ? La réponse est malheureusement non. D’abord parce que cette technique s’appui sur les faiblesses des protocoles ou des standards, et que donc ces « failles » ne peuvent pas être corrigées. Ensuite parce qu’il existe aujourd’hui de nombreux facteurs qui ont remis au gout du jour le spoofing.
Le développement de la mobilité, le télétravail, souvent à domicile, le développement du e-commerce ou encore la VOIP, ouvrent de nouvelles perspectives au Cyber-Espion. Les frontières mouvantes de l’entreprise sont devenues de plus en plus complexe à sécuriser. Aujourd’hui les pirates rivalisent d’ingéniosité pour mettre en place des scénarios de spoofing : Prendre en otage les services e-commerce d’une société par des attaques DDOS (Distributed Denial of Service) et réclamer une rançon pour la remise en route du service, pirater le réseau local d’une entreprise depuis l’intérieur et mettre le réseau IP ou VoIP sur écoute, envoyer de faux textos en usurpant le numéro de téléphone ou encore hacker le téléphone mobile ou la machine personnelle d’un salarié pour récupérer ses données ? Il existe donc de nombreuses variantes de spoofing que l’on peut combiner (IP spoofing , ARP spoofing , Blind Spoofing ,URL spoofing ou IDN spoofing, Mail spoofing, SMS spoofing, etc…) et qui aujourd’hui sont encore à l’origine d’un grand nombre de méthodes de récupération de donnée. Ces techniques permettent des attaques de type DDOS, Man in the Middle, Mac Flooding, injection de Trojan ou de rootkit etc…
L’IP spoofing est une des plus communes. Cette technique permet ainsi à un pirate d'envoyer des paquets anonymement. Il ne s'agit pas pour autant d'un changement d'adresse IP, mais d'une mascarade de l'adresse IP au niveau des paquets émis. A l’origine de cette attaque, il y’a souvent une fausse adresse IP associée à une fausse adresse MAC. Par exemple, lors d’une attaque de type DDoS, l’ARP spoofing permet à toutes les machines d’avoir une seule adresse MAC correspondant à toutes les (fausses) adresses IP. Ce qui risque de submerger la machine sous des requêtes en tout genre et de la « perturber » dans son travail. Le MAC Flooding est un aussi un « ARP Cache poisoning » visant les routeurs et les switches. Certains matériels réseaux actifs - lorsqu’ils sont surchargés – basculent dans un mode « dégradé », pour maintenir les liens actifs. Ils se transforment alors en simples hubs et donc distribuent tout le trafic réseau sur tous leurs ports (et donc tous les ordinateurs qui y sont connectés. Et en floodant la table ARP d’un switch avec énormément de données, on peut facilement le surcharger. Ce qui permet ensuite au pirate d’écouter facilement tout ce qui transite sur le réseau. L’ARP spoofing ou ( ARP poisoning) couplé à de l’IP forwarding, permet de mettre en place des attaques plus pernicieuse dite de « Man In the Middle ». Suite a un MAC Flooding par exemple, une machine va sniffer un réseau commuté, récupérer des informations au niveau ARP puis s’insérer entre les deux machines de manières transparentes, en continuant à router les paquets IP entre les machines. Reste plus qu’à écouter ce qu’il se passe pour récupérer les informations qui passe en clair (mot de passe, email, etc..) . Ce qui est souvent le cas sur les réseaux locaux.
Sur des réseaux VoIP, le but est de se faire passer pour la passerelle voix-données ou un autre téléphone IP distant vis-à-vis du téléphone IP à écouter. Dans cette configuration, tout flux reçu ou émis par le téléphone IP de la victime passe par la machine du Cyber-espion. Celui-ci peut alors enregistrer la conversation, la modifier à la volée ou la renvoyer vers d’autres postes. Il est possible aussi d’écouter un numéro de téléphone spécifique. En fonction du numéro, on localise le téléphone IP correspondant en se connectant successivement à tous les téléphones pour accéder à son interface web et récupérer le numéro. Une recherche complète sur un réseau de taille importante ne dure que quelques minutes. Une fois le téléphone IP cible identifié (par son adresse IP), on se met en écoute et on attend l’établissement d’une communication. A ce moment, l’ARP spoofing est lancé afin d’intercepter le flux voix. Ce flux étant récupéré de manière transparente, le processus est indétectable par les utilisateurs espionnés. La sécurité n’a pas toujours été une priorité dans les premières solutions VOIP et les protocoles clefs ne disposaient d'aucune protection fiable. La VoIP faisant appel à de nombreux processus (SIPS, DNS, SRTP, voire SRTCP pour le contrôle du flux SRTP : CODECs, timing, etc.), il est indispensable de sécuriser chaque étape de la communication même si les nombreuses contraintes imposées par cette technologie ne facilitent pas la tâche. Néanmoins il est quand même possible aujourd’hui d’obtenir un niveau de sécurité acceptable sur la VoIP. Et contrairement a ce que l’on pourrait croire, les agences de renseignement n’ont pas de mal à intercepter les communications malgré le nombre de médias et la quantité d’informations. Un commentaire d’un haut responsable d’une telle agence suggère tout le contraire : « Avant, il fallait numériser toutes ces informations pour devoir les traiter, aujourd’hui cette étape conséquente se fait aux extrémités ce qui leur simplifie largement la tâche… »
Autre technique d’usurpation, l’email spoofing, qui peut être à l’origine d’injection de chevaux de Troie, tout comme l’URL spoofing. Le but du pirate est alors d’installer à l’insu du destinataire un outil de surveillance et par la suite de récupérer les données stockées et les données volatiles, tapées au clavier à l’aide de keyloggers ou même de screenloggers. Ces données sont ensuite revendues sur internet.
Alors que craindre réellement aujourd’hui ? Un peu tout en fait. La crise financière a paradoxalement renforcé le professionnalisme des cybercriminels touchés eux aussi par la baisse de revenus, et fragilisé les entreprises qui ont rogné sur leur budget sécurité. Une campagne de SPAM de 20 millions de mails coute aujourd’hui presque trois fois moins cher qu’en 2007. D’après une récente étude de KPMG, « le contexte économique pourrait pousser d’anciens salariés à récupérer des données confidentielles de l’entreprise pour les revendre ou des programmeurs sans emploi à se faire enrôler pas des organisations cybermafieuses ». C’est par exemple l’émergence du «Crimeware-as-a-Service»(CaaS). Lucratif et moins risqué pour les cybercriminels, ce genre de commerce a encore évolué récemment. En plus de proposer ouvertement leurs services sur le Web, les hackers chevronnés vendent désormais, par le biais de forums, des outils de piratages prêts à l’emploi. Devant ces nouvelles menaces, il est nécessaire de revoir les plans de sécurité en vigueur, d’évaluer les risques et de ne pas hésiter à se faire assister par des experts dans ces taches pour éviter des lendemains difficiles.
A propos de l'auteur