Le reniflage réseau (network sniffing) : comment s’en prémunir
Je me suis connecté dernièrement au réseau sans fil de la bibliothèque, et le soir-même tous mes comptes avec lesquels je me suis connecté ont été piratés, pourtant je n’ai pas donné mon mot de passe à qui que ce soit, et personne n’était à côté de moi ! …
C’est une histoire qui n’est pas si rare qu’elle en a l’air, il s’agit d’une attaque par reniflage réseau aussi appelée network sniffing en anglais.
Reniflage réseau ?
Le reniflage réseau consiste à écouter les communications réseau (sans-fil) afin de récupérer et d’analyser le contenu transmis.
Ce contenu peut-être constitué d’informations très sensibles lorsque aucun chiffrement n’est utilisé. Parmi ces informations sensibles, on peut trouver le contenu d’une conversation par mail, les cookies ou encore les fameux mots de passe.
Alors peut-on voler un mot de passe à travers le réseau ?
Entrons dans le vif du sujet, comment trouver un mot de passe transitant sur le réseau ?
Attention : L’article n’est pas un mode d’emploi pour trouver un mot de passe qui ne vous appartient pas mais une vue générale afin de vous en prémunir sur le mécanisme qu’on pourrait employer contre vous, notamment en vacances. Nous allons un poil plus loin que les recommandations classiques pour voir concrètement ce qu’il se passe.
Exemple avec un outil d’analyse réseau : Wireshark !
WireShark est un outil d’analyse de protocoles réseaux destinés aux administrateurs réseau. Il est notamment utilisé pour tester et comprendre des protocoles réseaux. Mais aussi pour avoir un aperçu de ce qu’il se passe concrètement lors d’une communication sur le réseau.
Imaginons que l’exemple suivant me permette de me connecter à mon compte sur un forum, sur un blog ou à n’importe quel autre service demandant un login et un mot de passe :
Si maintenant je commence à capturer le trafic réseau puis me connecte avec pour login « admin » et pour mot de passe « mdp », je vois aussitôt s’afficher une liste de paquets réseau dont un paquet HTTP. Plus précisément je vois les informations envoyées par la méthode POST :
Et comme vous le constatez, mon login et mon mot de passe apparaissent tous les deux ici en clair, dans la partie du milieu (txt=admin&pass=mdp&sub=Envoyer).
« Et comme vous le constatez, mon login et mon mot de passe apparaissent tous les deux en clair »Cliquez pour tweeterPartager sur FacebookPartager sur LinkedInLa capture a été faite à partir de ma propre carte réseau, je reçois donc tout ce qui part et arrive vers ma carte uniquement.
Je pourrais très bien configurer Wireshark pour écouter les communications chiffrées. Mais bien sûr il lui faudra la clé de déchiffrement en question.
Comment se protéger contre le reniflage réseau ?
Vous comprenez maintenant déjà mieux pourquoi on dit souvent qu’il ne faut pas se connecter dans les cybercafés et autres réseaux publics.
Non seulement vous ne savez pas toujours quels programmes sont lancés sur l’ordinateur que vous utilisez, mais en plus vous pouvez être victime de reniflage réseau.
En fait, la meilleure protection contre ce type d’attaque est d’utiliser un protocole de communication sécurisé comme HTTPS.
Voici une capture d’écran d’une interface de connexion semblable à l’écran précédent mais utilisant cette fois HTTPS :
On ne voit plus en clair les données transmises (Encrypted Application Data) et on ne peut donc plus trouver un mot de passe sans clé de déchiffrement.
Vous l’avez compris, la meilleure protection contre le sniffing réseau est ici d’utiliser HTTPS.
Que faire si le site n’est pas en HTTPS ?
Me demanderiez-vous, et c’est une excellente question !
Eh bien vous pouvez également utiliser un service VPN qui chiffrera le trafic même pour les sites qui ne sont pas en HTTPS.
De quoi surfer sur les réseaux publics en paix.
Plus d’informations sur le hacking éthique dont un chapitre entier est dédié aux failles réseau : Les étapes à suivre pour commencer avec le Hacking
44 Commentaires
Cliquez ici pour ajouter un commentaire
Super article, merci Michel 🙂
Bordel et dire que j’allais me laché sur youporn a la BU… Je rigole
Whoa impressionant 😮
Merci pour l’article!
Avec plaisir !
Très bon article, comme toujours.
En effet WireShark est un logiciel assez puissant, quand on sait l’utiliser correctement.
Exelent article. MERCI!!
Avec plaisir 😉
J’ai testé WireSark et je me rend compte que le Net est rempli de dangers. Bel article, bravo !
En effet ! Merci avec plaisir !
peut tu m’aider a tester le wiresark, je suis aussi un hacker. j’aimerais aprendre de toi. Merci
Je crois que désormais l’extension Firesheep est devenue complètement obsolète !
Effectivement, je ne l’ai pas précisé mais j’ai même testé et je n’ai pas réussi à la faire fonctionner sous le dernier Firefox !
[…] site donné l’année dernière, et qu’une personne avait récupéré les données avec WireShark, elle peut maintenant potentiellement les décrypter et donc obtenir votre numéro de CB […]
[…] Ainsi, si vous effectuez un achat sur un site qui n’est pas en https, ET que au même moment vos informations sont capturées via l’ordinateur d’un petit malin assis derrière vous à l’aéroport, votre numéro de carte reçoit un second propriétaire. Plus d’informations à ce sujet avec un exemple de capture de mot de passe avec WireShark. […]
Firesheep a était remplacé par l’extension » cookie injector « .
[…] À chaque fois que vous communiquez avec votre serveur, les données transmises peuvent être récupérées. Exemple de capture de mot de passe avec WireShark. […]
Merci pour l’article 😉 j’ai appris des choses que je ne savais pas
Et comment on fait pour se connecter automatiquement en HTTPS, hein ?!
—> https://www.eff.org/https-everywhere 😉
Ah oui je l’ai mentionné dans un autre article mais pas ici, merci !
Merci pour tes articles de qualite
formidable ton article, vraiment impressionné. Mes encouragements
Merci avec plaisir !
merci michel
merci c’est super
tè 100 présédan je te tir le paucha (chapau).Jè pa encor éssayé mais je croi que je réussirai quand mm. Je te rendrai compt dè que j’ai pu faire klk chose
merde , je vien de comprendre pour quoi et comment, le fils de p*** je me suis connecté par le wifi gratuit de not ecole avec le compte de ma petite ami , le con s’est connecté avec et je me suis rendue compte, une question : les p*des smart phone android… etc ;; peuvent avoir une appli pour faire le meme travail que wireshark….,,????????
Oui c’est possible. Et il peut y avoir d’autres raisons d’ailleurs
j’ai connecté sur un réseau entreprise, en utilisant outlook je veux savoir comment je peut recevoir les email de tous mes salaries dans ma boite email outlook u bien gmail
[…] Wireshark, outil d’analyse réseau permettant d’observer les données envoyées en clair sur le réseau. […]
Je crois que tu t’es trompé de site
tu es vraiment un geni
Bonjour Michel, au top comme d’habitude j’aimerai avoir ce que veux débrider une connexion internet.
Je me suis faite hacker mon telephone sur un reseau public. Ont il eu acces a tout mon historique whatsapp, photos, historique viber ou juste a ce que j’ai envoye ce jour la? Merci
Salut, il n’y a que les données transférées qui ont été interceptées si c’est un reniflage réseau, mais en récupérant le mot de passe on peut potentiellement trouver plus d’informations. Je n’utilise pas whatsapp et n’en sais donc pas plus.
[…] le site que vous visitez. Ainsi, si une personne intercepte votre trafic réseau, notamment avec Wireshark, elle pourra récupérer les données mais elle ne pourra pas les déchiffrer, contrairement à un […]
Bonjour.Depuis plusieurs mois,je vois dans la barre de recherche de mon profil Facebook,un autre profil « scotché » sur le miens.Parfois un autre, mais toujours le meme prénom EDDY.les posts sur le profil en question ont été longtemps des messages subliminaux,je ressentais que l’on me parlait.Puis,j’ai reçu après qq mois un mail d’une Communauté religieuse que je ne connaissais pas, ,j’ai consulté leur blog et page facebook ; là, étrangement,le dernier post était liké par le même prénom, EDDY mais encore un nom différent. Mais depuis plusieurs semaines,je suis persuadée d’être espionnée sur ce que je consulte sur internet, ce que j’écoute à la radio, ce que j’envois par mail,et maintenant ce que je fais chez moi : je bois une bierre, le profil poste un jus d’orange en disant que c’est la boisson des sages.il y a clairement des commentaires sur ma vie privée. Les posts étaient parfois likés,je suivais les noms et pareil, messages subliminaux et des masques type anonymous.je n’en peux plus,je ne sais pas quoi faire,à qui m’adresser.je suis tombée par hasard sur votre blog.merci si vous pouvez m’aider. Nathalie
Bonjour, je vous propose de scanner et protéger votre PC pour commencer. Un logiciel espion est peut-être installé sur votre ordinateur. Si l’on voit directement ce que vous faites lorsque vous n’êtes pas sur l’ordinateur, je ne saurais trop comment vous aider par contre, à moins que vous n’ayez une webcam sur votre ordinateur qui aurait pu être utilisée.
Bonjour tout le monde . Je commence à apprendre et à utiliser wireshark depuis peu, mais j’ai déjà un petit soucis que je n’arrive pas à règler, enfin deux. le premier est quand je lancais le scan, je voyais les ip source et destination alors que maintenant quand je lance un scan , ce sont les adresses mac qu’il y a à la place des ip . Le deuxième est que une fois que je lance le scan, une minute ou deux après, ma connection wifi se coupe.je dois à chaque fois me reconnecter ensuite. Quelqu’un pourrait m’aider svp , ça serait super sympa:)
Pour notre part nous utilisons le sniffer Omnipeek qui dispose d’un filtre permettant d’identifier l’utilisation de protocoles avec échanges de mot de passe en clair pour intervenir au plus vite sur les postes concernés.
Merci pour cet article Michel. Bon courage…
salut michel le sujet que tu parle très bon pour comprendre le point de vue utiliser par les pirates
aussi bien que l’utilisation faite par les administrateurs pour la protection et la sécurité.
dans certains commentaires des personne te reproche de faire souvent le même sujet sur la sécurité
mais tu à tu ta fait raison de le redire même tourner d’une autre façon. car trop de gens pense encore
savoir parfaitement se qu’ils font ? est il ferait bien d’écouter les conseil que tu leur donne.
une petite mise en garde ne fait jamais de mal. bien sûr je ne juge pas leur façon de voir les chose.
donc ici voici une autre façon de faire. ainsi que les risques que cela peut avoir.
la phase d’énumération c’est quoi l’énumération ? l’énumération est un processus qui consiste à accéder
aux services qui tournent derrière les ports. ouverts découverts lors du scanning afin d’obtenir plus
d’information sur la cible.
lors de la phase d’énumération l’attaquant crée une connexion active avec le système cible et effectue directement
ses requêtes sur celui-ci les informations recueillies sont utilisées pour identifier les vulnérabilités du système
afin de les exploiter lors de la phase d’attaque.
les types d’informations énumérés .
la phase d’énumération permet d’accéder à l’environnement intranet d’un système cible.
afin d’obtenir des informations sur: les ressources du réseau et partages. les utilisateurs et les groupes.
les tables de routage les noms des machines. les détails snmp et dns.
les applications et les bannières les paramètres d’audit et de service etc. les techniques d’énumération
pour faire de l’énumération on peut procéder comme suit.
extraire des noms d’utilisateurs à l’aide des e mails extraire des informations. en utilisant des mots de passe
par défaut.faire une attaque par force brute sur active directory. extraire des informations en utilisant
les transferts de zone dns extraire des groupes d’utilisateurs depuis.
windows extraire des noms d’utilisateurs en utilisant snmp.
services et port pour l’énumération. ci dessous vous verrez la plupart des services et ports utilisés lors de
l’énumération avec le protocole de transport utilisé.
services port protocoles
dns domaine 53 tcp / udp
name service
rpc endpoint mapper 135 tcp / udp
ldap lighweight
directory access protocol 389 tcp / udp
service de catalogue
global 3268 tcp / udp
service de noms
net bios 137 udp
netbios smb
server message block 139 tcp
smb server message
block sur tcp 445 tcp / udp
snmp simple network 161 udp
management protocol
smtp simple mail 25 tcp
transfert protocol
les messages
d’alerte traps snmp 162 tcp / udp
ike internet key exchange 500 udp
sip session initiation 5060 – 5061 tcp / udp
protocol
différents moyens d’énumération
1 netbios netbios est un protocole de la couche session couches du modèle osi non routable
permettant aux applications des ordinateurs de communiquer entre elles via un réseau local lan.
de partager des fichiers et des imprimantes. les noms net bios sont utilisés pour identifier
les périphériques du réseau sur tcp ip windows. un nom net bios doit être unique sur un réseau limité
à 16 caractères où les 15 caractères sont utilisés pour le nom de l’appareil et le 16e caractère est réservé pour
identifier le type de service en cours d’exécution ou le type d’enregistrement de nom
ils fournissent des informations en listant les hôtes appartenant à un domaine.
les partages sur les hôtes du réseau. les restriction et les mots de passe.
comme tu le voie michel je parle pas du service ldap utiliser par les pirates
pour collecter des informations telles que les noms d’utilisateur valides.voir même
de chose bien plus grave pour une entreprise.
Merci pour ces explications détaillées, je parle effectivement peu de LDAP d’habitude car je ne le maîtrise pas très bien. Mais clairement l’énumération citée avec Netbios et les autres et très pertinente dans le cadre d’un test d’intrusion en entreprise. Amicalement
bon soir michel je comprendre que tu parle pas trop de ldap car pas facile de comprendre pour des gens peut
familier de la chose. j’ai beau avoir des connaissance sûr le sujet moi même j’ai du mal avec cela .
sur ceux je passe sûr autre chose. qui peuvent être utile pour certaines personnes . niveaux protection.
active arp protection. ce service sert à détecter s’il y a du arp spoofing avec paquet arp de type reply .
lorsqu’il reçoit un paquet arp de type reply il envoie un paquet arp de type requêtes puis vérifie si la ou les réponses
obtenues concordent avec le premier reply reçu sinon il y a du arp spoofing.
arp reply rate. ce service sert à détecter s’il y a du arp spoofing avec paquet arp de type reply.
il calcule le ratio entre le nombre de arp reply et de arp requêtes reçus. s’il y a plus de arp reply reçu
il y a une forte chance qu’il y ait un arp spoofing. le service permet de spécifier un intervalle pendant lequel
le service reçoit les paquets arp .
et calcule ensuite le ratio. par défaut l’intervalle est de 10 secondes et plus l’intervalle est élevé plus la
probabilité de détecter un arp spoofing est élevée.
dns spoof détection.
dans ce type de défense il s’agit d’envoyer une requête dns vers une adresse ip qui n’a pas de serveur dns
et de voir si une réponse est faite ou non.
dans notre cas lorsque le client envoie une requête dns nous en envoyons une autre vers l’adresse ip 240.1.2.3
qui est en faite une adresse réservée par l’iana internet assigned numbers authority.
pour des usages futurs. mais qui n’est présentement pas utilisée. si une réponse vient de cette adresse ip
il y a alors eu une falsification de réponse dns.
une autre mesure qu’il est possible de prendre et qui s’adresse particulièrement aux administrateurs
réseau est d’observer le réseau interne et de journaliser les comportements suspects.
d’ailleurs il serait intéressant de s’intéresser aux techniques d’attaques qui sont plus de hauts niveaux
c’est-à-dire dans la couche applicative du modèle osi.