Spoofing

Le spoofing (comme peut traduire en français pas usurpation d’adresse) désigne la manipulation d'une identité en communication numérique et sur Internet. L'usurpateur (en anglais spoofer) manipule la communication de sorte qu'une fausse adresse d'expéditeur s'affiche au destinataire d'un message ou d'un paquet de données. Le spoofing s'applique dans différents domaines pour, par exemple, envoyer des courriers indésirables, infiltrer des ordinateurs et des réseaux entiers ou accéder aux données utilisateur privées via des ressources falsifiées (hameçonnage ou phishing). En général, dans l'usurpation d'adresse, des données sont envoyées d'une source inconnue qui paraît toutefois fiable pour le destinataire. En changeant les données, l'usurpateur peut masquer sa vraie identité et faire croire au destinataire que celui-ci connaît son adresse d'expéditeur. On résume sous le terme d'anti-spoofing les mesures visant à contrer ce genre d'actions.

Informations générales sur le sujet

Le spoofing anéantit divers mécanismes de la communication numérique. Les techniques de manipulation tirent leur origine dans l'usurpation d'adresse IP : un paquet de données qui est envoyé à une adresse IP reçoit par manipulation des données d'en-tête une adresse d'expéditeur fiable d'un hôte ou d'un domaine. Le destinataire du paquet de données croit connaître l'expéditeur ou son adresse, accepte le paquet et l'ouvre. La même chose se passe dans l'usurpation d'adresse e-mail qui constitue, avec l'usurpation d'adresse IP, les formes les plus fréquentes.

Types d'usurpation d'adresse

Puisque la communication numérique entre expéditeurs et destinataires s'effectue toujours selon certains protocoles, les méthodes d'authentification et de vérification dans la communication en réseau peuvent être partiellement mises à néant. En fonction du protocole de réseau, on distingue plusieurs types d'usurpation d'adresse. En fin de compte, les données, messages et e-mails sont manipulés de sorte qu'ils constituent un succès pour l'agresseur dans le cadre d'une infrastructure spécifique. Cependant, les destinataires peuvent se protéger contre de telles attaques à l'aide de quelques mesures.

Spoofing IP

Le spoofing d'adresse IP fait partie des attaques classiques du genre l'homme du milieu, lesquelles s’imposent entre expéditeurs et destinataires. Dans la communication de réseau avec TCP/IP, les lacunes présentes dans l'architecture sont exploitées pour contourner l'authentification. Puisque l'authentification n'a lieu que lors de la première connexion entre l'expéditeur et le destinataire, des données peuvent être modifiées et envoyées plus tard sur la même connexion. Se basant sur la première authentification, le destinataire fait confiance à l'expéditeur et reçoit les données. L'agresseur change toutefois l'adresse source et fait croire au destinataire que les données proviennent d'une source fiable. Chaque paquet de données envoyé via TCP à une adresse IP est muni d'un numéro de séquence. L'agresseur manipule le numéro de séquence et pirate le canal de communication, ce qu'on désigne aussi comme détournement de session. Cependant, ceci n'est possible dans la plupart des cas qu'en raison d'autres lacunes de sécurité, vu qu'aucune connexion Internet classique ne peut être établie avec l'usurpation d'adresse IP. Par conséquent, l'usurpation d'adresse IP s'accompagne souvent d'autres techniques de piraterie et schémas d'agression.

Spoofing d’adresse e-mail

L'usurpation d'adresse e-mail exploite une faille dans l'envoi de courriels, laquelle se base sur le protocole SMTP. SMTP n'utilise aucune authentification dans la version standard et est employé le plus fréquemment pour l'envoi d'e-mails dans le monde. Un usurpateur d'adresse peut manipuler l'en-tête d'un courriel en exploitant la syntaxe du protocole employé et en entreprenant des modifications précisément à l'endroit où le système sauvegarde les informations sur l'expéditeur. Il s'agit des données d'en-tête d'un e-mail où se trouve l'enveloppe SMTP avec laquelle une poignée de main s'échange entre l'expéditeur et le destinataire. Les données d'en-tête peuvent être manipulées à l'aide de quelques commandes SMTP, après quoi une fausse adresse d'expéditeur s'affichera au destinataire. Les usurpateurs d'adresse poursuivent souvent différents buts avec cette stratégie :

  • pour envoyer du courrier indésirable
  • pour s'approprier des données personnelles
  • pour servir de tremplin à d'autres attaques de réseau

Le RFC 2554 est une extension du protocole SMTP qui génère une couche de sécurité avec le serveur de messagerie et protège ainsi contre l'usurpation d'adresse e-mail. Pour identifier l'usurpation d'adresse e-mail, il faut également considérer la variante qui est l'usurpation de marque, car les agresseurs emploient ici des noms de marques connues comme PayPal ou Amazon pour opérer l'hameçonnage ou le dévoiement.

Spoofing de contenu et d’URL

Le spoofing de contenu consiste à masquer des contenus, de sorte que l'utilisateur croit que ces contenus ne proviennent pas d'une ressource externe, mais d'un site Web sur lequel l'utilisateur s'est rendu. En effet, l'origine du contenu affiché se trouve ailleurs, car un usurpateur a manipulé les paramètres qui renvoient à un site Web. Dans les sites Web générés de façon dynamique, il est en principe possible de modifier tout le site Web ou des éléments individuels, puisque la localité de certains contenus s'affiche par des paires de valeurs d'attribut dans les URL respectives. Si un agresseur remplace ces parties d'URL, il ne renvoie pas aux contenus légitimes qui s'affichent pourtant sous l'URL d'origine.

L'URL d'une ressource légitime

http://exemple/page?frame_src=http://exemple/fichier.html

sera changée de sorte que cette ressource reçoive un élément du contenu qui est défini, par exemple, par

frame_src=http://agresseur.exemple/spoofing.html 

L'utilisateur voit l'adresse de la ressource d'origine dans la barre d'adresse du navigateur, mais le contenu qui lui est montré provient d'une autre source que l'agresseur détermine. En exploitant la communication HTTP dans les sites Web dynamiques, ces attaques sapent le rapport de confiance établi entre les sites Web, les services en ligne et les utilisateurs. L'usurpation d'URL fonctionne pareillement, la réécriture d'URL étant toutefois utilisée dans ce contexte. Les navigateurs modernes peuvent toutefois bloquer les transferts automatiques. Des plug-ins de navigateur spéciaux peuvent aussi protéger contre l'usurpation d'URL et de contenu.

Spoofing ARP

Le spoofing d’ARP est une variante de l'usurpation d'adresse IP qui repose sur le protocole de réseau ARP (Address Resolution Protocol). L'adresse physique d'un adaptateur réseau va être modifiée pour rediriger la transmission de données ou modifier des données. Une adresse de réseau incorrecte est délibérément distribuée dans un réseau pour se mêler au transfert des données. Le spoofing d'ARP exploite le fait que les cartes réseau possèdent des adresses MAC assignées, avec lesquelles on peut commander des éléments matériels individuels. L'attribution d'une adresse IP à une adresse MAC va être manipulée et l'agresseur adopte par conséquent la position de l'homme du milieu. Par la suite, il peut facilement modifier le transfert des données. Les attaques ARP ne peuvent toutefois s'effectuer que dans des réseaux locaux tels que Ethernet ou WLAN  – l'agresseur doit se trouver dans le réseau.

Importance pour la programmation

Le spoofing peut s'effectuer à de différents niveaux de la communication numérique et s'accompagner d'autres attaques. En principe, les agresseurs peuvent falsifier ou simuler une adresse à partir de laquelle les données doivent être envoyées. Ou alors ils se font passer pour les destinataires légitimes de paquets de données et reçoivent des données qui ne leur sont pas destinées. Cela veut dire que les attaques d'usurpation peuvent concerner le client (navigateur), le serveur, le réseau ou des applications individuelles. Dans le cross-site scripting par exemple, des informations sont transmises dans un contexte fiable, à partir duquel une attaque a lieu par la suite.

Tant qu'il n'y aura aucune authentification entre l'expéditeur et le destinataire et que les données envoyées seront codifiées, l'usurpation restera possible en différents points de la communication numérique. L'utilisateur et le fournisseur de services (par exemple ISP et ESP) disposent toutefois de diverses mesures de protection décrites sous le terme d'anti-usurpation. On peut citer entre autres :

  • les pare-feux qui bloquent les connexions entrantes.
  • les filtres et règles pour routeurs et passerelles qui réglementent le trafic des données.
  • les coopérations qui distinguent et étiquètent la fiabilité des infrastructures et des réseaux.
  • les algorithmes et méthodes de cryptage qui protègent le trafic de données. Par exemple TLS, SSH et HTTPS.
  • les plug-ins, add-ons et applications conçus pour faire face à des menaces spécifiques.
  • un entretien rigoureux des listes noires et blanches des filtres anti-spam et des applications anti-virus.

Liens web

Catégorie