Le spoofing, qu’est-ce que c’est ?

Le mot « spoofing » vient de l’anglais et signifie tromper ou falsifier. En français, on parle d’usur­pa­tion d’identité. En tant que verbe « to spoof (something) », il est également utilisé pour parler de la fal­si­fi­ca­tion d’une iden­ti­fi­ca­tion. Gé­né­ra­le­ment, cela a pour objectif de tromper une personne et de dis­si­mu­ler sa véritable identité.

En général, les ten­ta­tives de spoofing visent à con­vaincre la victime d’en­tre­prendre une action, de con­si­dé­rer une in­for­ma­tion comme vraie ou de re­con­naître l’autorité d’une source. Si cela vous semble abstrait, voici deux exemples po­pu­laires sur Internet :

1. L’« es­cro­que­rie au mariage » : afin d’accéder aux finances de la victime, l’escroc se fait passer pour son/sa conjoint(e).
2. Le « coup du petit-fils » : la personne qui appelle se fait passer pour le petit-fils ou la petite-fille de la personne âgée. En pré­tex­tant une urgence, l’in­ter­lo­cu­teur peut con­vaincre sa victime de faire un virement.

Dans les deux cas, « l’astuce » réside dans le niveau d’in­for­ma­tion. Les systèmes nu­mé­riques offrent un large terrain de jeu pour ce type de fraudes.

Sur Internet, les messages peuvent être envoyés fa­ci­le­ment et en masse. Dans le même temps, il est souvent re­la­ti­ve­ment facile de falsifier les éléments d’iden­ti­fi­ca­tion des messages. De nom­breuses ten­ta­tives de spoofing sont d’ailleurs possibles, car Internet est conçu comme un système ouvert. Les efforts visant à renforcer la sécurité sur Internet sont donc toujours en cours aujourd’hui.

Le spoofing regroupe un large spectre d’attaques élec­tro­niques. Il n’est donc pas possible d’iden­ti­fier une procédure unique de pro­tec­tion. Heu­reu­se­ment, il existe plusieurs pratiques générales qui per­met­tent de minimiser les risques d’être soi-même victime d’une tentative de spoofing.

Vous ne pouvez bloquer les ten­ta­tives de spoofing que si vous savez les re­con­naître. Si une tentative de spoofing a lieu au niveau des plus petits paquets de données échangés sur le réseau, vous ne re­mar­que­rez gé­né­ra­le­ment rien. Par con­sé­quent, vous ne pouvez gé­né­ra­le­ment pas empêcher vous-même les attaques au niveau du réseau. Les failles de sécurité, à ce niveau, sont comblées par les mises à jour de sécurité du dé­ve­lop­peur.

La plupart des ten­ta­tives de spoofing sont dirigées di­rec­te­ment contre les personnes, car elles se révèlent très lu­cra­tives. L’attaquant contacte di­rec­te­ment la victime, par exemple, par email ou téléphone. En général, le but de ces ten­ta­tives est de faire faire une action à la victime. L’objectif du spoofing est d’obtenir des in­for­ma­tions (comme le mot de passe ou les coor­don­nées bancaires). On parle également de tentative de phishing.

Le spear phishing  est tout par­ti­cu­liè­re­ment dangereux, car il est dirigé contre une personne précise ou une ins­ti­tu­tion. Le spear phishing utilise dans un message des in­for­ma­tions spé­ci­fiques qui semblent crédibles. Con­vain­cue de la cré­di­bi­lité du message, la victime de la fraude est alors frappée durement et ino­pi­né­ment « comme par une lance » (spear en anglais).

Afin de se sim­pli­fier la tâche, les agres­seurs s’attaquent gé­né­ra­le­ment au maillon le plus faible d’une chaîne. Il est donc re­com­mandé de minimiser votre surface at­ta­quable en suivant les pratiques simples énumérées ci-dessous. Cela vous permet de devenir une cible moins in­té­res­sante. Pa­ral­lè­le­ment, de nom­breuses ten­ta­tives ne fonc­tion­nent que si l’attaquant combine des in­for­ma­tions provenant de dif­fé­rentes sources. Si peu d’in­for­ma­tions sur vous sont dis­po­nibles, leur tâche sera d’autant plus difficile.

Il est donc né­ces­saire d’intégrer les com­por­te­ments suivants :

Une tentative de phishing a l’air d’autant plus crédible si l’attaquant dispose d’in­for­ma­tions dé­tail­lées. Par con­sé­quent, vous devez, si possible, limiter l’accès public à vos in­for­ma­tions per­son­nelles. Vous ne devez par exemple jamais indiquer votre date de naissance ! Ces données per­son­nelles sont souvent utilisées par les services d’as­sis­tance pour iden­ti­fier la personne au téléphone. Ce procédé est fré­quem­ment utilisé, bien qu’il ne soit pas sécurisé.

Vous devez également être prudent lorsque vous donnez des détails pro­fes­sion­nels, tels que votre poste dans votre en­tre­prise. Si né­ces­saire, mettez à jour vos profils sur LinkedIn, Xing, Facebook, etc. avec un décalage de six mois.

Lorsque peu d’in­for­ma­tions à votre sujet sont ac­ces­sibles, les pirates utilisent souvent une autre astuce : ils créent un compte sur un réseau social, par exemple Facebook, et envoient une in­vi­ta­tion. Si vous acceptez l’in­vi­ta­tion, vous ouvrez en grand la porte à l’attaquant et lui permettez d’accéder à des in­for­ma­tions qui ne sont pas publiques. Celles-ci sont ensuite souvent utilisées ul­té­rieu­re­ment pour des activités frau­du­leuses.

La forme d’attaque la plus populaire consiste à ouvrir un compte au nom d’une personne que vous con­nais­sez. Lorsque cela n’est pas possible, une photo sug­ges­tive d’une personne sé­dui­sante est gé­né­ra­le­ment utilisée comme photo de profil. De nom­breuses victimes se laissent tenter et tombent dans le piège.

Pour se protéger contre ce type d’attaques, il est re­com­mandé de suivre les dernières re­com­man­da­tions en matière de sécurité in­for­ma­tique : assurez-vous que votre système et vos logiciels sont à jour. Utilisez un pare-feu et un filtre anti-spam et sau­ve­gar­dez ré­gu­liè­re­ment vos données.

Gardez à l’esprit que ces mesures ne cons­ti­tuent pas une pro­tec­tion in­fail­lible. Ces mesures combinées visent plutôt à vous éviter d’être perçu comme une victime po­ten­tielle.

Les pa­ra­mètres par défaut sont les pa­ra­mètres d’usine d’un appareil, d’un logiciel ou d’un service en ligne. Lorsque les pa­ra­mètres sont les mêmes pour tous les uti­li­sa­teurs ou tous les appareils, cela constitue une faille que les at­ta­quants peuvent exploiter. Il est donc re­com­mandé de modifier les pa­ra­mètres par défaut. Cela vous permet de passer sous le radar des pirates po­ten­tiels.

Par le passé, les routers étaient sys­té­ma­tique livrés avec un accès ad­mi­nis­tra­teur ouvert. Pendant un temps, il était habituel de livrer les or­di­na­teurs Windows avec des ports ouverts par défaut et donc com­plè­te­ment ouverts sur Internet. Dans les deux cas, le risque pouvait être réduit en modifiant les valeurs par défaut, mais la plupart des uti­li­sa­teurs ne le savaient pas.

Les valeurs par défaut ne re­pré­sen­tent pas uni­que­ment un danger au niveau technique. Les pa­ra­mètres de con­fi­den­tia­lité des réseaux sociaux peuvent également ne pas être suf­fi­sam­ment sécurisés. De nom­breuses en­tre­prises en profitent pour rendre l’uti­li­sa­teur « ultra-visible », par défaut. C’est donc à vous de modifier les pa­ra­mètres. Suivez le principe de l’économie des données : réglez tous les pa­ra­mètres de chaque compte de manière aussi res­tric­tive que possible au début et ne les as­sou­plis­sez que pro­gres­si­ve­ment et pour de bonnes raisons.

Pour des ap­pli­ca­tions qui re­quiè­rent un haut niveau de sécurité, comme consulter ses comptes en banque en ligne et les com­mu­ni­ca­tions chiffrées, il peut être judicieux d’utiliser un appareil aussi isolé que possible. Il peut s’agir d’un petit or­di­na­teur portable sur lequel est installé un système d’ex­ploi­ta­tion spé­cia­le­ment pensé pour la sécurité. Voici quelques exemples de dis­tri­bu­tions Linux dis­po­nibles librement  Subgraph et Tails.

Grâce à son uti­li­sa­tion ponc­tuelle, l’appareil sécurisé n’est pas repéré par les pirates : ils s’attendent à ce que vous utilisiez votre or­di­na­teur habituel. Si la tentative d’attaque part de cette hypothèse, l’uti­li­sa­tion d’un autre appareil peut con­tre­car­rer l’attaque.

Que faut-il faire si vous pensez être victime d’une tentative de spoofing ? Imaginons la situation suivante : vous recevez un email. Il semble s’agir d’une urgence : un virement a échoué, votre compte a été piraté ou le nom de votre domaine a expiré. Vous êtes invité à réagir vite pour éviter que la situation n’empire.

Bien qu’à première vue le message semble adapté à la situation, vous sentez qu’il y a quelque chose de bizarre. Peut-être que les in­for­ma­tions pré­sen­tées ne s’ar­ti­cu­lent pas très bien. Ou alors, vous vous sentez forcé d’en­tre­prendre une action précise.

Vous ne savez pas s’il s’agit d’une tentative de spoofing. Que devez-vous faire ?

Tout d’abord : gardez votre calme et n’agissez pas dans la pré­ci­pi­ta­tion. Si vous avez reçu le message sous la forme d’un email, vous ne devez en aucun cas cliquer sur les liens qu’il contient.

Utilisez un second canal de com­mu­ni­ca­tion pour vérifier la véracité du message. Il est in­dis­pen­sable de limiter l’impact de l’attaque. Si c’est possible, utilisez un autre appareil et une ap­pli­ca­tion sécurisée que vous n’utilisez pas ha­bi­tuel­le­ment.

Quelques exemples concrets :

Imaginons que vous ayez reçu un email sus­pi­cieux sur votre or­di­na­teur de travail. Dans ce cas, utilisez comme second canal de com­mu­ni­ca­tion une ap­pli­ca­tion de mes­sa­ge­rie avec chif­fre­ment de bout en bout sur votre smart­phone.

Vous avez reçu un appel té­lé­pho­nique ou un SMS sus­pi­cieux sur votre téléphone portable. Con­si­dé­rez que votre téléphone portable est compromis et utilisez à la place le téléphone d’un collègue pour contacter une personne de confiance.

Les ten­ta­tives de spoofing ont pour objectif de tromper l’in­ter­lo­cu­teur. Dans le cas par­ti­cu­lier du phishing, une réplique faus­se­ment au­then­tique d’un site Web est souvent utilisée pour accéder à des données con­fi­den­tielles.

Le spoofing d’URL a pour objectif d’inciter l’uti­li­sa­teur à cliquer sur une URL modifiée. L’astuce réside dans le fait de con­vaincre l’uti­li­sa­teur qu’il s’agit d’une URL connue et sérieuse. Mais si un uti­li­sa­teur peu méfiant consulte l’URL, il tombe sur un site mal­veil­lant. Pour qu’une tentative de spoofing d’URL fonc­tionne, le pirate doit posséder le domaine cor­res­pon­dant.

1. Schéma d’un lien HTML en langage Markdown simple.
2. Exemple d’un lien inof­fen­sif : le nom du lien indique pré­ci­sé­ment vers quelle page mène le lien.
3. Exemple d’un lien mal­veil­lant : le titre du lien suggère une page inof­fen­sive et dissimule ainsi la des­ti­na­tion réelle du lien.
4. Affichage de l’URL du lien frau­du­leux en HTML de l’exemple.

Pour vous protéger, vous pouvez vérifier l’URL du lien. Placez le curseur sur un lien et attendez un peu, l’URL va s’afficher. Il est cependant re­com­mandé de ne pas cliquer sur les liens de ce type d’email. À la place, copiez l’URL du lien en faisant un clic droit. Consultez le lien dans un na­vi­ga­teur en mode privé. Cette astuce très utile fonc­tionne également sur les appareils mobiles. Vous pouvez copier l’adresse du lien et la coller dans le champ de texte pour la consulter.

Même les URL qui ne font pas partie des liens cli­quables sont utilisées à des fins de spoofing. Les at­ta­quants profitent souvent de la si­mi­la­rité de dif­fé­rentes lettres pour tromper leur victime. Ces attaques dites ho­mo­gra­phiques peuvent être dif­fi­ciles à détecter dans certaines cir­cons­tances.

Dans le cas le plus simple, le pirate utilise une URL ou un domaine avec des lettres qui, combinées, donnent l’im­pres­sion de former d’autres lettres. Quelques exemples :

• Un email de « support@lacebook.com » : un petit « l » est utilisé à la place d’un petit « f ».
• Un lien qui a pour URL « https://secure.arnazon.com/ » : la com­bi­nai­son des lettres « rn » fait de loin le même effet qu’un « m ». Le sous-domaine « secure » et la mention « https » attirent l’attention de l’uti­li­sa­teur et dis­traient du nom de domaine.

La réussite de la tentative de spoofing dépend beaucoup de la manière dont elle est rédigée. Si le contenu de l’email parvient à créer suf­fi­sam­ment d’in­quié­tude, ce genre de petit détail est fa­ci­le­ment négligé.

Une autre variante de l’attaque ho­mo­gra­phique est plus difficile à repérer : le nom de domaine in­ter­na­tio­na­lisé (IDN). L’attaquant vous envoie une URL qui contient des lettres d’un alphabet différent. S’il s’agit d’une lettre qui ressemble vi­suel­le­ment à une lettre de l’alphabet latin, l’illusion peut être vraiment sai­sis­sante. Le pirate utilise ici une adresse en punycode.

L’astuce : l’URL d’origine ne contient, par exemple, pas le caractère « a » de l’alphabet latin, mais la variante issue de l’alphabet cy­ril­lique. Les deux lettres se con­fon­dent très fa­ci­le­ment. Certains na­vi­ga­teurs n’affichent pas les ca­rac­tères qui ne sont pas issus de l’alphabet latin comme du punycode. Ainsi l’uti­li­sa­teur ne se rend pas compte qu’il est arrivé sur le mauvais site.

Pour prévenir les attaques ho­mo­gra­phiques de ce type, vous devez vous assurer que votre na­vi­ga­teur affiche toujours les domaines avec des ca­rac­tères non latins comme du punycode. En outre, ne cliquez jamais sur des URL en lien avec des données sé­cu­ri­sées, la page d’accueil de votre banque par exemple. À la place, en­re­gis­trez-les dans vos favoris et ouvrez-les par ce biais.

Si vous vous retrouvez sur un site dont vous doutez de l’au­then­ti­cité, suivez la procédure suivante :

• vérifiez que le site provient d’une source chiffrée HTTPS. La plupart des sites Web actuels prennent en charge le chif­fre­ment HTTPS. Toute page qui accepte des données de votre part, comme un mot de passe ou un for­mu­laire, devrait à l’heure actuelle toujours et ex­clu­si­ve­ment être chargée en HTTPS. Si ce n’est pas le cas, il existe un risque que le site Web soit un site mal­veil­lant ou une con­tre­fa­çon ;
• vérifiez le cer­ti­fi­cat SSL : si le site a été chargé crypté via HTTPS, vous pouvez afficher le cer­ti­fi­cat SSL du serveur. Assurez-vous que le cer­ti­fi­cat fait référence à l’or­ga­ni­sa­tion pré­ten­du­ment à l’origine du site. Si ce n’est pas le cas, il est possible que vous soyez sur le mauvais site ;
• si le doute n’est pas dissipé, fermez la fenêtre du na­vi­ga­teur.

Les attaques nu­mé­riques ne sont pas à prendre à la légère. Une fois les données con­fi­den­tielles volées, il est difficile de limiter les dégâts. Comme dit le dicton, « mieux vaut prévenir que guérir ».

En plus du texte, un email contient également des méta-in­for­ma­tions dans ce qu’on appelle l’en-tête de l’email. L’en-tête contient dif­fé­rents champs comme « De », « À », « Répondre à » etc. Avec un logiciel approprié, le contenu des champs d’en-tête peut être remplacé sans grand effort avec n’importe quelle valeur. Si le champ « De » de l’email contient l’adresse de votre supérieur, cela ne signifie pas qu’il provient réel­le­ment de cette personne. Un pirate peut placer sa propre adresse dans le champ « Répondre à ». La victime pense donc répondre à l’adresse du champ « De » qui semble légitime, alors qu’il répond en fait au pirate dont l’adresse se trouve dans « Répondre à ».

Il existe un certain nombre de mé­ca­nismes de pro­tec­tion du côté de l’uti­li­sa­teur ou du logiciel de mes­sa­ge­rie qui peuvent con­tre­car­rer les ten­ta­tives de spoofing par email. Toutes ces mesures visent à détecter, marquer et trier les emails de spoofing :

• Utiliser un filtre pour les spams : le filtre anti-spam de votre mes­sa­ge­rie ou serveur email utilise l’heu­ris­tique pour trier les éventuels messages mal­veil­lants. Le processus est au­to­ma­tique et constitue une bonne base de pro­tec­tion.
• Mettre en place le chif­fre­ment du contenu : le chif­fre­ment du contenu garantit que les emails pro­vien­nent bien de l’ex­pé­di­teur indiqué et que le message n’a pas été modifié. Mal­heu­reu­se­ment, la mise en place des pro­cé­dures communes comme PGP et S/MIME demande quelques efforts. Bien qu’efficace, le chif­fre­ment des contenus est encore très peu utilisé en dehors de certaines pro­fes­sions. Vous pouvez également utiliser une ap­pli­ca­tion de mes­sa­ge­rie chiffrée. Elles offrent les mêmes avantages et sont très simples à installer.
• Afficher et contrôler les en-têtes d’emails : pour les uti­li­sa­teurs les plus ex­pé­ri­men­tés, il est possible d’afficher l’en-tête complet de l’email. Ce procédé permet une analyse plus détaillée. Avec le savoir-faire approprié, il est possible de dé­ter­mi­ner l’origine réelle du courrier.

Les serveurs disposent également d’une gamme de tech­no­lo­gies qui ont pour objectif de réduire l’envoi d’emails de spoofing. Parmi les mé­ca­nismes de pro­tec­tion côté serveur les plus utilisés on retrouve notamment SPF, DKIM ainsi que DMARC.

Si vous exploitez vos propres adresses mail via votre serveur, vous devez vous assurer qu’au moins SPF et DKIM sont cor­rec­te­ment con­fi­gu­rés. Sinon, vous prenez le risque que vos emails finissent dans le filtre anti-spam du des­ti­na­taire.

Ces ten­ta­tives de spoofing ont pour but de manipuler la com­mu­ni­ca­tion sur le réseau. La « victime » n’est pas une personne, mais le matériel ou le logiciel du serveur. Comme cette attaque s’effectue au niveau des paquets de données, elles ne sont gé­né­ra­le­ment pas repérées par l’uti­li­sa­teur.

Le Domain Name System, gé­né­ra­le­ment appelé DNS, est un système mondial pour la tra­duc­tion des domaines Internet en adresses IP. Le DNS renvoie une adresse IP pour un nom de domaine. Les requêtes au DNS ayant déjà reçu une réponse sont mises en cache dans le cache DNS sur le serveur. Dans le cas du spoofing DNS, une entrée mal­veil­lante est placée dans le cache DNS. Les demandes entrantes renvoient alors une adresse IP erronée pour l’entrée manipulée. Le transfert des données est redirigé sur un autre serveur. Le spoofing DNS est mis en place par les pirates pour effectuer des ten­ta­tives de phishing et attaques d’homme du milieu (man in the middle).

Au niveau de l’uti­li­sa­teur, vous pouvez vous protéger du spoofing DNS en utilisant des tech­niques de chif­fre­ment. Assurez-vous que le site Web sur lequel vous êtes est chiffré par le protocole HTTPS. L’uti­li­sa­tion d’un Virtual Privat Network (VPN) peut éven­tuel­le­ment protéger contre le spoofing DNS.

Si vous possédez votre propre domaine, vous devriez envisager d’utiliser la technique de pro­tec­tion DNSSEC (Domain Name System Security Ex­ten­sions). DNSSEC utilise l’au­then­ti­fi­ca­tion cryp­to­gra­phique pour garantir l’intégrité des requêtes DNS. Les ten­ta­tives de spoofing DNS sont donc évitées sur les serveurs protégés par DNSSEC.

Le MAC spoofing n’a rien à voir avec une certaine en­tre­prise bien connue de la Silicon Valley. L’adresse MAC est l’adresse physique d’un pé­ri­phé­rique réseau. L’adresse MAC est un numéro unique qui est inclus dans chaque pé­ri­phé­rique au moment de sa fa­bri­ca­tion. Bien que chaque appareil dispose d’une adresse fixe, celle-ci peut être fa­ci­le­ment spoofée au niveau du logiciel. La pos­si­bi­lité de spoofer sa propre adresse MAC, est souvent utilisée par les uti­li­sa­teurs pour con­tour­ner des li­mi­ta­tions.

Dans les réseaux locaux (LAN), l’Address Re­so­lu­tion Protocol (ARP) est utilisé pour lire les adresses IP ap­par­te­nant à des adresses MAC à partir d’un tableau. Les ten­ta­tives d’ARP spoofing ont pour objectif de manipuler les entrées du tableau pour acheminer le trafic IP vers une adresse MAC mal­veil­lante. Ainsi, le pirate peut capter ou fausser le trafic de données. Ces attaques sont un risque à ne pas prendre à la légère.

Dans le cas de l’usur­pa­tion d’adresse IP (IP spoofing), les paquets de données TCP/IP et UDP/IP sont envoyés avec une adresse d’ex­pé­di­teur falsifiée. Dans la plupart des cas, ce type d’attaque fait partie d’une attaque DoS ou DDoS.