IP spoofing : comment les cy­ber­cri­mi­nels ma­ni­pu­lent les données ?

Que vous soyez une simple personne privée naviguant sur le Net ou bien res­pon­sable d’un réseau local, la pro­tec­tion contre les accès non autorisés et les attaques du système joue un rôle important. Depuis des décennies et avec dif­fé­rentes tech­niques, les hackers accèdent à d’autres systèmes in­for­ma­tiques et par­vien­nent à causer des dégâts légers et parfois im­por­tants. De nombreux cy­ber­cri­mi­nels savent, en utilisant des moyens or­di­naires, comment brouiller les pistes de manière à rendre im­pos­sible la dé­ter­mi­na­tion de l’origine d’une attaque. L’usur­pa­tion a justement toujours été une technique populaire auprès des hackers : c’est l’IP spoofing (« le spoofing » est un terme anglais pour désigner l’usur­pa­tion d’identité élec­tro­nique) qui trouve son origine dans les cercles d’experts au cours des années 1980.

L’IP spoofing est une méthode de hacking ou les paquets de données TCP/IP ou UDP/IP sont envoyés avec une adresse ex­pé­di­teur usurpée. Ainsi l’attaquant accède et utilise une adresse d’un système autorisé et de confiance. De cette façon, il peut injecter ses propres paquets de données dans un autre système, qui autrement serait bloqué par un système de filtrage. Dans la plupart des cas, l’usur­pa­tion d’adresse IP est utilisée pour effectuer des attaques DoS et DDoS. Dans certaines cir­cons­tances, l’attaquant avec une adresse IP volée ou manipulée peut même in­ter­cep­ter le trafic entre deux ou plusieurs systèmes in­for­ma­tiques. Des attaques de « l’homme du milieu » qui utilisent la technique de l‘IP spoofing né­ces­si­tent cependant (sauf pour quelques cas ex­cep­tion­nels) que l’attaquant soit sur le même sous-réseau que la victime.

La pos­si­bi­lité de falsifier une adresse IP résulte du fait que les adresses source et des­ti­na­tion, qui se trouvent dans chaque paquet IP au niveau de l’en-tête ne sont pas suf­fi­sam­ment protégées contre les ma­ni­pu­la­tions. Il n’y a aucun mécanisme pour chiffrer ces in­for­ma­tions et l’exac­ti­tude de ces dernières. Avec une attaque d’IP spoofing simple, l’attaquant ne peut accéder au trafic de données. L’attaque ne modifie en fait que l’entrée de l’adresse dans le paquet cor­res­pon­dant, tandis que l’adresse IP véritable reste inchangée. Ainsi, la réponse aux données envoyées ne vient pas à l’attaquant, mais arrive plutôt à l’or­di­na­teur dont il a spécifié l’adresse. 

Le fait qu’un tiers, qu’un par­ti­ci­pant non autorisé soit derrière le paquet d’IP et reste caché du système répondant rend l’ex­ploi­ta­tion de l’usur­pa­tion d’adresse IP utile pour les attaques DoS et DDoS. Les deux scénarii suivants sont donc par­ti­cu­liè­re­ment possible :

1. Sur la base de l’adresse source volée, l’attaquant envoie des paquets de données en grand nombre à dif­fé­rents systèmes au sein du réseau respectif. Ces systèmes répondent en envoyant un autre paquet de données qui est par la suite reçu par l’or­di­na­teur non impliqué, dont l’adresse IP a été manipulée.


2. Un or­di­na­teur cible reçoit des paquets de données de diverses adresses IP fal­si­fiées en même temps et va en con­sé­quence être surchargé.

L’or­di­na­teur, dont l’adresse IP est usurpée par l’attaquant, peut être soit la cible d’attaques DDoS ou sim­ple­ment servir comme un outil. Dans les deux cas, l’agresseur reste in­dé­tec­table parce que les paquets envoyés semblent provenir of­fi­ciel­le­ment des or­di­na­teurs dont les adresses ont été ma­ni­pu­lées.

En théorie, un attaquant peut dé­li­bé­ré­ment initier une surcharge, et cela en principe de n’importe où, dans la mesure où l’or­di­na­teur cible est connecté à Internet. En revanche, l’accès direct au trafic des données est main­te­nant beaucoup plus difficile si l’or­di­na­teur de l’intrus n’est pas sur le même sous-réseau. Cela est dû au fait que l’in­ter­cep­tion d’un paquet de données ne peut être réalisé que par le biais du numéro de séquence du paquet cor­res­pon­dant. Ce qui est aujourd’hui presque im­pos­sible de l’extérieur, par rapport aux premiers jours du hacking des données.

Dans le passé, les systèmes d’ex­ploi­ta­tion et les pé­ri­phé­riques du réseau gé­né­raient des numéros de tran­sac­tion dans l’en-tête TCP, en utilisant toujours le même modèle. Les at­ta­quants pouvaient ainsi fa­ci­le­ment envoyer plusieurs paquets au système ciblé et grâce aux reçus, prédire le prochain numéro de séquence. Le paquet se trouvant derrière le nombre, pouvait donc être lu ou manipulé, puis transmis avec l’adresse IP falsifiée de l’ex­pé­di­teur sans être en­re­gis­tré par les deux systèmes com­mu­ni­cants. Comme de nombreux systèmes s’appuient sur des pro­cé­dures d’ouverture de session basées sur l’hôte, les données d’iden­ti­fi­ca­tion trans­fé­rées comme les noms d’uti­li­sa­teur et les mots de passe ne sont pas chiffrés et les at­ta­quants peuvent donc avec un peu de chance établir une connexion. Désormais, les systèmes actuels émettent aléa­toi­re­ment les numéros de séquence, ces attaques dites TCP Sequence Pre­dic­tion (ou Blind spoofing) sont ainsi es­sen­tiel­le­ment devenues inef­fi­caces, mais les appareils anciens sont encore à risque. 

Si l’usur­pa­teur d’adresse IP se déplace sur le même sous réseau, par exemple dans un réseau local comme le système attaqué, il est beaucoup plus facile d’atteindre le numéro de séquence ou les paquets ID en arrière-plan. Au lieu de chercher la­bo­rieu­se­ment, il peut filtrer et analyser tout le trafic de données et sé­lec­tion­ner les paquets de données souhaités. C’est ce que l’on nomme le « Non-Blind Spoofing ».

Depuis des décennies, l’usur­pa­tion d’adresse IP est un problème central pour les experts en sécurité et les pro­fes­sion­nels de l’industrie in­for­ma­tique. Et en par­ti­cu­lier, le fait que des attaques DoS et DDoS peuvent être ef­fec­tuées si fa­ci­le­ment : rendant la ma­ni­pu­la­tion des adresses IP, encore aujourd’hui, in­té­res­sante pour les cy­ber­cri­mi­nels. Par con­sé­quent, il existe depuis longtemps la demande d’un filtrage ciblé du trafic sortant par les four­nis­seurs de services Internet ou les paquets avec les adresses sources en dehors du réseau sous-jacent sont en­re­gis­trés et rejetés. Toutefois, les efforts et le coût sont les raisons prin­ci­pales qui font que cette demande reste lettre morte. 

Une autre cause de la réticence des four­nis­seurs réside dans les ca­rac­té­ris­tiques de sécurité de la version révisée du protocole Internet IPv6. Par ailleurs, le suc­ces­seur officiel de l’IPv4, comporte plusieurs options fa­cul­ta­tives d’au­then­ti­fi­ca­tion et de chif­fre­ment pour l’en-tête des paquets de données qui à l’avenir pour­raient com­plè­te­ment empêcher l’usur­pa­tion d’IP. Cependant, la tran­si­tion vers ce nouveau protocole d’adressage s’avère jusqu’à main­te­nant assez difficile, par exemple par le manque de prise en charge d’IPv6 dans dif­fé­rents pé­ri­phé­riques réseau communs.

Ainsi, pour empêcher un hacker d’usurper et de détourner votre adresse IP, vous avez seulement la pos­si­bi­lité de prendre vous-même des ini­tia­tives en mettant notamment en place vos propres mé­ca­nismes de pro­tec­tion. Par exemple, il est fa­ci­le­ment possible d’initier les mesures suivantes :

• La mise en place d’un filtrage complet des paquets pour votre routeur ou votre pas­se­relle de sécurité. Cela devrait analyser et rejeter les paquets de données entrants s’ils accusent des adresses source d’appareils de votre réseau. D’autre part, vous devez également appliquer le filtrage pour les paquets sortants avec des adresses d‘ex­pé­di­teur qui sont en dehors de votre propre réseau. Même si les experts en sécurité ont tendance à con­si­dé­rer cela comme le devoir du four­nis­seur d’accès à Internet.

• Ne pas utiliser les méthodes d’au­then­ti­fi­ca­tion basées sur l’hôte. Assurez-vous que toutes les méthodes d’au­then­ti­fi­ca­tion ont bien lieu via des con­nexions chiffrées. En effet cela minimise le risque d’une attaque d’IP spoofing au sein de votre réseau, ainsi que l‘éta­blis­se­ment de normes im­por­tantes pour la sécurité générale.

Il est bien évi­dem­ment conseillé de remplacer des systèmes d’ex­ploi­ta­tion et des équi­pe­ments réseau anciens si à tout hasard vous en utilisez encore. De cette manière vous augmenter non seulement votre pro­tec­tion contre les attaques d’IP spoofing mais aussi vous comblez des lacunes générales de sécurité.