Usurpation d’identité, différentes attaques

Publié le 1 mars 2020
Par Damien Soulages
0 commentaire

Cette publication est également disponible en : ENGLISH

Les attaques d’usurpation d’identité : Les différentes attaques qui vont suivre se basent principalement sur l’usurpation d’identité…

| On commence par l’attaque « Spoofing ».

Spoofing Attack

Par exemple, lorsqu’une machine envoie un paquet IP, tout le monde s’attend à ce que l’adresse IP source soit la propre adresse IP de la machine qui envoie.

Et c’est pareil pour l’adresse MAC source dans la trame Ethernet, qui devrait être la propre adresse MAC de l’expéditeur.

Et c’est la même chose, pour les services du type DHCP ou DNS.
Par exemple, si un PC envoie une requête DHCP ou DNS, et bien, ce même PC, s’attendra, à recevoir une réponse d’un serveur DHCP ou DNS, qui serait légitimes et approuvés.

Comme les adresses et les services ont tendance à être implicitement approuvés, c’est pourquoi les attaques d’usurpation d’identité se concentrent sur la vulnérabilité.

C’est-à-dire qu’ils vont remplacer les valeurs attendues par des valeurs falsifiées.

Dans l’exemple, l’attaquant qui souhaite effectuer une usurpation d’identité envoie un paquet avec une adresse IP source usurpée, au lieu de sa propre adresse.
Lorsque la cible reçoit ces paquets, elle envoie le trafic de retour à l’adresse usurpée, plutôt qu’à l’adresse réelle de l’attaquant.

Si l’adresse usurpée existe, alors un hôte sans méfiance, avec cette adresse, recevra le paquet.

Et si l’adresse n’existe pas, le paquet sera alors transféré, puis abandonné plus loin dans le réseau.

Une personne malveillante pourrait aussi envoyer des adresses MAC usurpées, dans le but de fausser les tables de correspondances utilisées par des commutateurs de couche 2 ou bien même fausser des tables ARP utilisées par des routeurs.

Ce type d’attaque pose également problème sur des serveurs DHCP, car si les demandes DHCP contiennent des adresses MAC usurpées, alors ça ira remplir la table d’allocation IP du serveur DHCP, ne laissant plus de place à d’autres clients, pour une utilisation normale.

Attaques par déni de service (Denial-of-Service)

| Passons maintenant aux attaques de déni de service, qui sont aussi très rependues.

Dans le fonctionnement normal d’une application métier, les clients ouvrent des connexions aux serveurs d’entreprise pour échanger des informations.

C’est-à-dire que, les utilisateurs ouvrent un navigateur Web vers le site de l’entreprise, ce qui a pour effet, d’ouvrir une connexion TCP avec ce dernier. Et c’est à ce moment, que des échanges peuvent avoir lieu, ou bien, qu’une transaction puisse être effectuée.

Alors, si tous les utilisateurs se comportent bien, les serveurs d’entreprises ne devraient jamais être surchargés.
Ce qui veut dire que de nombreuses transactions peuvent avoir lieu sans problème…

Maintenant, supposons qu’un utilisateur malveillant trouve un moyen, d’ouvrir une connexion au serveur l’entreprise.

La connexion TCP commence, lorsque l’utilisateur malveillant envoie un paquet SYN au serveur, sauf qu’ici, l’adresse IP source est remplacée par une fausse adresse.

Le serveur va donc ajouter la connexion TCP à sa table client et répondra à la fausse adresse avec un « SYN-ACK ».

Vu que la fausse adresse n’a rien demandé, il n’y aura pas de réponse ACK, pour terminer cette négociation TCP en 3 étapes.

Cette connexion reste donc incomplète dans la table du serveur jusqu’à ce qu’elle expire et soit supprimée.

Pendant ce temps, l’attaquant peut de nouveau lancer de nouvelles connexions frauduleuses, jusqu’à ce que la table de connexion du serveur soit full.

Ce qui bloquera les connexions TCP, des utilisateurs légitimes, qui ne pourront plus lancer de transaction pour l’entreprise.

Lorsqu’un attaquant est en mesure d’épuiser les ressource système, et bien, l’ensemble de ces services deviennent indisponibles ou se bloquent.

| C’est ce qu’on appelle une attaque par déni de service (DoS : Deny of Service). Car elle refuse le service aux utilisateurs

Ce type d’attaque peut même aller encore bien plus loin, en faisant participer de nombreux systèmes qui n’ont rien demandé.

| Dans ce cas, l’attaquant, va installer un ordinateur, quelque part sur internet, qui va contrôler un ensemble d’autres systèmes, en les infectant, par un code ou logiciel malveillant.

Chaque machine deviendra alors silencieusement un «bot»,qui fonctionne normalement et attendra les ordres de l’ordinateur « Maitre ».

Et lorsque le moment sera venu de commencer une attaque, le contrôleur enverra une commande à chaque bot, pour leur dire de lancer une attaque par déni de service, contre une cible.

C’est ce qu’on appelle une attaque par déni de service distribué (DDoS : Distributed Denial of Service) , parce que l’attaque est distribuée sur un grand nombre de bots, qui inonde ou attaque la même cible.

Attaques de réflexion et d’amplification

| Nous allons maintenant voir un autre type d’attaque qui consiste de forcer la cible à traiter un trafic usurpé pour qu’il le transfert vers un client légitime…

Si on se base sur l’image, dans ce type d’attaque, le serveur n’est pas la cible prévue.

L’objectif est d’amener le serveur à refléter cet échange vers l’adresse usurpée, qui est la cible.

C’est ce qu’on appelle une attaque par réflexion (reflection attack).

Le serveur qui reflète le trafic vers la cible est appelé un « reflecteur ».

L’attaquant peut aussi envoyer les paquets usurpés à plusieurs réflecteurs, ce qui provoquerait la réception de plusieurs copies du trafic par la cible…

Le principal but de ce type d’attaque est de consommé de la bande passante.

Attaque : « Man-in-the-Middle »

| Nous allons maintenant parler d’une attaque qui se traduirait en français par « L’homme du milieu ».

Cette attaque consiste à écouter les données qui passent d’une machine à une autre, en évitant la détection.

C’est-à-dire que l’attaquant se place tranquillement, au milieu du chemin de communication, et se fait passer par un intermédiaire des deux cibles. Elle peut permettre une usurpation d’identité.

Ce type d’attaque exploite la table ARP, que chaque hôte gère pour communiquer avec d’autres hôtes, de leurs propres réseaux locaux.

Normalement, si un hôte doit envoyer des données à un autre, il recherche l’hôte de destination dans sa table ARP.

Si une entrée est trouvée, la trame Ethernet peut alors, être envoyée directement à l’adresse MAC de destination.

Sinon, l’expéditeur doit diffuser une demande ARP en broadcast, qui contient l’adresse IP de la destination, et il devra attendre que le destinataire lui réponde avec sa propre adresse MAC.

On va maintenant détailler le processus de l’attaque sur l’image.

À l’étape 1, le client diffuse une requête ARP pour savoir quelle adresse MAC est utilisée par l’hôte qui porte l’IP 192.168.0.10.
À l’étape 2, la demande ARP est envoyée en broadcast, à tous les hôtes du domaine.
Ce qui permet à l’attaquant de recevoir cette requête ARP et de se préparer à exploiter les informations qu’il aura apprises.
Alors, le vrai client, qui porte l’IP 192.168.0.10, répondra avec sa propre réponse ARP et sa véritable Mac Adresse.
Et c’est là que porte toute la finesse de cette attaque…
Car à l’étape 3, l’attaquant va attendre simplement un bref instant avant d’envoyer une réponse ARP usurpée, qui contient sa propre adresse MAC.
Donc, l’objectif de l’attaquant est d’envoyer la dernière réponse ARP, dans le but que tous les autres hôtes mettent à jour leurs tables ARP avec les informations les plus récentes.

Ce processus empoisonne donc l’entrée des tables ARP de tous les systèmes qui aurait reçu la réponse ARP usurpée.

Et comme ça, tout système infecté, transmettra aveuglément le trafic à l’adresse MAC de l’attaquant, qui se fait passer pour la destination.

Dans ce type de hack, dès qu’un attaquant se place entre 2 hôtes, et bien il peut écouter l’ensemble des communications entre ces deux hôtes.

Et il peut même aussi, modifier les données qui transitent.

Résumé des attaques par usurpation d’adresse

Objectif	DoS/DDoS	Reflection	Amplification	Man-in-the-Middle
Épuiser les ressources ou planter le système	Oui	Non	Non	Non
Tromper un hôte pour envoyer du trafic vers la cible	Non	Oui	Oui	Non
Écouter le trafic	Non	Non	Non	Oui
Modifier le trafic	Non	Non	Non	Oui

| Lorsque vous travaillez sur différents types d’attaques d’usurpation d’adresse, n’oubliez pas que le principal but de l’attaquant est de dissimuler son identité et de tromper d’autres systèmes, et ce, de manière malveillante dans le but de réaliser une usurpation d’identité.

Le tableau répertorie les concepts et les caractéristiques de chaque type d’attaque.

Quiz

Question 1

Quel type d’attaque, serait d’envoyer 10 Gb/s depuis une même adresse IP/machine vers un serveur cible pour saturer sa connexion réseau qui ne serait, par exemple, que de 1 Gb/s ?