1.

Concept définitionnel de Wireshark

Lien : https://www.varonis.com/fr/blog/comment-utiliser-wireshark#:~:text=Wireshark%20est
%20un%20logiciel%20open,r%C3%A9seau%20et%20m%C3%A9thodes%20de%20chiffrement.

Wireshark est un logiciel open source d’analyse des protocoles réseau créé par Gerald
Combs en 1998. Un groupe international d’experts réseau et de développeurs gère
aujourd’hui cet outil et le met à jour pour assurer sa compatibilité avec les nouvelles
technologies réseau et méthodes de chiffrement. Wireshark ne pose absolument aucun
risque de sécurité. Il est notamment utilisé par des agences gouvernementales, de grandes
entreprises, des organisations à but non lucratif et des établissements pédagogiques pour
résoudre des problèmes réseau et assurer des formations. Il n’y a pas de meilleur moyen
pour apprendre le fonctionnement des réseaux que d’analyser du trafic sous le microscope
de Wireshark. La question de la légalité de Wireshark est souvent posée, car il s’agit d’un
puissant outil de capture de paquets. Pour rester du côté lumineux de la Force, vous ne
devez utiliser Wireshark que sur les réseaux dont vous avez l’autorisation d’inspecter les
paquets. Utiliser Wireshark pour observer des paquets sans autorisation vous ferait basculer
du côté obscur de la Force.

2. Comment fonctionne Wireshark ?

Wireshark est un outil de capture et d’analyse de paquets. Il capture le trafic du réseau local
et stocke les données ainsi obtenues pour permettre leur analyse hors ligne. Wireshark est
capable de capturer le trafic Ethernet, Bluetooth, sans fil (IEEE.802.11), Token Ring, Frame
Relay et plus encore. Remarque : un « paquet » est un message d’un protocole réseau (par
ex., TCP, DNS, etc.). Le trafic du réseau local est basé sur le concept de diffusion, cela
signifie qu’un seul ordinateur disposant de Wireshark peut visualiser le trafic reliant deux
autres ordinateurs. Pour visualiser le trafic émis vers un site externe, vous devez capturer
les paquets sur l’ordinateur local. Wireshark vous permet de filtrer le journal avant le début
de la capture ou pendant l’analyse. Il vous est ainsi possible d’éliminer le bruit pour trouver
exactement ce que vous recherchez dans la trace réseau. Par exemple, vous pouvez définir
un filtre qui n’affiche que le trafic TCP entre deux adresses IP. Vous pouvez également
choisir de n’afficher que les paquets envoyés depuis un ordinateur précis. Si Wireshark est
devenu une référence de l’analyse de paquets, c’est en grande partie grâce à ses filtres.

3. Comment télécharger Wireshark

Le téléchargement et l’installation de Wireshark sont on ne peut plus simples. Première

étape : consulter la page officielle de téléchargement de Wireshark et trouver la version
correspondant à votre système d’exploitation. L’édition standard de l’outil est gratuite.
 4. Wireshark pour Windows

Sous Windows, Wireshark est disponible en versions 32 bits et 64 bits. Choisissez la version
adaptée à votre système d’exploitation. Au moment de la rédaction de cet article, la version
la plus récente est la 3.0.3. L’installation est très simple et ne devrait pas poser de problème.

5. Wireshark pour Mac

Wireshark est disponible pour Mac sous forme d’installation Homebrew. Pour
installer Homebrew, vous devez exécuter la commande suivante dans le
terminal : /usr/bin/ruby -e "$(curl -
fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)”. Une fois le
système Homebrew en place, vous avez accès à différents projets open source pour
Mac. Pour installer Wireshark, exécutez cette fois la commande suivante dans le
terminal : brew install wireshark. Homebrew télécharge et installe alors Wireshark
et toutes les dépendances éventuellement nécessaires.

6. Wireshark pour Linux

L’installation de Wireshark sous Linux varie légèrement selon les distributions. Si

vous n’utilisez pas l’une des distributions mentionnées ci-dessous, vérifiez les
commandes fournies. Sous Ubuntu, exécutez les commandes suivantes depuis le
terminal :

1. sudo apt-get install wireshark

2. sudo dpkg-reconfigure wireshark-common
3. sudo adduser $USER wireshark

Ces commandes téléchargent le paquet, le mettent à jour et ajoutent les privilèges

utilisateur nécessaires à l’exécution de Wireshark. Sous Red Hat Fedora, exécutez
les commandes suivantes depuis le terminal :

1. sudo dnf install wireshark-qt

2. sudo usermod -a -G wireshark username

La première commande installe les versions en ligne de commande et avec interface

de Wireshark, et la deuxième ajoute les autorisations nécessaires pour utiliser
Wireshark. Sous Kali Linux, Wireshark est probablement déjà installé ! Cet outil fait
partie du paquet de base. Consultez le menu pour vous en assurer. Il se trouve sous
l’option Sniffing & Spoofing.

Paquets de données dans Wireshark

Maintenant que Wireshark est installé, voyons comment lancer la capture de
paquets, puis analyser le trafic réseau.

Capture de paquets de données avec Wireshark

Lorsque vous ouvrez Wireshark, un écran vous présente la liste de toutes les
connexions réseau que vous pouvez surveiller. Vous disposez également d’un
champ de filtre de capture vous permettant de capturer uniquement le trafic réseau
qui vous
intéresse.

Vous pouvez sélectionner plusieurs interfaces en maintenant la touche Majuscule

enfoncée. Une fois votre interface réseau sélectionnée, vous pouvez démarrer la
capture. Plusieurs possibilités s’offrent à vous. Cliquez sur le premier bouton de la
barre d’outils intitulé Start Capturing
Packets.
Vous pouvez aussi sélectionner l’option Capture ->
Start.

Enfin, vous pouvez utiliser le raccourci Control + E. Pendant la capture, Wireshark

vous présente en temps réel les paquets
capturés.
Une fois que vous avez capturé tous les paquets dont vous avez besoin, utilisez les
mêmes boutons ou options de menu pour mettre un terme à l’opération. Il est
recommandé d’interrompre la capture de paquets avant de procéder à l’analyse.

Analyse de paquets de données avec Wireshark

Wireshark propose trois panneaux permettant d’inspecter les données des paquets.
Le panneau du haut, intitulé Packet List, répertorie tous les paquets capturés.
Lorsque vous cliquez sur un paquet, les deux autres panneaux présentent des
informations le concernant. Vous pouvez également voir si le paquet fait partie d’une
conversation. Voici quelques informations sur chacune des colonnes du panneau
supérieur :

 No. : numéro du paquet capturé. Le trait vertical indique que ce paquet fait partie
d’une conversation.
 Time : cette colonne indique combien de temps après le lancement de la capture le
paquet a été capturé. Vous pouvez changer la nature de cette valeur dans les para-
mètres.
 Source : adresse du système qui a émis le paquet.
 Destination : adresse de la destination du paquet.
 Protocole : type du paquet. Par exemple : TCP, DNS, DHCPv6 ou ARP.
 Length : cette colonne indique la longueur du paquet, en octets.
 Info : cette colonne présente plus d’informations sur le contenu du paquet et varie se-
lon le type du paquet.


Le panneau central, intitulé Packet Details, présente autant d’informations lisibles sur
le paquet que possible, en fonction du type de paquet. Vous pouvez effectuer un clic
droit et créer des filtres basés sur le texte en surbrillance dans ce champ. Le
panneau inférieur, Packet Bytes, présente le paquet exactement tel qu’il a été
capturé, sous sa forme hexadécimale. Lorsque vous observez un paquet qui fait
partie d’une conversation, vous pouvez effectuer un clic droit dessus et sélectionner
Follow pour afficher uniquement les paquets qui font partie de la conversation.
Filtres Wireshark
Les filtres de capture et les filtres d’affichage comptent parmi les fonctionnalités les
plus utiles de Wireshark. Ils vous permettent d’opter pour le mode d’affichage le plus
efficace pour résoudre vos problèmes. Voici quelques exemples de filtres qui vous
aideront à vous lancer.

Filtres de capture Wireshark

Les filtres de capture restreignent les paquets capturés par Wireshark. Cela signifie
que les paquets ne répondant pas aux critères du filtre ne sont pas enregistrés. En
voici quelques exemples. host adresse IP : ce filtre limite la capture au trafic reçu et
émis par l’adresse IP indiquée. net 192.168.0.0/24 : ce filtre capture tout le trafic du
sous-réseau. dst host adresse IP : capture les paquets envoyés à l’hôte spécifié. port
53 : capture uniquement le trafic passant par le port 53. port not 53 and not arp :
capture tout le trafic, sauf le trafic DNS et ARP.

Filtres d’affichage Wireshark

Les filtres d’affichage Wireshark modifient la vue de la capture pendant l’analyse.
Une fois que vous avez interrompu la capture de paquets, vous pouvez utiliser des
filtres d’affichage pour affiner la liste de paquets afin de résoudre plus facilement
votre problème. D’après mon expérience, le plus utile est le suivant : ip.src==adresse
IP and ip.dst==adresse IP Ce filtre présente tous les paquets envoyés par un
ordinateur (ip.src) à un autre (ip.dst). Vous pouvez également utiliser ip.addr pour
afficher les paquets envoyés et reçus par cette adresse IP. En voici quelques autres :
tcp.port eq 25 : ce filtre présente tout le trafic intervenant sur le port 25, qui
correspond généralement au trafic SMTP. icmp : ce filtre ne présente que le trafic
ICMP contenu dans la capture, probablement des pings. ip.addr != adresse IP : ce
filtre présente tout le trafic, sauf celui émis et reçu par l’ordinateur spécifié. Les
analystes créent même des filtres permettant de repérer des attaques spécifiques,
comme ce filtre, qui permet de détecter le ver Sasser : ls_ads.opnum==0x09

Autres fonctionnalités de Wireshark

Au-delà de la capture et du filtrage, Wireshark propose plusieurs autres
fonctionnalités qui vous faciliteront la vie.

Options de colorisation de Wireshark

Vous pouvez configurer Wireshark de sorte qu’il colorise les paquets de la liste de
paquets en fonction du filtre d’affichage appliqué. Vous pouvez ainsi mettre en
évidence les paquets qui vous intéressent. Vous trouverez plusieurs exemples sur
cette
page.

Mode Promiscuous de Wireshark

Par défaut, Wireshark ne capture que les paquets envoyés et reçus par l’ordinateur
sur lequel il est exécuté. En cochant la case Promiscuous Mode dans les paramètres
de capture, vous pouvez capturer la plupart du trafic intervenant sur le réseau local.

Ligne de commande de Wireshark

Wireshark propose une interface en ligne de commande bien utile si votre système
ne dispose d’aucune interface graphique. Il est recommandé d’utiliser la ligne de
commande pour capturer les paquets et d’enregistrer un journal de sorte à pouvoir
l’analyser avec l’interface graphique.

Commandes de Wireshark

 wireshark : exécute Wireshark avec l’interface graphique

 wireshark –h : affiche les paramètres de ligne de commande disponibles pour Wire-
shark
 wireshark –a duration:300 –i eth1 –w wireshark. : capture le trafic passant par l’inter-
face Ethernet 1 pendant 5 minutes. –a permet d’arrêter automatiquement la capture
et -i spécifie l’interface de capture

Indicateurs et statistiques

Vous trouverez sous l’option de menu Statistics de nombreuses options permettant

d’afficher des détails sur votre
capture.
Propriétés du fichier de capture
Graphique d’E/S de wireshark

Le type d’attaque mis en œuvre est l’attaque ARP Spoofing

Le lien est : https://analyse-innovation-solution.fr/publication/fr/hacking/mitm-arp-spoofing

que l'ARP spoofing ?

L'ARP spoofing, comprenez littéralement "usurpation ARP" est une technique
offensive utilisée dans le cadre d'une attaque de l'homme du milieu (MITM man in
the middle) réalisé sur un réseau local. L'ARP spoofing vise à écouter, détourner,
modifier voir arrêter les flux de données qui transitent entre deux équipements
cible/passerelle (ex : téléphone portable et routeur du réseau wifi où est connecté le
téléphone). Ce type d'attaque permet des scénarios complexes et particulièrement
élaborés lors d'un audit de sécurité.

Qu'elles sont les étapes d'une attaque ARP

spoofing ?
1. Un ordinateur (A) se connecte à internet à l'aide d'une connexion wifi à un rou-
teur (B).
2. Un attaquant (C) accède au réseau wifi où se trouve l'ordinateur (A).
 3. Une fois, connecter sur le réseau local notre attaquant (C) peut maintenant par-
faitement réaliser une attaque ARP spoofing en empoisonnant les caches ARP
de l'ordinateur (A).
4. Quand l'empoisonnement réussi, l'ordinateur (A) se met alors à envoyer l'en-
semble de ses paquets de données (requêtes) au système contrôlé par notre at-
taquant (C).
5. L'attaquant intercepte et modifie le contenu qui transite entre l'ordinateur A et le
routeur dans les deux sens. Fondamentalement, c'est tout.

À quoi sert l'ARP spoofing concrètement

lors d'une attaque MITM ?
L'attaque par usurpation ARP permet de rediriger des flux de données en effectuant
un spoofing DNS (falsifier les réponses des serveurs qui permettent la résolution des
noms de domaines en adresse IP). Il est donc parfaitement possible de rediriger une
page https sécurisée vers une copie du site aux mains du hacker pour collecter les
données d'identifications qui seront saisies par l'utilisateur. Le spectre de cette attaque
offre entre autres la possibilité de remplacer des données. Ainsi supposons un site en
http, il est parfaitement envisageable lors de la requête qui génère la page, de
remplacer le contenu d'une publication ou d'images pour réaliser une désinformation.
Dans le même ordre d'idée, des communications non chiffrées peuvent être
interceptées et/ou modifiées. Autre cas : imaginons une connexion à un serveur FTP,
aucun protocole de chiffrement n'étant utilisé les identifiants qui permettent l'accès au
serveur sont lisible en clair dans les échanges entre le client et le routeur.

Principes généraux pour effectuer une

attaque MITM ARP spoofing :
Le concept général d'une attaque MITM par usurpation ARP sans provoquer un déni de
service est basique et se limite à quatre étapes.

1. Être connecté sur le réseau local cible.

2. Découvrir l'adresse IP du routeur.
3. Scanner le réseau à la recherche d'un équipement pour connaître son IP.
4. Passer sa carte réseau en mode promisc (écoute du trafic).
5. Rediriger les paquets de l'équipement cible vers le routeur.
6. Rediriger à l'inverse les paquets du routeur vers l'équipement cible.

Plusieurs logiciels de la suite Kali Linux serviront

pour réaliser des attaques MITM plus ou moins
élaborées .
 Nmap : Nmap est un outil puissant permettant de scanner les réseaux, nous
l'utiliserons ici pour découvrir les adresses IP allouées aux équipements du ré-
seau local.
 Ettercap : L'incontournable pour réaliser une attaque ARP spoofing. Manipuler
les données interceptées ou encore attaquer des connexions SSL ou SSH.
 Wireshark : pour analyser les packets qui transitent sur le poste de l'attaquant.
 SET : Pour les attaques par ingénieries sociales (ici, cloner un site et récupérer
les informations d'identifications).
Mise en œuvre d'une attaque MITM basique ARP
spoofing :
Imaginons le scénario type : un attaquant réalise une attaque sur un réseau WIFI et
réussit à obtenir les identifiants. Il est maintenant connecté sur le réseau local.

ARP spoofing première étape : découvrir l'adresse IP du routeur.

Il va commencer par récupérer l'adresse du routeur, il ouvre donc un prompt et tape la
commande

IP route

Il obtient comme réponse :

default via 192.168.1.1 dev wlan0

Il sait maintenant que l'adresse IP du routeur est 192.168.1.1 pour son interface wlan0 .

ARP spoofing deuxième étape : découvrir l'ensemble des équipements et les

adresses IP allouées à ces équipements sur le réseau local.
Toujours dans son terminal, il démarre nmap et effectue la commande de scan des
adresses IP du routeur jusqu'à la limite de 255 (soit l'intégralité du réseau local).

nmap 192.168.1.1-255

Après quelques secondes la console lui retourne une liste d'adresse IP, supposons
qu'il souhaite cibler 192.168.1.9 .

ARP spoofing troisième étape : basculer sa carte en mode promisc.

Une rapide explication théorique avant d'aller plus loin sur les attaques ARP spoofing.
Le mode promisc permet à la carte réseau d'écouter l'ensemble des paquets qui
circulent sur le réseau. Incluant ceux qui ne lui sont pas adressés. À noter qu'à partir
du moment où un équipement réseau se place en mode promiscuité, la charge du
processeur de l'équipement va augmenter en conséquence. Et de facto, la vitesse des
réponses réseau va chuter, ce qui est un indicateur possible pour des logiciels de
surveillance réseau.

À nouveau dans le terminal de commande, une simple ligne, permet d'activer le mode
promisc sur la carte réseau.

ifconfig wlan0 promisc

ARP spoofing dernière étape : l'empoisonnement des caches ARP.

L'empoisonnement des caches ARP est l'étape clé dans le processus d'une
attaque ARP spoofing. Nous allons nous attarder sur les possibilités offertes
nativement par l'outil ettercap.

Pour empoisonner des caches ARP entre le routeur 192.168.1.1 et l'ordinateur cible à
l'adresse IP 192.168.1.9 et pouvoir sniffer le trafic entre ces deux équipements :

ettercap -i wlan0 -T -M arp:remote /192.168.1.1/ /192.168.1.9/

À partir de là, notre carte réseau usurpe les adresses MAC respectives dans les deux
sens de communications (émissions/réceptions) sur l'interface wifi wlan0 . Et l'ensemble
des packets envoyés vers ou depuis le routeur et vers ou depuis l'ordinateur cible
transiteront par notre carte réseau.

Dans le même ordre d'idée, il est parfaitement possible d'empoisonner les caches ARP
entre le routeur et une plage d'équipement (ce qui ralentit terriblement le trafic réseau)
ici de l'adresse IP 192.168.1.2 jusqu'à 192.168.1.9 .

ettercap -i wlan0 -T -M arp:remote /192.168.1.1/ /192.168.1.2-9/

Explications sur les paramètres employés :

-i : permets de définir l'interface réseau (la carte réseau) à utiliser.

-T : mode texte pour avoir un retour dans le prompt.

-q : (optionnel) sert pour définir si on ne souhaite pas voir les paquets.

-M arp:remote : pour définir la portée de l'attaque routeur/terminal cible.

-w (optionnel) : si on souhaite sauvegarder une trame réseau capturée dans un fichier

de sortie au format PCAP.

ARP Spoofing et DNS Spoofing

Avant d'aller plus loin sur les méthodes de DNS Spoofing, il est important de
comprendre le fonctionnement du DNS et de savoir ce qu'est un DNS.

Qu'est-ce qu'un DNS ?

Le DNS pour Domaine Name System est un système de serveur qui sert à transformer
les noms de domaines en adresse IP en interrogeant un de ces serveurs DNS qui se
comporte comme un annuaire (ex : analyse-innovation-solution.fr devient 164.132.235.17 ).
C'est ce qu'on appelle une résolution de nom de domaine.

Pour permettre à ce processus de fonctionner correctement, l'ordinateur

(routeur,téléphone, tablette, ou tout autre terminal) doit embarquer l'adresse IP des
différents serveurs DNS. Si il ne dispose pas de ces adresses, il commence par
interroger le serveur DNS du routeur de l'infrastructure dont il dépend.

Vous commencez à faire le rapprochement avec ce qui est expliqué plus haut ? Sans
chiffrement asymétrique entre les deux parties, impossible de définir si la
communication s'établit bien avec le bon terminal ou avec un terminal placé en MITM à
l'aide d'une attaque ARP Spoofing.

Comment réaliser une attaque MITM - DNS spoofing ?

Dans un premier temps nous allons commencer par modifier le fichier etter.dns qui se
trouve dans /ettercap/etter.dns . Ce fichier se structure sur 3 colonnes un hostname, un
paramètre, une IP de destination. Le paramètre le plus utile étant A pour signifier une
redirection vers une adresse IP. Chaque ligne correspond à une redirection.

Dans notre cas nous allons faire pointer www.analyse-innovation-solution.fr vers un

serveur hébergé en local à l'adresse IP 192.168.1.5 qui contient un copie du site avec
d'autres contenues on sera donc simplement sur une opération de désinformation.
Notre enregistrement dans le fichier etter.dns correspondra donc à ça :

www.analyse-innovation-solution.fr A 192.168.1.5

Pour commencer l'attaque, on lance simplement la ligne de commande suivante qui

reprend les mêmes paramètres que dans les dernières attaques en précisant un nouvel
argument -P avec pour paramètre dns_spoof :

ettercap -i wlan0 -T -q -P dns_spoof -M arp:remote /192.168.1.1/

/192.168.1.9/

Si tout à fonctionner le prompt vous renvoi : dns_spoof: [www.analyse-innovation-solution.fr]

spoofed to [192.168.1.5] lors d'une tentative de connexion du PC 192.168.1.9 vers ce site.

Comment collecter des mots de passes à l'aide d'une attaque MITM et le DNS
spoofing ?
Dans un premier temps on utilisera l'outil de pentest SET créé par David Kennedy
disponible sous Kali pour réaliser un clone du site cible.

Pour démarrer cet outil :

setoolkit

Puis pour le basculer en attaque d'ingénierie sociale avec duplication de site avec
collecte des informations d'identifications :

1. Social Engineering Attacks > 1

2. Website Attack Vectors > 2
3. Credential Harvester Attack Method > 3
4. Site cloner > 2
5. Fournir l'adresse IP du serveur qui recevra les packets POST envoyé par notre
le clone du site web (ici 192.168.1.5 )
6. Fournir l'url de la page à cloner : https://site-cible.fr/login

Une fois ces étapes complétées, il suffit de reproduire l'attaque DNS

spoofing expliquée plus haut en modifiant les informations du fichier etter.dns pour
coller aux besoins de l'attaque.
Qu’est-ce que l‘ARP spoofing ?
Le lien : https://www.ionos.fr/digitalguide/serveur/securite/arp-spoofing-attaques-du-reseau-
interne/#:~:text=l'ARP%20spoofing%20d%C3%A9signe%20les,manipuler%20leur%20trafic%20de
%20donn%C3%A9es.

Le scénario de requête et de réponse du protocole ARP est organisé de façon à ce que la

première réponse à la demande ARP soit acceptée et enregistrée. Dans le cadre de l’ARP
spoofing, les pirates tentent de devancer l’ordinateur visé en envoyant une réponse contenant
des informations incorrectes pour manipuler la table ARP de l’ordinateur qui envoie la demande.
On appelle ceci l’ARP poisoning, ou la contamination du cache ARP. En règle générale, ces
paquets de données contiennent l’adresse MAC d’un appareil du réseau contrôlé par des pirates.
Le système visé guide l’IP vers la mauvaise adresse hardware, et envoie tous les paquets de
données futures vers le système contrôlé par les pirates, qui sont alors en mesure d’enregistrer
ou de manipuler le trafic des données.

Pour que cette supercherie ne soit pas découverte, le trafic intercepté est transmis au système
initialement visé. Le pirate devient alors l’homme du milieu. Si les paquets de données
interceptés, au lieu d’être transférés, sont supprimés, on parle alors d’une attaque par déni de
service. L’ARP spoofing fonctionne aussi bien dans les environnements LAN que WLAN. Même
le chiffrement d’un réseau sans fil via un accès wifi protégé (WPA), n’offre pas de protection
suffisante. Pour communiquer dans des réseaux IPv4 locaux, tous les appareils connectés
doivent résoudre les adresses MAC, ce qui ne peut se faire que via l’ARP.

Cain&Abel est un logiciel particulièrement connu pour se tapir derrière les demandes de
broadcast et pour envoyer des ARP factices. Mais pour « contaminer » le cache ARP d’un
appareil réseau, un pirate n’a pas forcément besoin d’attendre les demandes d’ARP. Une autre
stratégie consiste en effet à bombarder le réseau de fausses réponses ARP. Si la plupart des
systèmes ignorent les paquets de réponses qui ne sont pas liées à une demande, ceci n’est plus
valable dès qu’un ordinateur dans le LAN envoie une requête ARP, et qu’il est donc dans
l’attente d’une réponse. En fonction de la chronologie, la fausse réponse peut arriver avant celle
du système visé. Ce modèle d’attaque peut être automatisé grâce à des programmes
comme Ettercap.
ARP-Spoofing

Aperçu des programmes d‘attaques ARP

Les programmes qui opèrent dans le cadre de l’ARP spoofing sont en général présentés comme
des outils de sécurité, et disponibles gratuitement sur le Web. Les administrateurs peuvent
utiliser le programme pour tester leur réseau, et le protéger contre les modèles d’attaques les
plus fréquents. Les applications les plus courantes sont ARP0c/WCI, Arpoison, Cain&Abel,
Dsniff, Ettercap, FaceNiff et NetCut :

 ARP0c/WCI : selon le fournisseur, ARP0c/WCI est un outil qui utilise l’ARP spoofing pour
intercepter des connexions dans un réseau privé. Pour ce faire, le logiciel envoie des faux
paquets de réponses ARP, qui redirigent le trafic vers le système exploitant ARP0c/WCI.
Les paquets qui ne sont pas délivrés localement sont transférés par ARP0c/WCI vers le
routeur approprié. Une attaque de l’homme du milieu n’est généralement pas détectée.
Le programme, disponible pour Windows et Linux, peut être téléchargé gratuitement sur
le site du fournisseur.

 Arpoison : l’outil de ligne de commande Arpoison génère des paquets ARP définis par
les utilisateurs, dans lesquels ils peuvent définir les adresses de l’expéditeur et du desti-
nataire. Arpoison peut être utilisé pour l’analyse de réseau, mais on s’en sert également
comme d’un programme de cyberattaque. L’outil est disponible gratuitement et opère
sous la licence GNU.

 Cain&Abel : l’outil de récupération de mots de passe Cain&Abel offre la possibilité d’in-

tercepter des réseaux et de déchiffrer leurs mots de passe sécurisés. Depuis la version
2.5, le programme contient également des fonctionnalités d‘ARP poisoning, qui inter-
ceptent le trafic IP dans les LAN échangés. Même les connexions SSH et HTTPS ne
constituent pas un obstacle pour Cain&Abel. Pour analyser le trafic d’un réseau WLAN, le
programme est compatible avec l’adaptateur AirPcap depuis la version 4.0, ce qui permet
une lecture passive du trafic de données dans le WLAN. La version 4.9.1 a également
rendu possible les attaques contre les réseaux sans fil sécurisés avec WPA.

 Dsniff : Dsniff est un ensemble de programmes fournissant des outils pour l’analyse de
réseaux et les tests de pénétration : grâce à Dsniff, Filesnarf, Mailsnarf, Msgsnarf, Urls-
 narf et Webspy, il est possible d’espionner les réseaux et d’intercepter des données, des
emails ou des mots de passe. Arpspoof, Dnsspoof et Macof permettent de détecter des
données qui ne sont normalement pas accessibles dans les réseaux commutés. Les at-
taques de l’homme du milieu dans les connexions sécurisées SSH et SSL/TLS sont per-
mises grâce à des programmes comme shmitm et Webmitm.

 Ettercap : l’outil d’ARP spoofing Ettercap, tourné vers la convivialité utilisateur, est
d’abord utilisé pour des attaques de l’homme du milieu. Le programme est compatible
avec plusieurs distributions Linux ainsi qu’avec Mac OS X (Snow Leopard & Lion). Il est
possible de l’installer aussi sous Windows, mais ceci requiert des réglages supplémen-
taires. En plus de l’interface utilisateur, il existe des interfaces graphiques GTK2-GUI et
des frontends ncurses. Ce programme permet d’automatiser des piratages tels que le
sniffing, les attaques ARP et la collecte de mots de passe. Ettercap permet de manipuler
les données interceptées et d’attaquer des connexions sécurisées via SSH ou SSL. Offi-
ciellement, il est présenté comme un programme de sécurité, et utilisé pour les tests de
produits.

 FaceNiff : l’application Android FaceNiff permet aux utilisateurs de lire les sessions de
cookies dans les réseaux WLAN. Les pirates utilisent cet outil pour pirater des comptes
Facebook, Amazon ou Twitter, donc il importe finalement peu que le réseau sans fil soit
ouvert ou chiffré via WEP, WPA-PSK ou WPA2-PSK. Le protocole d’identification EAP
(Extensible Authentication Protocol), comme le SSL, constitue une protection efficace
contre FaceNiff. Le programme est basé sur l’extension Firefox Firesheep, et peut être
utilisé sur smartphone, en combinaison avec les navigateurs préalablement installés.

 Netcut : avec le logiciel de gestion de réseau Netcut, les administrateurs peuvent gérer
leur réseau sur la base de l’ARP. L’outil détecte tous les appareils connectés au réseau
et affiche leurs adresses MAC. Un simple clic sur l’une de ces adresses permet de dé-
connecter l’appareil correspondant du réseau. NetCut est particulièrement adapté aux at-
taques DoS, pourvu que le pirate se trouve dans le même réseau que la victime ; il ne
permet en revanche pas de mettre en œuvre des attaques de l’homme du milieu.

ARP spoofing et chiffrement

Si un pirate parvient à s’insérer entre deux partenaires de communication, il a les mains libres
pour disposer de la connexion non protégée. Dans la mesure où toute la communication d’une
connexion piratée s‘exécute sur le système des hackeurs, ils peuvent lire et manipuler les
données à leur guise. Certaines techniques de chiffrement et des certificats d’authentification
assurent néanmoins une protection efficace contre l’espionnage des données. Si des pirates
interceptent uniquement des données codées, le pire des scenarii se limite à un déni de service
par suppression des paquets de données. Il est toutefois nécessaire d’implémenter en
permanence un chiffrement fiable des données.

De nombreux outils utilisés pour les attaques de l’homme du milieu offrent également la
possibilité de commettre des ARP spoofing, ainsi que d’implémenter des serveurs et clients pour
SSL/TLS, SSH et d’autres protocoles de chiffrement. Ils sont en mesure d’imiter les certificats
nécessaires, et d’établir des connexions chiffrées. Cain&Abel, par exemple, simule un serveur
Web SSL, qui envoie ensuite de faux certificats SSL au système de la victime. Si les utilisateurs
sont souvent mis en garde dans ces cas-là, ces avertissements sont en général ignorés ou mal
interprétés. C’est pourquoi la gestion des certificats numériques devrait être intégrée au sein des
formations au sujet de la sécurité des réseaux.
Contre-mesures
Puisque l’ARP spoofing exploite l’adress resolution protocol, tous les réseaux IPv4 sont sujets à
des attaques de ce type. L’implémentation d’IPv6n’a pas non plus permis de résoudre ce
problème en profondeur. Le nouveau standard IP renonce à l’ARP et contrôle à la place la
résolution d’adresse dans le LAN via NDP (Neighbor Discovery Protocol), qui est également
vulnérable aux attaques de spoofing. La faille de sécurité pourrait être comblée grâce à au
protocole Neighbor Discovery (SEND), mais ce dernier n’est pas compatible avec la plupart des
systèmes d’exploitation de bureau.

L’une des façons de se protéger contre la manipulation des caches ARP réside dans les entrées
ARP statiques, qui peuvent être paramétrées notamment sous Windows, en utilisant le
programme de ligne de commande ARP et la commande arp –s. Mais puisque les entrées de ce
type doivent être faites manuellement, ces méthodes de sécurité sont en général réservées aux
systèmes les plus importants du réseau.

Une autre mesure de sécurité contre l’abus des ARP consiste à diviser les réseaux en 3 couches
commutées. En effet, les demandes de broadcast non contrôlées ne touchent que les systèmes
qui se trouvent dans le même segment de réseau. Les demandes ARP dans les autres segments
sont vérifiées par le commutateur. Si elles fonctionnent dans la couche réseau (la 3e couche),
l’adresse IP correspond à la fois avec l’adresse MAC et avec les entrées précédentes. S’il y a la
moindre différence ou si les réaffectations sont trop fréquentes, l’alarme se met en marche.
Cependant, le matériel requis pour mettre en œuvre cette méthode est relativement cher. Il
revient aux administrateurs d’estimer si le renforcement de la sécurité réseau justifie de telles
dépenses. Par ailleurs, le système à 2 couches commutées, nettement moins favorable, n’est
pas adapté ici. Bien qu’elle enregistre un changement dans l’adresse MAC, l’assignation des IP
respectives reste inchangée.

Nombreux sont les fabricants de logiciels qui proposent des programmes de surveillance des
réseaux, capables de détecter les procédés ARP. Les outils les plus célèbres sont ARP-Guard et
XArp, ainsi que le programme open-source Arpwatch. Par ailleurs, les systèmes de détection
d’intrusion tels que Snort peuvent être utilisés pour surveiller la résolution d’adresse via ARP.

 Arpwatch : Arpwatch est un outil open-source multiplateforme. Lorsqu’il est intégré à un

réseau local IPv4, il enregistre en continu toutes les activités ARP dans le LAN. Tous les
paquets ARP qui arrivent sont reçus par le programme en même temps que les informa-
tions sur leurs adresses, et sont enregistrés dans la base de données centrale. Si le pro-
gramme trouve des entrées plus anciennes qui ne correspondent pas aux données qui
viennent d’être envoyées, il envoie un email d’avertissement à l’administrateur. La procé-
dure est efficace, mais seulement adaptée aux réseaux dotés d’adresses IP statiques. Si
les IP LAN sont distribuées de façon dynamique à travers un serveur DHCP, chaque
changement de l’adresse IP ou MAC produira une fausse alerte.

 ARP-Guard : produit par ISL, ARP-Guard est également un outil de surveillance des ré-
seaux internes, et repose sur deux détecteurs distincts. Le capteur LAN travaille de façon
similaire à celui d’Arpwatch : il analyse les paquets de données entrants et tire la son-
nette d’alarme s’il remarque des différences. L’architecture du système comprend égale-
ment un détecteur SNMP, qui utilise le protocole Simple Network Management (SNMP)
afin d’accéder aux appareils connectés dans le LAN et de lire leurs tables ARP. De cette
façon, ce ne sont pas seulement les attaques ARP qui sont localisées et neutralisées,
mais le système de gestion intégré des adresses permet aussi aux administrateurs de dé-
tecter les appareils indésirables et de les empêcher d’accéder au réseau.

 XArp : le programme XArp, repose à la fois sur des modules actifs et passifs pour proté-
ger le réseau de l’ARP spoofing. Les modules passifs analysent les paquets ARP en-
voyés sur le réseau, et vérifient la correspondance des adresses assignées avec les an-
 ciennes entrées. S’ils détectent une différence, l’administrateur en est immédiatement
alerté. Le mécanisme de contrôle est basé sur des analyses statistiques, il vérifie le trafic
du réseau à partir de différents schémas qui, selon les développeurs, indiquent une at-
taque ARP. Il est possible d’ajuster graduellement la sensibilité de ce filtre de trafic. Les
modules actifs du programme envoient leurs propres paquets dans le réseau, de façon à
valider les tables ARP des appareils accessibles, et à les compléter avec des données
valides.

Le système de détection d’intrusion (IDS) Snort opère également grâce à un préprocesseur

Arpspoof intégré, qui permet de surveiller le trafic des données dans le réseau, et de compiler
des listes comparatives manuellement. Mais en comparaison, cette solution est relativement
couteuse.

Plus important encore, IDS est surtout utilisé pour faire la transition vers des réseaux externes.
Décider si le LAN importe ou non est donc un choix individuel. Il arrive que le conseil
professionnel s’oppose à de telles mesures. Un administrateur qui surveille le réseau interne a en
effet accès à l’intégralité du réseau, et peut également surveiller les activités de chacun des
employés ; par conséquent, si ce contrôle existe, il est rarement souhaitable.