ISI

INSTITUT SUPERIEUR D’INFORMATIQUE

‘‘SNIFFING ’’
Présenté Par:
AWI TAGNADI
JACQUES A L SAGNE
 PLAN:
INTRODUCTION
DEFINITION
LE RENIFLAGE RESEAU
LE RENIFLAGE DE PAQUETS
TYPES DE SNIFFING
OUTILS DE SNIFFING
CONTREMESURES ET DETECTION DE SNIFFER
CONCLUSION
LAB
 INTRODUCTION
Qu’est-ce que le « sniffing » ? Le sniffing est l’action d’écouter le trafic sur
un réseau à l’aide de drones appelés « sniffers » parfois à l’insu des
utilisateurs et des administrateurs. À la base, il était appelé « analyseur
de protocole » voire encore « analyseur de réseau », devenu terme
populaire, il est le plus utilisé de nos jours. Il y a plusieurs types et
méthodes de sniffing : son utilisation en fait sa légalité.
 INTRODUCTION
Néanmoins, il s’agit d’un comportement normal du système et il ne faut
donc pas s’en inquiéter si on prend soin de bien sécuriser son réseau.
Le renifleur peut être un matériel(hardware) ou un logiciel(software) : Le
matériel est bien plus efficace que le logiciel, encore que, la puissance des
machines augmentant sans cesse et donc il est plus difficile d’utiliser un
matériel adéquat. Mais le matériel est surtout beaucoup plus cher que le
logiciel.
 DEFINITION
Le Sniffing ou reniflement de trafics constitue l’une des méthodes
couramment utilisée par les pirates informatiques pour espionner le trafic
sur le réseau. Dans la pratique, les hackers ont généralement recours à ce
procédé pour détecter tous les messages circulant sur le réseau en
récupérant des mots de passe et des données sensibles.
 DEFINITION
Les pirates informatiques utilisent des sniffers réseau ou renifleurs de
réseau pour pouvoir surveiller le réseau et soustraire frauduleusement
les différents types de données confidentielles susceptibles de les
intéresser.
 LE RENIFLAGE RESEAU
Lorsque l’on parle d’attaque par reniflage réseau  dans le monde de la
cyber-sécurité, cela fait référence à une technique de piratage
informatique : cela consiste à créer un faux réseau WiFi se faisant passer
pour un vrai réseau WiFi public, pour écouter les communications afin
de récupérer le contenu transmis.  Bien que ces réseaux aient l’air
authentique – ils utilisent des noms de lieux proches (par exemple
Starbucks WiFi) – ils sont en réalité directement connectés au pirate
informatique.
 LE RENIFLAGE RESEAU
Le hacker se connecte à internet pour que vous puissiez naviguer comme
si tout était normal, sans vous rendre compte de quoi que ce soit
d’anormal.  De son côté, le hacker peut analyser et récupérer tout ce que
vous tapez, que ce soit sur votre ordinateur ou sur votre mobile connecté
à ce faux réseau.
 LE RENIFLAGE RESEAU
Le pirate cherche ainsi à dérober vos identifiants et vos fameux mots de
passe. Il utilise pour cela un outil spécialement conçu. C’est la raison pour
laquelle il est crucial de vous connecter uniquement à des réseaux que
vous connaissez et auxquels vous pouvez faire confiance. Tous ces
réseaux doivent avoir un mot de passe afin que vous connexions soient
cryptées.
Ne vous connectez jamais à un réseau public ouvert qui ne requiert pas
de mot de passe au risque d’être épié, comme nous venons de le décrire.
 LE RENIFLAGE DE PAQUETS
Le reniflage de paquets est la pratique qui consiste à rassembler, collecter
et consigner tout ou partie des paquets qui transitent par le réseau d’un
ordinateur, quelle que soit l’adresse à laquelle ce ou ces paquets sont
destinés. En y recourant, on peut recueillir à des fins d’analyse chaque
paquet ou chaque sous-ensemble défini de paquets. Un administrateur
réseau peut alors utiliser les données collectées pour toutes sortes de
finalités, comme pour superviser la bande passante ou le trafic de son
réseau.
 LE RENIFLAGE DE PAQUETS
Un renifleur de paquets, ou analyseur de paquets, se compose de deux
grandes parties. D’une part, un adaptateur réseau qui connecte le
renifleur au réseau. De l’autre, un logiciel qui permet de consigner, de
consulter ou d’analyser les données collectées par l’appareil.
 LE RENIFLAGE DE PAQUETS
Un réseau est un ensemble de nœuds – PC, serveurs, périphériques
réseau – interconnectés. La connexion réseau permet de transférer des
données d’un terminal à l’autre. Elle peut prendre une forme physique,
c’est-à-dire utiliser des câbles, ou être sans fil, auquel cas elle se sert de
signaux radio. Les réseaux peuvent aussi combiner les deux types de
connexions.
 LE RENIFLAGE DE PAQUETS
Lorsque les nœuds acheminent des données sur le réseau, chaque
transmission est décomposée en petites unités qualifiées de paquets. Leur
longueur et leur forme sont précisément définies, ce qui permet de
vérifier que chacun est complet et utilisable. Étant donné que
l’infrastructure d’un réseau est commune à une multitude de nœuds, les
paquets adressés à des nœuds distincts vont transiter par de nombreux
autres nœuds avant d’atteindre leur destination. Pour s’assurer qu’ils ne
soient pas mélangés, chacun d’entre eux se voit assigner une adresse qui
représente la destination qu’il est supposé rallier.
 LE RENIFLAGE DE PAQUETS
L’adresse d’un paquet est examinée par chaque adaptateur réseau et
chaque appareil connecté afin de déterminer le nœud auquel il est
supposé parvenir. La norme veut qu’un nœud qui voit un paquet qui ne
lui est pas destiné l’ignore, de même que les données qu’il contient.
Le reniflage de paquets ne tient pas compte de cette norme, et collecte
tout ou partie des paquets, quelle que soit leur adresse de destination.
 LE RENIFLAGE DE PAQUETS
Il existe deux grands types de renifleurs de paquets :
Les renifleurs de paquets physiques
Un renifleur de paquets physique est conçu pour être branché à un réseau
afin de l’examiner. C’est un outil particulièrement utile pour qui veut
analyser le trafic d’un segment précis d’un réseau. Une fois branché
directement au bon emplacement du réseau physique, le renifleur physique
peut vérifier qu’aucun paquet ne se perd en route à cause du filtrage, du
routage ou pour tout autre motif délibéré ou fortuit. Un renifleur de
paquets physique peut conserver les paquets qu’il recueille, ou alors les
transférer à une interface de collecte qui va les consigner pour analyse
ultérieure.
 LE RENIFLAGE DE PAQUETS
Les renifleurs de paquets logiciels
De nos jours, la plupart des renifleurs de paquets appartiennent à la catégorie des logiciels. En
effet, s’il est vrai que toute interface réseau rattachée à un réseau peut recevoir toutes sortes de
données relatives au trafic qu’il accueille, le fait est que la plupart d’entre eux ne sont pas
configurés pour ce faire. Un renifleur de paquets logiciel modifie la configuration de manière à
ce que l’interface réseau fasse remonter l’ensemble du trafic vers la couche logicielle. Sur la
plupart des adaptateurs réseau, cette configuration est qualifiée de promiscuous mode, c’est-à-
dire « mode de proximité ». Une fois ce mode activé, le renifleur va servir à séparer, à
reconstituer et à consigner tous les paquets logiciels transitant par l’interface, ce quelle que soit
leur adresse de destination. Le renifleur de paquets logiciel collecte toutes les données
concernant le trafic passant par l’interface réseau physique. Ce trafic est alors sauvegardé et
utilisé en fonction des contraintes du logiciel en matière de reniflage de paquets.
 LE RENIFLAGE DE PAQUETS
Pour capturer des données sur tout un réseau, il faut parfois mobiliser
plusieurs renifleurs à la fois. En effet, comme chaque collecteur peut
uniquement collecter le trafic réseau qui est reçu par l’adaptateur réseau,
il peut passer à côté du trafic qui existe de l’autre côté des routeurs ou des
switches. Sur les réseaux sans fil, les adaptateurs sont rarement capables
de se connecter à plusieurs canaux en même temps. Pour recueillir des
données sur plusieurs segments du réseau, ou plusieurs canaux sans fil, il
faut utiliser un renifleur de paquets par segment. Sur la plupart des
solutions de supervision réseau, le reniflage de paquets est intégré aux
fonctions des agents de supervision.
 LE RENIFLAGE DE PAQUETS
Les renifleurs de paquets collectent l’intégralité du paquet de chaque
transmission réseau. Les paquets qui ne sont pas chiffrés peuvent être
reconstitués et lus en intégralité. À titre d’exemple, les paquets
interceptés d’un utilisateur qui parcourt un site web vont inclure le code
HTML et CSS des pages web consultées. Plus important encore, les
utilisateurs qui se connectent à des ressources réseau via des
transmissions non chiffrées fragilisent la sécurité de leur identifiant et de
leur mot de passe, puisque le texte non chiffré peut être consulté dans des
paquets interceptés.
 LE RENIFLAGE DE PAQUETS
Le reniflage de paquets a plusieurs utilités, à commencer par la résolution des
problèmes réseau. Si l’on détecte des paquets sur un réseau où ils n’ont rien à
faire, cela est vraisemblablement dû à une mauvaise configuration des routeurs
ou des switches. De même, si l’on constate que des paquets sont assignés à des
ports qui ne correspondent à leur protocole, il est probable qu’un ou plusieurs
nœuds aient été mal paramétrés. Le reniflage de paquets permet aussi
d’analyser le trafic et les réponses données à chaque requête. Le nœud
interroge-t-il le bon serveur DHCP ? La bonne requête DNS est-elle routée au
bon endroit ? Le trafic est-il chiffré en SSL ou HTTPS selon les circonstances, ou
arrive-t-il que des réponses non cryptées soient envoyées ? Le paquet
emprunte-t-il le chemin de routage le plus direct vers sa destination finale ?
 LE RENIFLAGE DE PAQUETS
On peut également analyser les paquets pour voir si une application
spécifique utilise une trop grande quantité de bande passante ou si
l’authentification nécessite l’échange d’une multitude d’instructions d’un
sens à l’autre. À l’aune des données collectées, on peut améliorer ses
communications ou régler les problèmes qui affectent les applications, et
ainsi améliorer les performances des logiciels.
 LE RENIFLAGE DE PAQUETS
On peut aussi se servir du reniflage de paquets pour contrôler des
tendances de consommation sur un réseau. L’analyse des paquets
collectés peut en effet révéler qu’une grande quantité de trafic est
mobilisée par certaines applications internes, ou encore par des
transmissions vidéo. De même, une baisse du trafic peut être le signe que
certaines ressources sont moins utilisées.
 LE RENIFLAGE DE PAQUETS
Le reniflage de paquets peut aussi contribuer à la sécurité d’un réseau. En
supervisant le trafic en quête d’identifiants et de mots de passe non
chiffrés, par exemple, on peut s’apercevoir de l’existence de failles de
sécurité avant que des hackers n’en profitent. En outre, la surveillance du
trafic distant permet de s’assurer que l’ensemble du trafic est chiffré
comme il se doit, et non propulsé sans protection aucune dans les
méandres dans l’internet.
 TYPES DE SNIFFING
Il existe deux types de SNIFFING: Passif et Actif.
Quelques techniques de Sniffing Actif:
Attaque MAC
Attaque DHCP
ARP Poisoning
Spoofing
DNS Poisoning
 OUTILS DE SNIFFING
Whireshark
TCPDump
Scapy
Hardware Protocol Analyzer
Wiretapping
CONTREMESURES ET DETECTION DE SNIFFING
Les protocoles vulnérables au Sninnig sont:
HTTP
Telnet et Rlogin
POP
IMAP
SMTP et NNTP
FTP
CONTREMESURES ET DETECTION DE SNIFFING
Pour contrer ces vulnérabilités il faut:
HTTPS
Switch
SFTP
PGP
SSH
OTP
WPAE
CONTREMESURES ET DETECTION DE SNIFFING
Pour détecter une attaque de type Sniffing on peut utiliser:
Promiscious Mode
Hardware Protocol Analyzer
IDS
Méthode ARP
Méthode DNS
 CONCLUSION
L’analyseur de protocole, dit méthode du « sniffing » est une méthode
possédant deux faces. Si son utilisation rend la vie des administrateurs
réseau plus facile dans la protection et la surveillance des données, elle
peut également leur coûter de nombreuses fuites d’informations, qu’elles
proviennent d’une entreprise où d’un simple utilisateur inexpérimenté
n’étant pas capable de se protéger face à de tels attaques sur leur vie
privée.
 LAB

Merci de votre attention