Le vol d’identité est toujours une menace, quel que soit le support. Ce que l’on appelle « l’usurpation d’IP » est un moyen courant pour les utilisateurs malveillants de gagner rapidement en crédibilité pour leurs tentatives de piratage.

Étant donné que chaque ordinateur et serveur possède un identifiant unique (une adresse « protocole Internet » – ou IP), presque toute personne utilisant l’Internet peut être vulnérable. L’usurpation d’adresse IP est un moyen de « truquer » l’apparence d’une adresse source (telle qu’une adresse e-mail) comme technique d’usurpation d’identité. Elle peut se présenter sous différentes formes, il faut donc être sur ses gardes.

Tout au long de cet article, nous parlerons de l’usurpation d’adresse IP, de ce qu’elle est, pourquoi vous êtes une cible, et plus encore. Nous parlerons également de certaines des attaques d’usurpation d’adresse IP les plus courantes auxquelles vous serez confronté, ainsi que de certaines utilisations légitimes de l’usurpation d’adresse IP.

Qu’est-ce que l’usurpation d’adresse IP ?

D’une manière générale, l’usurpation d’adresse IP prend une partie des données que vous envoyez sur Internet et les fait passer pour des données provenant d’une source légitime. L’usurpation d’adresse IP est un terme très large qui recouvre de nombreuses attaques différentes :

  • L’usurpation d’adresse IP : Il s’agit d’une simple opacification ou obfuscation de l’adresse IP de l’attaquant pour mener des attaques par déni de service (DoS), et plus encore.
  • Usurpation du serveur de nom de domaine (DNS): Il s’agit de modifier l’IP source du DNS pour rediriger un nom de domaine vers une autre IP.
  • Usurpation du protocole de résolution d’adresse (Adress Resolution Protocol ou ARP) : Une tentative d’usurpation ARP est l’une des attaques les plus complexes. Elle consiste à relier l’adresse MAC (media access control) d’un ordinateur à une IP légitime à l’aide de messages ARP usurpés.

Pour être plus technique, l’usurpation d’adresse IP prend les données et modifie certaines informations identifiables au niveau du réseau. Cela rend l’usurpation presque indétectable.

Par exemple, prenez une attaque DoS.

Il s’agit d’une collection de robots utilisant des adresses IP usurpées pour envoyer des données à un site et à un serveur particuliers, les mettant hors ligne. Dans ce cas, l’usurpation d’adresse IP rend l’attaque difficile à détecter jusqu’à ce qu’il soit trop tard, et il est tout aussi difficile de la retracer après coup.

Les attaques de type « Machine-in-the-middle » (MITM) utilisent également l’usurpation d’adresse IP, car l’approche MITM repose sur une fausse confiance entre deux points d’extrémité. Nous parlerons plus en détail de ces deux attaques plus tard.

Comment se produit l’usurpation d’adresse IP

Pour mieux comprendre l’usurpation d’IP, donnons un peu de contexte sur la façon dont Internet envoie et utilise les données.

Chaque ordinateur utilise une adresse IP, et toutes les données que vous envoyez sont divisées en plusieurs morceaux ou paquets. Chaque paquet voyage individuellement. Puis, une fois arrivés au bout de la chaîne, ils sont ré-assemblés et présentés comme un tout. De plus, chaque paquet possède également ses informations identifiables (un « en-tête ») qui comprendront l’adresse IP de la source et de la destination.

En théorie, cela est censé garantir que les données arrivent à une destination libre de toute falsification. Cependant, ce n’est pas toujours le cas.

L’usurpation d’adresse IP utilise l’en-tête de l’adresse IP source et modifie certains détails pour faire croire qu’elle est authentique. En tant que telle, elle peut violer même le plus rigoureux et le plus sécurisé des réseaux. Par conséquent, les ingénieurs web essaient souvent de trouver de nouvelles façons de protéger les informations qui circulent sur le web.

Par exemple, IPv6 est un protocole plus récent qui intègre le cryptage et l’authentification. Pour les utilisateurs finaux, le shell sécurisé (SSH) et les couches de sockets sécurisées (SSL) aident à atténuer les attaques, mais nous verrons plus tard pourquoi cela ne peut pas éradiquer le problème. Plus vous mettez en œuvre de mesures de cryptage, mieux vous pouvez protéger votre ordinateur, en théorie du moins.

Il convient également de noter que l’usurpation d’adresse IP n’ est pas une pratique illégale, c’est pourquoi elle est répandue. Il existe de nombreuses utilisations légitimes de l’usurpation d’adresse IP que nous aborderons dans une autre section. Ainsi, si l’usurpation d’adresse IP en elle-même permet à un pirate de mettre le pied dans la porte, ce n’est pas forcément la seule technique utilisée pour abuser de la confiance.

Pourquoi votre IP est-elle une cible pour l’usurpation d’identité ?

Toutes considérations morales et éthiques mises à part, l’identité d’utilisateur d’une autre personne a une valeur et une utilité immenses. Après tout, il existe de nombreux mauvais acteurs qui, s’ils en avaient l’occasion, utiliseraient volontiers l’identité de quelqu’un d’autre pour obtenir quelque chose, sans aucune répercussion morale.

L’usurpation d’adresses IP est une quête de grande valeur pour de nombreux utilisateurs malveillants. L’acte d’usurpation d’adresse IP n’a pas beaucoup de valeur, mais les opportunités que vous gagnerez pourraient être le jackpot.

Par exemple, grâce à l’usurpation d’adresse IP, un utilisateur peut se faire passer pour une adresse plus fiable afin d’obtenir des informations personnelles (et plus encore) d’un utilisateur peu méfiant.

Cela peut également avoir un effet d’entraînement sur les autres utilisateurs. Un pirate n’a pas besoin d’usurper l’adresse IP de chaque cible – il lui suffit d’une seule pour percer les défenses. En utilisant ces informations d’identification non méritées, le même pirate peut également gagner la confiance des autres membres du réseau et les amener à partager des informations personnelles.

En soi, l’IP n’a pas de valeur. Cependant, selon ce qui est fait avec l’IP usurpée, le gain peut être énorme, et le potentiel d’accès à d’autres systèmes par l’usurpation d’IP n’est pas négligeable non plus.

les 3 types d’attaques les plus courants de l’usurpation d’IP

L’usurpation d’adresse IP se prête bien à certains types d’attaques. Examinons-en trois à présent.

1. Masquage des botnets

Un botnet est un réseau d’ordinateurs qu’un attaquant contrôle depuis une source unique. Chacun de ces ordinateurs fait tourner un robot dédié, qui exécute les attaques au nom du mauvais acteur. Vous constaterez que la possibilité de masquer les botnets ne serait pas possible sans l’usurpation d’adresse IP.

Dans des circonstances normales, les pirates prennent le contrôle par le biais d’une infection, comme un logiciel malveillant. L’utilisation de botnets peut aider un utilisateur malveillant à exécuter des attaques de spam, des attaques DDoS, des fraudes publicitaires, des attaques d’hameçonnage, et bien plus encore. C’est un moyen polyvalent de mener des attaques ciblées contre d’autres utilisateurs.

Cela s’explique en partie par l’usurpation d’adresse IP. Chaque robot du réseau a souvent une IP usurpée, ce qui rend l’acteur malveillant difficile à tracer.

Le principal avantage de l’usurpation d’IP est ici d’échapper aux forces de l’ordre. Cependant, ce n’est pas le seul.

Par exemple, l’utilisation de botnets avec des IP usurpées empêche également la cible de notifier les propriétaires du problème. Pour commencer, cela peut prolonger l’attaque et permettre au pirate de « faire pivoter » l’attention sur d’autres marques. En théorie, cela pourrait aboutir à une attaque fonctionnant à l’infini pour maximiser le gain.

2. Attaques par déni de service direct (DDoS)

Si un site tombe en panne en raison d’un trafic malveillant excessif et écrasant sur le serveur, il s’agit d’une attaque DDoS. Elle peut être paralysante pour tout propriétaire de site, et il existe de nombreuses façons d’en atténuer les effets.

Cette section couvre plusieurs attaques d’usurpation d’identité et techniques connexes qui se combinent pour créer l’assaut complet.

Usurpation de DNS

Tout d’abord, un utilisateur malveillant se tournera vers l’usurpation de DNS pour infiltrer un réseau. Un acteur malveillant utilisera l’usurpation pour modifier le nom de domaine associé au DNS en une autre adresse IP.

À partir de là, il peut mener un certain nombre d’autres attaques, mais l’infection par des logiciels malveillants est un choix populaire. Parce qu’il détourne essentiellement le trafic de sources légitimes vers des sources malveillantes sans être détecté, il est facile d’infecter un autre ordinateur. À partir de là, d’autres machines succomberont à l’infection et créeront le botnet permettant de mener efficacement l’attaque DDoS.

Usurpation d’adresse IP

Après l’usurpation de DNS, un attaquant procédera à une autre usurpation d’adresse IP pour aider à opacifier les robots individuels au sein du réseau. Cela suit souvent un processus de randomisation perpétuelle. Ainsi, l’adresse IP ne reste jamais la même pendant trop longtemps, ce qui la rend pratiquement impossible à détecter et à tracer.

Cette attaque au niveau du réseau est impossible à détecter pour un utilisateur final (et laisse également de nombreux experts côté serveur perplexes). C’est un moyen efficace de mener des attaques malveillantes sans conséquence.

Empoisonnement ARP

L’usurpation ARP (ou « empoisonnement ») est un autre moyen de mener des attaques DDoS. Elle est beaucoup plus complexe que la méthode de force brute de masquage des botnets et l’usurpation d’IP, mais elle les incorpore toutes les deux pour mener une attaque.

L’idée est de cibler un réseau local (LAN) et d’envoyer des paquets de données ARP malveillants pour modifier les adresses IP définies dans une table MAC. C’est un moyen facile pour un attaquant d’accéder à un grand nombre d’ordinateurs en même temps.

L’objectif de l’empoisonnement ARP est de canaliser tout le trafic réseau à travers un ordinateur infecté, puis de le manipuler à partir de là. Cette opération est simple à réaliser à partir de l’ordinateur de l’attaquant, et lui permet de choisir entre une attaque DDoS ou une attaque MITM.

3. Attaques MITM

Les attaques de type « Machine-in-the-Middle » (MITM) sont particulièrement complexes, très efficaces et tout à fait catastrophiques pour un réseau.

Ces attaques permettent d’intercepter les données de votre ordinateur avant qu’elles n’arrivent au serveur auquel vous vous connectez (par exemple, avec votre navigateur web). Cela permet à l’attaquant d’interagir avec vous en utilisant de faux sites web pour voler vos informations. Dans certains cas, l’attaquant est un tiers qui intercepte la transmission entre deux sources légitimes, ce qui augmente l’efficacité de l’attaque.

Bien entendu, les attaques MITM reposent sur l’usurpation d’adresse IP, car il doit y avoir une rupture de confiance sans que l’utilisateur en soit conscient. De plus, la réalisation d’une attaque MITM a plus de valeur que les autres car un pirate peut continuer à collecter des données sur le long terme et les vendre à d’autres.

Des cas réels d’attaques MITM montrent comment l’usurpation d’adresse IP entre en jeu. Si vous usurpez une adresse IP et accédez à des comptes de communication personnels, cela vous permet de suivre n’importe quel aspect de cette communication. À partir de là, vous pouvez sélectionner des informations, diriger les utilisateurs vers de faux sites web, et bien plus encore.

Dans l’ensemble, une attaque MITM est un moyen dangereux et très lucratif d’obtenir des informations sur les utilisateurs, et l’usurpation d’adresse IP en est un élément central.

Pourquoi l’usurpation d’adresse IP est-elle dangereuse pour votre site et vos utilisateurs ?

Étant donné que l’usurpation d’adresse IP se produit à un niveau bas du réseau, elle représente un danger pour presque tous les utilisateurs d’Internet.

L’hameçonnage et l’usurpation d’identité vont de pair. Et une bonne attaque d’usurpation ne se présentera pas comme une tentative d’hameçonnage. Cela signifie que les utilisateurs n’auront aucune raison de se méfier et qu’ils risquent de transmettre des informations sensibles en conséquence.

Les éléments critiques pour l’entreprise seront une cible de choix, comme les systèmes de sécurité et les pare-feu. C’est pourquoi la sécurité des sites est une préoccupation majeure pour beaucoup. Non seulement vous devez mettre en œuvre suffisamment de fonctionnalités pour atténuer une attaque, mais vous devez également vous assurer que les utilisateurs de votre réseau sont vigilants et utilisent de bonnes pratiques de sécurité.

L'extension Wordfence est une solution de sécurité solide pour vous aider à vous protéger contre l'usurpation d'adresse IP.
L’extension Wordfence est une solution de sécurité solide pour vous aider à vous protéger contre l’usurpation d’adresse IP.

 

Cependant, un aspect de l’usurpation d’adresse IP rend sa répression moins simple : Cette technique a de nombreux cas d’utilisation légitimes sur le web.

Utilisations légitimes de l’usurpation d’adresse IP

Comme l’usurpation d’adresse IP a de nombreux cas d’utilisation non malveillante, vous ne pouvez pas faire grand-chose pour empêcher les autres de l’utiliser.

Par exemple, des milliers de « hackers éthiques » cherchent à tester des systèmes pour des entreprises. Ce type de piratage éthique est une violation sanctionnée du système, conçue pour tester les ressources et la force de la sécurité.

Il suivra le même processus que le piratage malveillant. L’utilisateur effectuera un travail de reconnaissance sur la cible, obtiendra et conservera l’accès au système, et obscurcira sa pénétration.

Vous constaterez souvent que les hackers non éthiques se convertissent en types éthiques et trouvent un emploi dans des entreprises qu’ils ont pu considérer comme une cible dans le passé. Vous pouvez même trouver des examens et des certifications officiels pour vous aider à obtenir les références appropriées.

Certaines entreprises utiliseront également l’usurpation d’adresse IP dans le cadre d’exercices de simulation sans rapport avec les violations de systèmes. Par exemple, les envois massifs d’e-mails sont un bon cas d’utilisation pour des milliers d’adresses IP, et elles devront toutes être créées par usurpation (légitime).

Les tests d’enregistrement des utilisateurs utilisent également l’usurpation d’adresse IP pour simuler les résultats. Toute situation où vous devez simuler de nombreux utilisateurs est un cas idéal pour l’usurpation d’IP éthique.

Pourquoi vous ne pouvez pas prévenir l’usurpation d’adresse IP

Étant donné que l’usurpation d’identité est si difficile à repérer et que la nature de la méthode consiste à cacher une véritable identité, il n’y a pas grand-chose que vous puissiez faire pour l’empêcher de se produire. Cependant, vous pouvez minimiser le risque et annuler l’impact.

Il est important de noter qu’un utilisateur final (c’est-à-dire la machine côté client) ne peut en aucun cas empêcher l’usurpation d’identité. C’est à l’équipe côté serveur d’empêcher l’usurpation d’adresse IP du mieux qu’elle peut.

Il existe plusieurs façons d’ajouter des barrages entre un pirate et une cible potentielle. En voici quelques-unes :

  • Utiliser un protocole plus sûr, tel que l’IPv6
  • S’assurer que la base d’utilisateurs met en œuvre une bonne sécurité individuelle lorsqu’elle utilise le site et le réseau
  • Mettre en œuvre SSL et SSH sur votre site

Cependant, vous pouvez faire plus. Par exemple, vous pouvez utiliser un pare-feu d’application Web (WAF) dédié tel que Sucuri, qui aidera à « construire de hauts murs » autour de votre site.

Le logo de Sucuri.
Le logo de Sucuri.

Vous pouvez également mettre en place une infrastructure publique critique (PKI) pour aider à authentifier les utilisateurs et les données associées. Celle-ci s’appuie sur une combinaison de clés privées et publiques pour crypter et décrypter les données. En raison de la nature du cryptage, il est beaucoup plus difficile pour les pirates de s’y introduire.

La surveillance du réseau est une technique de base qui peut également vous aider à repérer les signes d’usurpation d’adresse IP ou d’attaques similaires. Cela peut prendre de nombreuses formes, mais mieux vous connaissez votre système, plus vous avez de chances de repérer les attaques malveillantes.

Le filtrage des paquets peut également aider à combattre les tentatives d’usurpation d’adresse IP. le filtrage « ingress » et « egress » examine les en-têtes sources des communications entrantes et sortantes. Si un élément ne passe pas ce filtre, il n’affectera pas les utilisateurs du réseau.

Enfin, l’inspection approfondie des paquets (Deep Packet Inspection ou DPI) est une technique similaire tout aussi efficace. Cette méthode, ainsi que les autres méthodes présentées ici, peuvent même être combinées pour aider à consolider un réseau ou un serveur.

Résumé

Votre adresse IP est unique pour vous, comme elle l’est pour chaque ordinateur utilisé aujourd’hui. Cette adresse permet d’accomplir de nombreuses tâches, comme l’authentification, le cryptage, etc. Par extension, cela fait de presque toute adresse IP une cible pour les pirates ou les criminels en puissance.

L’usurpation d’adresse IP simule la légitimité d’une adresse et l’utilise pour pénétrer dans des réseaux sécurisés afin d’en tirer profit.

La correction de l’usurpation d’adresse IP échappe au contrôle de l’utilisateur final et peut être difficile à gérer pour les administrateurs système. Globalement, vous ne pouvez qu’atténuer l’impact de l’usurpation d’adresse IP sur votre réseau plutôt que de l’éradiquer totalement.

Malgré cela, il existe de nombreux obstacles que vous pouvez mettre sur le chemin d’un utilisateur potentiellement malveillant. Les méthodes de cryptage classiques sont utiles, tout comme un bon pare-feu et une stratégie de surveillance du réseau.

Vous avez été victime d’usurpation d’adresse IP et, si oui, comment avez-vous résolu la situation ? Partagez vos réflexions dans la section des commentaires ci-dessous !

Salman Ravoof

Salman Ravoof is a self-taught web developer, writer, creator, and a huge admirer of Free and Open Source Software (FOSS). Besides tech, he's excited by science, philosophy, photography, arts, cats, and food. Learn more about him on his website, and connect with Salman on Twitter.