Tout au long de cet article, nous parlerons de l’usurpation d’adresse IP, de ce qu’elle est, pourquoi vous \u00eates une cible, et plus encore. Nous parlerons \u00e9galement de certaines des attaques d’usurpation d’adresse IP les plus courantes auxquelles vous serez confront\u00e9, ainsi que de certaines utilisations l\u00e9gitimes de l’usurpation d’adresse IP.<\/p>\n
Qu’est-ce que l’usurpation d’adresse IP ?<\/h2>\n
D’une mani\u00e8re g\u00e9n\u00e9rale, l’usurpation d’adresse IP prend une partie des donn\u00e9es que vous envoyez sur Internet et les fait passer pour des donn\u00e9es provenant d’une source l\u00e9gitime. L’usurpation d’adresse IP est un terme tr\u00e8s large qui recouvre de nombreuses attaques diff\u00e9rentes :<\/p>\n
- \n
- L’usurpation d’adresse IP :<\/b> Il s’agit d’une simple opacification ou obfuscation de l’adresse IP de l’attaquant pour mener des attaques par d\u00e9ni de service (DoS<\/a>), et plus encore.<\/li>\n
- Usurpation du serveur de nom de domaine (DNS)<\/a>: Il s’agit de modifier l’IP source du DNS pour rediriger un nom de domaine vers une autre IP.<\/li>\n
- Usurpation du protocole de r\u00e9solution d’adresse (Adress Resolution Protocol ou ARP) :<\/b> Une tentative d’usurpation ARP est l’une des attaques les plus complexes. Elle consiste \u00e0 relier l’adresse MAC (media access control) d’un ordinateur \u00e0 une IP l\u00e9gitime \u00e0 l’aide de messages ARP usurp\u00e9s.<\/li>\n<\/ul>\n
Pour \u00eatre plus technique, l’usurpation d’adresse IP prend les donn\u00e9es et modifie certaines informations identifiables au niveau du r\u00e9seau. Cela rend l’usurpation presque ind\u00e9tectable.<\/p>\n
Par exemple, prenez une attaque DoS.<\/p>\n
Il s’agit d’une collection de robots utilisant des adresses IP usurp\u00e9es pour envoyer des donn\u00e9es \u00e0 un site et \u00e0 un serveur particuliers, les mettant hors ligne. Dans ce cas, l’usurpation d’adresse IP rend l’attaque difficile \u00e0 d\u00e9tecter jusqu’\u00e0 ce qu’il soit trop tard, et il est tout aussi difficile de la retracer apr\u00e8s coup.<\/p>\n
Les attaques de type \u00ab Machine-in-the-middle \u00bb (MITM) utilisent \u00e9galement l’usurpation d’adresse IP, car l’approche MITM repose sur une fausse confiance entre deux points d’extr\u00e9mit\u00e9. Nous parlerons plus en d\u00e9tail de ces deux attaques plus tard.<\/p>\n\n
Comment se produit l’usurpation d’adresse IP<\/h2>\n
Pour mieux comprendre l’usurpation d’IP, donnons un peu de contexte sur la fa\u00e7on dont Internet envoie et utilise les donn\u00e9es.<\/p>\n
Chaque ordinateur utilise une adresse IP<\/a>, et toutes les donn\u00e9es que vous envoyez sont divis\u00e9es en plusieurs morceaux ou paquets. Chaque paquet voyage individuellement. Puis, une fois arriv\u00e9s au bout de la cha\u00eene, ils sont r\u00e9-assembl\u00e9s et pr\u00e9sent\u00e9s comme un tout. De plus, chaque paquet poss\u00e8de \u00e9galement ses informations identifiables (un \u00ab en-t\u00eate \u00bb) qui comprendront l’adresse IP de la source et de la destination.<\/p>\n
En th\u00e9orie, cela est cens\u00e9 garantir que les donn\u00e9es arrivent \u00e0 une destination libre de toute falsification. Cependant, ce n’est pas toujours le cas.<\/p>\n
L’usurpation d’adresse IP utilise l’en-t\u00eate de l’adresse IP source et modifie certains d\u00e9tails pour faire croire qu’elle est authentique. En tant que telle, elle peut violer m\u00eame le plus rigoureux et le plus s\u00e9curis\u00e9 des r\u00e9seaux. Par cons\u00e9quent, les ing\u00e9nieurs web essaient souvent de trouver de nouvelles fa\u00e7ons de prot\u00e9ger les informations qui circulent sur le web.<\/p>\n
Par exemple, IPv6 est un protocole plus r\u00e9cent<\/a> qui int\u00e8gre le cryptage et l’authentification. Pour les utilisateurs finaux, le shell s\u00e9curis\u00e9 (SSH) et les couches de sockets s\u00e9curis\u00e9es (SSL)<\/a> aident \u00e0 att\u00e9nuer les attaques, mais nous verrons plus tard pourquoi cela ne peut pas \u00e9radiquer le probl\u00e8me. Plus vous mettez en \u0153uvre de mesures de cryptage, mieux vous pouvez prot\u00e9ger votre ordinateur, en th\u00e9orie du moins.<\/p>\n
Il convient \u00e9galement de noter que l’usurpation d’adresse IP n’<\/i> est pas<\/i> une pratique ill\u00e9gale, c’est pourquoi elle est r\u00e9pandue. Il existe de nombreuses utilisations l\u00e9gitimes de l’usurpation d’adresse IP que nous aborderons dans une autre section. Ainsi, si l’usurpation d’adresse IP en elle-m\u00eame permet \u00e0 un pirate de mettre le pied dans la porte, ce n’est pas forc\u00e9ment la seule technique utilis\u00e9e pour abuser de la confiance.<\/p>\n
Pourquoi votre IP est-elle une cible pour l’usurpation d’identit\u00e9 ?<\/h2>\n
Toutes consid\u00e9rations morales et \u00e9thiques mises \u00e0 part, l’identit\u00e9 d’utilisateur d’une autre personne a une valeur et une utilit\u00e9 immenses. Apr\u00e8s tout, il existe de nombreux mauvais acteurs qui, s’ils en avaient l’occasion, utiliseraient volontiers l’identit\u00e9 de quelqu’un d’autre pour obtenir quelque chose, sans aucune r\u00e9percussion morale.<\/p>\n
L’usurpation d’adresses IP est une qu\u00eate de grande valeur pour de nombreux utilisateurs malveillants. L’acte d’usurpation d’adresse IP n’a pas beaucoup de valeur, mais les opportunit\u00e9s que vous gagnerez pourraient \u00eatre le jackpot.<\/p>\n
Par exemple, gr\u00e2ce \u00e0 l’usurpation d’adresse IP, un utilisateur peut se faire passer pour une adresse plus fiable afin d’obtenir des informations personnelles (et plus encore) d’un utilisateur peu m\u00e9fiant.<\/p>\n
Cela peut \u00e9galement avoir un effet d’entra\u00eenement sur les autres<\/i> utilisateurs. Un pirate n’a pas besoin d’usurper l’adresse IP de chaque cible – il lui suffit d’une seule pour percer les d\u00e9fenses. En utilisant ces informations d’identification non m\u00e9rit\u00e9es, le m\u00eame pirate peut \u00e9galement gagner la confiance des autres membres du r\u00e9seau et les amener \u00e0 partager des informations personnelles.<\/p>\n
En soi, l’IP n’a pas de valeur. Cependant, selon ce qui est fait avec l’IP usurp\u00e9e, le gain peut \u00eatre \u00e9norme, et le potentiel d’acc\u00e8s \u00e0 d’autres syst\u00e8mes par l’usurpation d’IP n’est pas n\u00e9gligeable non plus.<\/p>\n
les 3 types d’attaques les plus courants de l’usurpation d’IP<\/h2>\n
L’usurpation d’adresse IP se pr\u00eate bien \u00e0 certains types d’attaques. Examinons-en trois \u00e0 pr\u00e9sent.<\/p>\n
1. Masquage des botnets<\/h3>\n
Un botnet est un r\u00e9seau d’ordinateurs qu’un attaquant contr\u00f4le depuis une source unique. Chacun de ces ordinateurs fait tourner un robot d\u00e9di\u00e9, qui ex\u00e9cute les attaques au nom du mauvais acteur. Vous constaterez que la possibilit\u00e9 de masquer les botnets ne serait pas possible sans l’usurpation d’adresse IP.<\/p>\n
Dans des circonstances normales, les pirates prennent le contr\u00f4le par le biais d’une infection, comme un logiciel malveillant<\/a>. L’utilisation de botnets peut aider un utilisateur malveillant \u00e0 ex\u00e9cuter des attaques de spam, des attaques DDoS, des fraudes publicitaires, des attaques d’hame\u00e7onnage, et bien plus encore. C’est un moyen polyvalent de mener des attaques cibl\u00e9es contre d’autres utilisateurs.<\/p>\n
Cela s’explique en partie par l’usurpation d’adresse IP. Chaque robot du r\u00e9seau a souvent une IP usurp\u00e9e, ce qui rend l’acteur malveillant difficile \u00e0 tracer.<\/p>\n
Le principal avantage de l’usurpation d’IP est ici d’\u00e9chapper aux forces de l’ordre. Cependant, ce n’est pas le seul.<\/p>\n
Par exemple, l’utilisation de botnets avec des IP usurp\u00e9es emp\u00eache \u00e9galement la cible de notifier les propri\u00e9taires du probl\u00e8me. Pour commencer, cela peut prolonger l’attaque et permettre au pirate de \u00ab faire pivoter \u00bb l’attention sur d’autres marques. En th\u00e9orie, cela pourrait aboutir \u00e0 une attaque fonctionnant \u00e0 l’infini pour maximiser le gain.<\/p>\n
2. Attaques par d\u00e9ni de service direct (DDoS)<\/h3>\n
Si un site tombe en panne en raison d’un trafic malveillant excessif et \u00e9crasant sur le serveur, il s’agit d’une attaque DDoS. Elle peut \u00eatre paralysante pour tout propri\u00e9taire de site, et il existe de nombreuses fa\u00e7ons d’en att\u00e9nuer les effets<\/a>.<\/p>\n
Cette section couvre plusieurs attaques d’usurpation d’identit\u00e9 et techniques connexes qui se combinent pour cr\u00e9er l’assaut complet.<\/p>\n
Usurpation de DNS<\/h4>\n
Tout d’abord, un utilisateur malveillant se tournera vers l’usurpation de DNS pour infiltrer un r\u00e9seau. Un acteur malveillant utilisera l’usurpation pour modifier le nom de domaine associ\u00e9 au DNS<\/a> en une autre adresse IP.<\/p>\n
\u00c0 partir de l\u00e0, il peut mener un certain nombre d’autres attaques, mais l’infection par des logiciels malveillants est un choix populaire. Parce qu’il d\u00e9tourne essentiellement le trafic de sources l\u00e9gitimes vers des sources malveillantes sans \u00eatre d\u00e9tect\u00e9, il est facile d’infecter un autre ordinateur. \u00c0 partir de l\u00e0, d’autres machines succomberont \u00e0 l’infection et cr\u00e9eront le botnet permettant de mener efficacement l’attaque DDoS.<\/p>\n
Usurpation d’adresse IP<\/h4>\n
Apr\u00e8s l’usurpation de DNS, un attaquant proc\u00e9dera \u00e0 une autre usurpation d’adresse IP pour aider \u00e0 opacifier les robots individuels au sein du r\u00e9seau. Cela suit souvent un processus de randomisation perp\u00e9tuelle. Ainsi, l’adresse IP ne reste jamais la m\u00eame pendant trop longtemps, ce qui la rend pratiquement impossible \u00e0 d\u00e9tecter et \u00e0 tracer.<\/p>\n
Cette attaque au niveau du r\u00e9seau est impossible \u00e0 d\u00e9tecter pour un utilisateur final (et laisse \u00e9galement de nombreux experts c\u00f4t\u00e9 serveur perplexes). C’est un moyen efficace de mener des attaques malveillantes sans cons\u00e9quence.<\/p>\n
Empoisonnement ARP<\/h4>\n
L’usurpation ARP (ou \u00ab empoisonnement \u00bb) est un autre moyen de mener des attaques DDoS. Elle est beaucoup plus complexe que la m\u00e9thode de force brute de masquage des botnets et l’usurpation d’IP, mais elle les incorpore toutes les deux pour mener une attaque.<\/p>\n
L’id\u00e9e est de cibler un r\u00e9seau local (LAN) et d’envoyer des paquets de donn\u00e9es ARP malveillants pour modifier les adresses IP d\u00e9finies dans une table MAC. C’est un moyen facile pour un attaquant d’acc\u00e9der \u00e0 un grand nombre d’ordinateurs en m\u00eame temps.<\/p>\n
L’objectif de l’empoisonnement ARP est de canaliser tout le trafic r\u00e9seau \u00e0 travers un ordinateur infect\u00e9, puis de le manipuler \u00e0 partir de l\u00e0. Cette op\u00e9ration est simple \u00e0 r\u00e9aliser \u00e0 partir de l’ordinateur de l’attaquant, et lui permet de choisir entre une attaque DDoS ou une attaque MITM.<\/p>\n
3. Attaques MITM<\/h3>\n
Les attaques de type \u00ab Machine-in-the-Middle \u00bb (MITM) sont particuli\u00e8rement complexes, tr\u00e8s efficaces et tout \u00e0 fait catastrophiques pour un r\u00e9seau.<\/p>\n
Ces attaques permettent d’intercepter les donn\u00e9es de votre ordinateur avant qu’elles n’arrivent au serveur auquel vous vous connectez (par exemple, avec votre navigateur web<\/a>). Cela permet \u00e0 l’attaquant d’interagir avec vous en utilisant de faux sites web pour voler vos informations. Dans certains cas, l’attaquant est un tiers qui intercepte la transmission entre deux sources l\u00e9gitimes, ce qui augmente l’efficacit\u00e9 de l’attaque.<\/p>\n
Bien entendu, les attaques MITM reposent sur l’usurpation d’adresse IP, car il doit y avoir une rupture de confiance sans que l’utilisateur en soit conscient. De plus, la r\u00e9alisation d’une attaque MITM a plus de valeur que les autres car un pirate peut continuer \u00e0 collecter des donn\u00e9es sur le long terme et les vendre \u00e0 d’autres.<\/p>\n
Des cas r\u00e9els d’attaques MITM<\/a> montrent comment l’usurpation d’adresse IP entre en jeu. Si vous usurpez une adresse IP et acc\u00e9dez \u00e0 des comptes de communication personnels, cela vous permet de suivre n’importe quel aspect de cette communication. \u00c0 partir de l\u00e0, vous pouvez s\u00e9lectionner des informations, diriger les utilisateurs vers de faux sites web, et bien plus encore.<\/p>\n
Dans l’ensemble, une attaque MITM est un moyen dangereux et tr\u00e8s lucratif d’obtenir des informations sur les utilisateurs, et l’usurpation d’adresse IP en est un \u00e9l\u00e9ment central.<\/p>\n
Pourquoi l’usurpation d’adresse IP est-elle dangereuse pour votre site et vos utilisateurs ?<\/h2>\n
\u00c9tant donn\u00e9 que l’usurpation d’adresse IP se produit \u00e0 un niveau bas du r\u00e9seau, elle repr\u00e9sente un danger pour presque tous les utilisateurs d’Internet.<\/p>\n
L’hame\u00e7onnage et l’usurpation d’identit\u00e9<\/a> vont de pair. Et une bonne attaque d’usurpation ne se pr\u00e9sentera pas comme une tentative d’hame\u00e7onnage. Cela signifie que les utilisateurs n’auront aucune raison de se m\u00e9fier et qu’ils risquent de transmettre des informations sensibles en cons\u00e9quence.<\/p>\n
Les \u00e9l\u00e9ments critiques pour l’entreprise seront une cible de choix, comme les syst\u00e8mes de s\u00e9curit\u00e9 et les pare-feu<\/a>. C’est pourquoi la s\u00e9curit\u00e9 des sites<\/a> est une pr\u00e9occupation majeure pour beaucoup. Non seulement vous devez mettre en \u0153uvre suffisamment de fonctionnalit\u00e9s pour att\u00e9nuer une attaque, mais vous devez \u00e9galement vous assurer que les utilisateurs de votre r\u00e9seau sont vigilants et utilisent de bonnes pratiques de s\u00e9curit\u00e9<\/a>.<\/p>\n
![\"L'extension](\"https:\/\/kinsta.com\/wp-content\/uploads\/2021\/11\/wordfence.png\")
L’extension Wordfence est une solution de s\u00e9curit\u00e9 solide pour vous aider \u00e0 vous prot\u00e9ger contre l’usurpation d’adresse IP.<\/figcaption><\/figure>\n \u00a0<\/p>\n
Cependant, un aspect de l’usurpation d’adresse IP rend sa r\u00e9pression moins simple : Cette technique a de nombreux cas d’utilisation l\u00e9gitimes sur le web.<\/p>\n
Utilisations l\u00e9gitimes de l’usurpation d’adresse IP<\/h2>\n
Comme l’usurpation d’adresse IP a de nombreux cas d’utilisation non malveillante, vous ne pouvez pas faire grand-chose pour emp\u00eacher les autres de l’utiliser.<\/p>\n
Par exemple, des milliers de \u00ab hackers \u00e9thiques \u00bb cherchent \u00e0 tester des syst\u00e8mes pour des entreprises. Ce type de piratage \u00e9thique est une violation sanctionn\u00e9e du syst\u00e8me, con\u00e7ue pour tester les ressources et la force de la s\u00e9curit\u00e9.<\/p>\n
Il suivra le m\u00eame processus que le piratage malveillant. L’utilisateur effectuera un travail de reconnaissance sur la cible, obtiendra et conservera l’acc\u00e8s au syst\u00e8me, et obscurcira sa p\u00e9n\u00e9tration.<\/p>\n
Vous constaterez souvent que les hackers non \u00e9thiques se convertissent en types \u00e9thiques et trouvent un emploi dans des entreprises qu’ils ont pu consid\u00e9rer comme une cible dans le pass\u00e9. Vous pouvez m\u00eame trouver des examens et des certifications officiels<\/a> pour vous aider \u00e0 obtenir les r\u00e9f\u00e9rences appropri\u00e9es.<\/p>\n
Certaines entreprises utiliseront \u00e9galement l’usurpation d’adresse IP dans le cadre d’exercices de simulation sans rapport avec les violations de syst\u00e8mes. Par exemple, les envois massifs d’e-mails sont un bon cas d’utilisation pour des milliers d’adresses IP, et elles devront toutes \u00eatre cr\u00e9\u00e9es par usurpation (l\u00e9gitime).<\/p>\n
Les tests d’enregistrement des utilisateurs utilisent \u00e9galement l’usurpation d’adresse IP pour simuler les r\u00e9sultats. Toute situation o\u00f9 vous devez simuler de nombreux utilisateurs est un cas id\u00e9al pour l’usurpation d’IP \u00e9thique.<\/p>\n
Pourquoi vous ne pouvez pas pr\u00e9venir l’usurpation d’adresse IP<\/h2>\n
\u00c9tant donn\u00e9 que l’usurpation d’identit\u00e9 est si difficile \u00e0 rep\u00e9rer et que la nature de la m\u00e9thode consiste \u00e0 cacher une v\u00e9ritable identit\u00e9, il n’y a pas grand-chose que vous puissiez faire pour l’emp\u00eacher de se produire. Cependant, vous pouvez minimiser le risque et annuler l’impact.<\/p>\n
Il est important de noter qu’un utilisateur final (c’est-\u00e0-dire la machine c\u00f4t\u00e9 client) ne peut en aucun cas emp\u00eacher l’usurpation d’identit\u00e9. C’est \u00e0 l’\u00e9quipe c\u00f4t\u00e9 serveur d’emp\u00eacher l’usurpation d’adresse IP du mieux qu’elle peut.<\/p>\n
Il existe plusieurs fa\u00e7ons d’ajouter des barrages entre un pirate et une cible potentielle. En voici quelques-unes :<\/p>\n
- \n
- Utiliser un protocole plus s\u00fbr, tel que l’IPv6<\/li>\n
- S’assurer que la base d’utilisateurs met en \u0153uvre une bonne s\u00e9curit\u00e9 individuelle<\/a> lorsqu’elle utilise le site et le r\u00e9seau<\/li>\n
- Mettre en \u0153uvre SSL et SSH<\/a> sur votre site<\/li>\n<\/ul>\n
Cependant, vous pouvez faire plus. Par exemple, vous pouvez utiliser un pare-feu d’application Web (WAF) d\u00e9di\u00e9 tel que Sucuri<\/a>, qui aidera \u00e0 \u00ab construire de hauts murs \u00bb autour de votre site.<\/p>\n
![\"Le](\"https:\/\/kinsta.com\/wp-content\/uploads\/2021\/11\/sucuri.png\")
Le logo de Sucuri.<\/figcaption><\/figure>\n Vous pouvez \u00e9galement mettre en place une infrastructure publique critique (PKI) pour aider \u00e0 authentifier les utilisateurs et les donn\u00e9es associ\u00e9es. Celle-ci s’appuie sur une combinaison de cl\u00e9s priv\u00e9es et publiques pour crypter et d\u00e9crypter les donn\u00e9es. En raison de la nature du cryptage, il est beaucoup plus difficile pour les pirates de s’y introduire.<\/p>\n
- Mettre en \u0153uvre SSL et SSH<\/a> sur votre site<\/li>\n<\/ul>\n
- Usurpation du serveur de nom de domaine (DNS)<\/a>: Il s’agit de modifier l’IP source du DNS pour rediriger un nom de domaine vers une autre IP.<\/li>\n