Cette attaque se base sur l’ARP poisoning.
Il y a plusieurs types d'attaques pour devenir "man in the middle", nous allons voir dans cet article des attaques basées sur le protocole ARP. Le protocole ARP est un protocole de niveau 3 utilisé pour traduire des adresses IP en adresses physiques de carte réseau ou adresse MAC. Quand un équipement essaie d'accéder à une ressource réseau, il va d'abord envoyer des requêtes vers les autres équipements pour connaître l'adresse MAC associée avec l'adresse IP qu'il veut atteindre. Cette équipement va garder l'association IP - MAC adresse dans son cache, le cache ARP, pour accélérer de nouvelles connections vers cette même adresse IP. L'attaque survient quand une machine demande aux autres de trouver l'adresse MAC associée à une adresse IP. Le pirate va répondre au demandeur avec des paquets indiquant que l'adresse IP est associée à sa propre MAC adresse. Par ce biais, il va court-circuiter la vraie réponse d'association IP - MAC venant d'autre hôte. Cette attaque est référencée en tant qu'usurpation ARP (ARP poisoning ou ARP spoofing). Elle n'est possible que si le pirate et les victimes sont à l'intérieur du même domaine de broadcast qui est défini au niveau d'un hôte par une adresse IP et un masque de sous-réseau, par exemple: 192.168.1.1 255.255.255.0
Dans le cas présent une machine (le pirate) usurpe l’adresse MAC d’une autre machine (la cible). Pour réaliser cette attaque nous allons utiliser la distribution « Bactrack 3 ».
Prenons le cas d’une attaque en entreprise. Le pirate (l’employé malveillant) lance sa machine Backtrack et la connecte à son réseau d’entreprise. Il ne lui reste alors plus qu’a s’immiscer entre le routeur et la machine « cible » en utilisant Ettercap.
Lorsque cette opération est terminée le trafic de la machine « cible » transite par la machine « pirate ».Intéressons nous au trafic HTTPS. Dans ce cas le trafic transite également par la machine « pirate ».
Si la cible se connecte sur son site mail de Google en HTTPS, elle est prévenue par un message d’erreur que le certificat n’est pas entièrement fiable. Mais pour la plupart des utilisateurs non avertis, ce message d’erreur n’est pas pris en compte et pour la plupart des utilisateurs avertis mais pressés, le message n’est pas traité avec l’importance qui devrait lui être accordé.
La machine « pirate » peut donc ainsi obtenir le nom d’utilisateur et le mot de passe du mail Google de la « cible ».
Les applications ne se limitent pas aux comptes mail malheureusement.
Vous pouvez voir la video de cette attaque ICI.
Aucun commentaire:
Enregistrer un commentaire