IP spoofing : comment les cybercriminels manipulent les données ?

Que vous soyez une simple personne privée naviguant sur le Net ou bien responsable d’un réseau local, la protection contre les accès non autorisés et les attaques du système joue un rôle important. Depuis des décennies et avec différentes techniques, les hackers accèdent à d’autres systèmes informatiques et parviennent à causer des dégâts légers et parfois importants. De nombreux cybercriminels savent, en utilisant des moyens ordinaires, comment brouiller les pistes de manière à rendre impossible la détermination de l’origine d’une attaque. L’usurpation a justement toujours été une technique populaire auprès des hackers : c’est l’IP spoofing (« le spoofing » est un terme anglais pour désigner l’usurpation d’identité électronique) qui trouve son origine dans les cercles d’experts au cours des années 1980.

L’IP spoofing est une méthode de hacking ou les paquets de données TCP/IP ou UDP/IP sont envoyés avec une adresse expéditeur usurpée. Ainsi l’attaquant accède et utilise une adresse d’un système autorisé et de confiance. De cette façon, il peut injecter ses propres paquets de données dans un autre système, qui autrement serait bloqué par un système de filtrage. Dans la plupart des cas, l’usurpation d’adresse IP est utilisée pour effectuer des attaques DoS et DDoS. Dans certaines circonstances, l’attaquant avec une adresse IP volée ou manipulée peut même intercepter le trafic entre deux ou plusieurs systèmes informatiques. Des attaques de « l’homme du milieu » qui utilisent la technique de l‘IP spoofing nécessitent cependant (sauf pour quelques cas exceptionnels) que l’attaquant soit sur le même sous-réseau que la victime.

La possibilité de falsifier une adresse IP résulte du fait que les adresses source et destination, qui se trouvent dans chaque paquet IP au niveau de l’en-tête ne sont pas suffisamment protégées contre les manipulations. Il n’y a aucun mécanisme pour chiffrer ces informations et l’exactitude de ces dernières. Avec une attaque d’IP spoofing simple, l’attaquant ne peut accéder au trafic de données. L’attaque ne modifie en fait que l’entrée de l’adresse dans le paquet correspondant, tandis que l’adresse IP véritable reste inchangée. Ainsi, la réponse aux données envoyées ne vient pas à l’attaquant, mais arrive plutôt à l’ordinateur dont il a spécifié l’adresse. 

Le fait qu’un tiers, qu’un participant non autorisé soit derrière le paquet d’IP et reste caché du système répondant rend l’exploitation de l’usurpation d’adresse IP utile pour les attaques DoS et DDoS. Les deux scénarii suivants sont donc particulièrement possible :

1. Sur la base de l’adresse source volée, l’attaquant envoie des paquets de données en grand nombre à différents systèmes au sein du réseau respectif. Ces systèmes répondent en envoyant un autre paquet de données qui est par la suite reçu par l’ordinateur non impliqué, dont l’adresse IP a été manipulée.


2. Un ordinateur cible reçoit des paquets de données de diverses adresses IP falsifiées en même temps et va en conséquence être surchargé.

L’ordinateur, dont l’adresse IP est usurpée par l’attaquant, peut être soit la cible d’attaques DDoS ou simplement servir comme un outil. Dans les deux cas, l’agresseur reste indétectable parce que les paquets envoyés semblent provenir officiellement des ordinateurs dont les adresses ont été manipulées.

En théorie, un attaquant peut délibérément initier une surcharge, et cela en principe de n’importe où, dans la mesure où l’ordinateur cible est connecté à Internet. En revanche, l’accès direct au trafic des données est maintenant beaucoup plus difficile si l’ordinateur de l’intrus n’est pas sur le même sous-réseau. Cela est dû au fait que l’interception d’un paquet de données ne peut être réalisé que par le biais du numéro de séquence du paquet correspondant. Ce qui est aujourd’hui presque impossible de l’extérieur, par rapport aux premiers jours du hacking des données.

Dans le passé, les systèmes d’exploitation et les périphériques du réseau généraient des numéros de transaction dans l’en-tête TCP, en utilisant toujours le même modèle. Les attaquants pouvaient ainsi facilement envoyer plusieurs paquets au système ciblé et grâce aux reçus, prédire le prochain numéro de séquence. Le paquet se trouvant derrière le nombre, pouvait donc être lu ou manipulé, puis transmis avec l’adresse IP falsifiée de l’expéditeur sans être enregistré par les deux systèmes communicants. Comme de nombreux systèmes s’appuient sur des procédures d’ouverture de session basées sur l’hôte, les données d’identification transférées comme les noms d’utilisateur et les mots de passe ne sont pas chiffrés et les attaquants peuvent donc avec un peu de chance établir une connexion. Désormais, les systèmes actuels émettent aléatoirement les numéros de séquence, ces attaques dites TCP Sequence Prediction (ou Blind spoofing) sont ainsi essentiellement devenues inefficaces, mais les appareils anciens sont encore à risque. 

Si l’usurpateur d’adresse IP se déplace sur le même sous réseau, par exemple dans un réseau local comme le système attaqué, il est beaucoup plus facile d’atteindre le numéro de séquence ou les paquets ID en arrière-plan. Au lieu de chercher laborieusement, il peut filtrer et analyser tout le trafic de données et sélectionner les paquets de données souhaités. C’est ce que l’on nomme le « Non-Blind Spoofing ».

Depuis des décennies, l’usurpation d’adresse IP est un problème central pour les experts en sécurité et les professionnels de l’industrie informatique. Et en particulier, le fait que des attaques DoS et DDoS peuvent être effectuées si facilement : rendant la manipulation des adresses IP, encore aujourd’hui, intéressante pour les cybercriminels. Par conséquent, il existe depuis longtemps la demande d’un filtrage ciblé du trafic sortant par les fournisseurs de services Internet ou les paquets avec les adresses sources en dehors du réseau sous-jacent sont enregistrés et rejetés. Toutefois, les efforts et le coût sont les raisons principales qui font que cette demande reste lettre morte. 

Une autre cause de la réticence des fournisseurs réside dans les caractéristiques de sécurité de la version révisée du protocole Internet IPv6. Par ailleurs, le successeur officiel de l’IPv4, comporte plusieurs options facultatives d’authentification et de chiffrement pour l’en-tête des paquets de données qui à l’avenir pourraient complètement empêcher l’usurpation d’IP. Cependant, la transition vers ce nouveau protocole d’adressage s’avère jusqu’à maintenant assez difficile, par exemple par le manque de prise en charge d’IPv6 dans différents périphériques réseau communs.

Ainsi, pour empêcher un hacker d’usurper et de détourner votre adresse IP, vous avez seulement la possibilité de prendre vous-même des initiatives en mettant notamment en place vos propres mécanismes de protection. Par exemple, il est facilement possible d’initier les mesures suivantes :

• La mise en place d’un filtrage complet des paquets pour votre routeur ou votre passerelle de sécurité. Cela devrait analyser et rejeter les paquets de données entrants s’ils accusent des adresses source d’appareils de votre réseau. D’autre part, vous devez également appliquer le filtrage pour les paquets sortants avec des adresses d‘expéditeur qui sont en dehors de votre propre réseau. Même si les experts en sécurité ont tendance à considérer cela comme le devoir du fournisseur d’accès à Internet.

• Ne pas utiliser les méthodes d’authentification basées sur l’hôte. Assurez-vous que toutes les méthodes d’authentification ont bien lieu via des connexions chiffrées. En effet cela minimise le risque d’une attaque d’IP spoofing au sein de votre réseau, ainsi que l‘établissement de normes importantes pour la sécurité générale.

Il est bien évidemment conseillé de remplacer des systèmes d’exploitation et des équipements réseau anciens si à tout hasard vous en utilisez encore. De cette manière vous augmenter non seulement votre protection contre les attaques d’IP spoofing mais aussi vous comblez des lacunes générales de sécurité.