Qu'est-ce que l'IP Spoofing, comment s'en protéger ?

Le spoofing est un type courant de cyberattaque dans lequel les pirates se font passer pour un autre appareil, un autre client ou un autre utilisateur, généralement pour masquer la source de l'attaque. Ce déguisement permet aux pirates d'accéder aux systèmes, dans le but de commettre des actes malveillants tels que l'interception de données ou le lancement d'une attaque DDoS visant à perturber le trafic normal.

Il existe trois types d'attaques par usurpation d'identité :

• DNS Server Spoofing : Modification d'un serveur DNS pour faire pointer un nom de domaine vers une adresse IP différente, généralement dans le but de propager un virus.

• ARP Spoofing (usurpation d'adresse) : Permet à des pirates d'accéder à une adresse IP par le biais d'un message ARP (protocole de résolution d'adresses) usurpé, généralement pour permettre un déni de service (DoS) et des attaques de type "man-in-the-middle".
• IP Spoofing (usurpation d'adresse IP) : Déguiser une adresse IP pour obtenir un accès en tant que système de confiance, généralement pour permettre une attaque DDoS ou rediriger des communications.

La plus courante de ces attaques est l'usurpation d'adresse IP. Ce type d'usurpation offre aux pirates une protection qui leur permet de passer inaperçus en leur donnant l'impression de provenir d'une autre adresse IP.

Pour comprendre comment fonctionne l'usurpation d'adresse IP, il est d'abord essentiel de comprendre le rôle que jouent les adresses IP dans les communications internet.

Les données sont partagées sur l'internet par le biais de paquets, chacun contenant des informations sur la provenance des données. L'un des principaux identifiants requis pour ce paquet est l'adresse IP, qui comprend l'adresse IP source et l'adresse IP de destination. Tout comme les adresses physiques, les adresses IP sont utilisées comme identifiants et aident les systèmes à déterminer si les informations proviennent ou non d'une source fiable. Au-delà du partage des données, les adresses IP sont également utilisées pour identifier les sources de trafic vers un système ou un serveur.

L'usurpation d'adresse IP se produit lorsqu'un pirate informatique modifie son paquet pour changer son adresse IP source. Lorsqu'il est effectué correctement, ce changement peut facilement passer inaperçu car il se produit avant que le pirate n'interagisse avec un système ou un réseau contrôlé. Il s'agit d'une forme de déguisement puisque l'usurpation d'adresse IP permet aux pirates de se faire passer pour quelqu'un d'autre.

Une fois qu'un pirate a réussi à usurper une adresse IP, il peut accéder à des systèmes contrôlés et intercepter des communications destinées à quelqu'un d'autre (c'est-à-dire la personne ou l'appareil dont il a usurpé l'adresse IP).

L'usurpation d'adresse IP est un type d'attaque dangereux parce qu'il est difficile à détecter. En effet, l'usurpation d'adresse IP se produit avant qu' un pirate n 'essaie d'accéder à un système ou de communiquer avec une victime qui ne le sait pas.

Considérez les implications suivantes que cette détection difficile peut avoir :

• Convaincre facilement les gens de partager des informations sensibles avec une partie illégitime. Alors que nous avons tous été formés à repérer les signes d'une attaque par hameçonnage, une bonne attaque par usurpation d'adresse IP ne présente aucun de ces signes. Elle se contente de rediriger les communications destinées à une partie légitime vers un pirate qui a usurpé l'adresse IP de cette personne ou de cet appareil.
• Permettre aux pirates de rester cachés pendant de longues périodes. En règle générale, une attaque contre un système sécurisé déclenche toutes sortes d'alertes et, même si des dommages ont déjà été causés, les équipes de sécurité peuvent au moins commencer à les endiguer. L'usurpation d'adresse IP permet aux pirates d'accéder aux systèmes sans que personne ne s'en aperçoive, puisqu'ils se présentent sous l'apparence d'une source fiable. Par conséquent, ils peuvent faire encore plus de dégâts longtemps avant qu'une quelconque mesure corrective ne soit mise en place.
• Contournement des pare-feu et autres bloqueurs pour arrêter les systèmes. À plus grande échelle, l'usurpation d'adresse IP permet à plusieurs pirates de contourner plus facilement les pare-feu et autres dispositifs de blocage de la sécurité dans le but d'inonder les systèmes et de provoquer des pannes ou d'interrompre complètement les services. Cette approche peut faire d'énormes ravages et, à grande échelle, elle est beaucoup plus difficile à contrôler.

L'usurpation d'adresse IP permet généralement trois types d'attaques différentes :

Qu'est-ce que c'est ? Une attaque DDoS vise à ralentir ou à bloquer un serveur en le submergeant de trafic. Contrairement à de nombreuses autres cyberattaques, les pirates n'ont pas besoin d'accéder à des systèmes sécurisés pour réussir. Au lieu de cela, ils lancent une attaque coordonnée sur un serveur afin de le rendre inopérant pour les utilisateurs légitimes. Souvent, cette approche vise à détourner l'attention d'autres types d'attaques.

Comment l'usurpation d'adresse IP le permet : L'usurpation d'adresse IP permet aux pirates de coordonner une attaque DDoS en masquant leur identité aux responsables de la sécurité et aux forces de l'ordre. Plus précisément, ils peuvent inonder n'importe quel serveur pour le faire tomber tout en se déguisant en utilisateurs innocents, ce qui rend difficile pour quiconque de déterminer la source de l'attaque ou même de distinguer ceux qui y participent des utilisateurs légitimes. Et plus il est difficile d'identifier la source, plus il est difficile d'identifier toute autre activité malveillante pour laquelle l'attaque DDoS pourrait servir de diversion.

Exemple concret : GitHub a été victime de ce type d'attaque DDoS en 2018, un effort coordonné qui a mis son service hors service pendant près de 20 minutes. L'attaque était si importante qu'elle a peu de parallèles ; cependant, GitHub a réussi à la maîtriser en réacheminant le trafic via un partenaire intermédiaire et en épurant les données pour bloquer les parties malveillantes.

Qu'est-ce que c'est ? Les réseaux de zombies sont des groupes d'appareils infectés par des logiciels malveillants et contrôlés par des pirates informatiques, généralement sans que les propriétaires de ces appareils en aient la moindre idée. Les pirates peuvent contrôler ces réseaux de zombies en tant que groupe, ce qui leur vaut le surnom d'"armée de zombies". Les botnets sont généralement utilisés pour le spam ou les attaques DDoS et peuvent même menacer les entreprises d'une attaque imminente qui peut être retardée par le paiement d'une rançon. Les pirates peuvent également utiliser les botnets pour suivre et voler des informations aux personnes dont ils ont infecté les appareils.

Comment l'usurpation d'adresse IP le permet : L'usurpation d'adresse IP permet aux attaques de réseaux de zombies de se dérouler du début à la fin, et ce pour plusieurs raisons. Tout d'abord, l'usurpation d'adresse IP étant difficile à détecter, les propriétaires d'appareils ne seront probablement pas au courant des activités malveillantes en cours. Ensuite, l'usurpation d'adresse IP permet aux pirates de franchir rapidement les mesures de sécurité des services et de collecter des informations sans que personne ne s'en aperçoive. Enfin, l'usurpation d'adresse IP permet aux pirates de ne pas être découverts une fois l'attaque terminée.

Exemple concret : GameOver Zeus est une attaque de botnet tristement célèbre qui a eu lieu en 2011 et qui a entraîné des pertes de plus de 100 millions de dollars. Lors de cette attaque, les pirates ont pris le contrôle des appareils des utilisateurs pour s'emparer de leurs identifiants bancaires. Ils ont ensuite utilisé ces informations pour initier ou rediriger des virements bancaires, qui semblaient tous légitimes grâce à l'utilisation de l'usurpation d'adresse IP.

De quoi s'agit-il ? Une attaque de l'homme du milieu se produit lorsqu'un tiers intercepte des communications fiables entre deux autres personnes ou appareils. Dans le monde des communications numériques, les mesures de sécurité telles que les certificats et les adresses IP sont destinées à authentifier l'identité d'une personne ou d'un appareil. Dans le cas d'une attaque de type "man in the middle", une personne se fait passer pour une autre afin d'intercepter des communications destinées à quelqu'un d'autre. Une fois que les pirates ont intercepté ces informations, ils peuvent les utiliser eux-mêmes ou même modifier la communication originale du destinataire.

Comment l'usurpation d'adresse IP le permet : L'usurpation d'adresse IP permet aux pirates de devenir un "homme du milieu" en leur permettant d'assumer l'identité d'un autre utilisateur, d'un autre appareil ou d'un autre service. Ils peuvent ainsi facilement intercepter des communications à l'insu de l'expéditeur ou même envoyer des informations à un destinataire innocent en se faisant passer pour quelqu'un d'autre (par exemple, un courriel de votre banque vous demandant des informations sensibles).

Exemple concret : En 2015, Europol a démantelé une attaque de type "man in the middle" à l'échelle du continent, au cours de laquelle des pirates informatiques ont intercepté des demandes de paiement entre des entreprises et leurs clients, ce qui a entraîné des dommages d'un montant de 6 millions d'euros. Plus précisément, les pirates ont utilisé l'usurpation d'adresse IP pour accéder aux comptes de messagerie des entreprises. Ils ont ensuite suivi les communications et intercepté les demandes de paiement des clients afin de les faire envoyer sur des comptes bancaires contrôlés par les pirates.

Bien que la détection précoce d'une attaque par usurpation d'adresse IP puisse s'avérer difficile, il existe plusieurs mesures que vous pouvez prendre pour protéger votre organisation contre les dangers de l'usurpation d'adresse IP.

Le filtrage de paquets examine les paquets IP de chaque appareil ou utilisateur qui tente de se connecter à un réseau (il peut s'agir d'une entrée pour surveiller les communications entrantes ou d'une sortie pour surveiller les communications sortantes). Cette pratique consiste à examiner de près l'en-tête de chaque paquet IP, qui contient l'adresse IP, afin de s'assurer qu'il correspond à la source et que tout se déroule comme prévu. Si quelque chose ne va pas, le paquet ne pourra pas achever la connexion comme prévu.

L'infrastructure à clé publique (PKI) est une méthode courante d'authentification des utilisateurs et des appareils qui repose sur une paire de clés publique et privée. La clé privée permet de crypter les communications et de vérifier l'authenticité d'un utilisateur/dispositif, tandis que la clé publique permet de décrypter ces communications.

Il est important de noter que ces méthodes d'authentification utilisent un cryptage asymétrique, ce qui signifie que chaque clé est différente de l'autre dans sa paire. Cette méthode rend extrêmement difficile la détermination de la clé privée par les pirates et est très efficace pour prévenir les types courants d'attaques par usurpation d'adresse IP, comme l'attaque de l'homme du milieu.

La surveillance du réseau consiste à suivre de près l'activité du réseau afin de déceler tout élément suspect. Bien qu'il soit parfois difficile d'empêcher les pirates d'accéder au réseau par le biais de l'usurpation d'adresse IP, étant donné que cette approche permet de dissimuler leur présence, cette méthode permet de détecter plus tôt toute activité malveillante et d'endiguer les dégâts. Par ailleurs, la mise en place d'un pare-feu réseau est un autre moyen d'authentifier les adresses IP et de filtrer tout trafic qui semble suspect et potentiellement sujet à l'usurpation d'adresse IP.

Enfin, la formation à la sécurité des utilisateurs légitimes du réseau peut également contribuer à la protection contre les dommages dus à l'usurpation d'adresse IP. Il peut s'agir, par exemple, de demander aux utilisateurs de ne jamais répondre aux courriels qui leur demandent de cliquer sur un lien pour modifier leurs informations de connexion. Ils doivent plutôt se rendre directement sur le site web de l'expéditeur pour prendre des mesures. Bien que ce type de formation puisse certainement être utile, il est important de garder à l'esprit qu'il ne s'agit que d'une couche supplémentaire de protection contre les dommages. Cette formation n'est pas une tactique de prévention car, au moment où elle est utile, un pirate a déjà réussi à usurper une adresse IP et à accéder à certains systèmes.