La numérisation a aussi son côté obscur. Avec l’interconnexion croissante, de plus en plus de cybercriminels tentent d’accéder à vos données sensibles ou d’endommager votre système par une attaque. Pour ce faire, les pirates utilisent différentes méthodes qui leur permettent de dissimuler votre identité. L ‘une d’entre elles est ce que l’on appelle l’usurpation d’adresse IP, qui exploite une faiblesse systémique du protocole TCP/IP. Dans cet article, nous vous expliquons comment fonctionne exactement l’IP spoofing et comment vous pouvez vous protéger au mieux contre de telles attaques.

1. qu’est-ce que l’usurpation d’adresse IP et où est-elle utilisée ?

L’usurpation d’adresse IP consiste à exploiter les faiblesses systémiques de la famille de protocoles TCP/IP pour masquer sa propre adresse IP et envoyer des paquets de données à partir d’une adresse falsifiée ou s’infiltrer dans des systèmes informatiques étrangers. Pour ce faire, ils font croire au destinataire que les données proviennent d’une source fiable.

On distingue en principe deux types d’usurpation d’adresse IP :

• Dans le cas du spoofing non aveugle, l’attaquant se trouve dans le même sous-réseau que la victime et utilise l’adresse IP détournée pour intercepter ou manipuler le trafic de données entre deux ou plusieurs ordinateurs (attaques « man-in-the-middle »).
• En revanche, dans le cas du « blind spoofing », l’attaquant se trouve en dehors du sous-réseau. De là, il envoie des paquets de données à la victime afin de pouvoir ensuite tirer des conclusions sur les numéros de séquence à partir des accusés de réception.

Dans le cadre des attaques Dos et DDoS, le « SYN-Flooding » est de plus en plus souvent utilisé. Il s’agit de déclencher délibérément des blocages de services à l’aide de messages ACK « détournés », ce qui entraîne ensuite une surcharge de certains composants d’une infrastructure informatique .

Bon à savoir : Il est certes possible de masquer l’adresse IP via un serveur proxy, mais celui-ci ne fait que rediriger les paquets. Ainsi, même avec des adresses masquées, les pirates peuvent toujours être identifiés grâce aux fichiers journaux du serveur proxy.

2) Comment la falsification de l’adresse IP est-elle mise en œuvre sur le plan technique ?

.

Chaque paquet IP contient dans son en-tête une adresse source et une adresse de destination, pour lesquelles il n’existe pas encore aujourd’hui de protection suffisante contre les manipulations. Cela signifie qu’elles ne sont ni cryptées ni vérifiées quant à leur exactitude. Le destinataire doit donc en principe se fier aveuglément au fait que les paquets proviennent réellement de l’adresse indiquée.

Avec une simple attaque par spoofing, un pirate n’a pas encore accès au trafic de données. Il peut uniquement modifier l’adresse du paquet concerné, alors que l’adresse IP proprement dite reste inchangée. La réponse aux données envoyées ne parvient donc pas directement au pirate, mais est transmise à l’ordinateur dont l’adresse IP a été détournée.

De leur côté, les paquets TCP sont tous identifiés par un numéro de séquence unique, utilisé pour garantir une transmission complète et sans doublons. Toutefois, une fois que le pirate s’est introduit dans la voie de communication sous une fausse identité (« détournement de session »), il peut assez facilement prédire les numéros de séquence à venir et agir ainsi en arrière-plan comme bon lui semble.

A cela s’ajoute le fait que les participants ne s’authentifient mutuellement qu’au début de la communication. Une fois la connexion établie, on part automatiquement du principe que les paramètres de l’autre partie ne changent plus.

Bon à savoir : Les ordinateurs dont l’adresse IP est reprise peuvent être eux-mêmes la cible d’une attaque ou être utilisés en réseau comme instrument pour une attaque. Dans les deux cas, le pirate lui-même reste inconnu.

3) Comment puis-je me protéger contre l’usurpation d’adresse IP ?

La dissimulation de l’IP fonctionne à partir de n’importe quel endroit, l’ordinateur attaqué doit simplement disposer d’une connexion à Internet. C’est pourquoi la plupart des contre-mesures visent surtout les configurations de sécurité, les autorisations et les contrôles d’accès.

Le problème préoccupe les spécialistes informatiques et les responsables de la sécurité depuis quelques décennies déjà. Le simple fait que les attaques DoS et DDoS puissent être lancées avec une telle facilité fait de l’usurpation d’adresse IP l’une des méthodes criminelles les plus populaires sur Internet. C’est pourquoi, par le passé, les fournisseurs d’accès à Internet ont souvent été appelés à filtrer le trafic de données de manière ciblée et à capturer les paquets correspondants avec leurs adresses sources en dehors du réseau, puis à les rejeter.

Ce qui semble si simple est, outre un effort considérable, une question de coûts. Pour ces raisons, personne n’a vraiment voulu s’occuper de la réalisation jusqu’à présent.

3.1 L’IPv6 fait la nique aux usurpateurs

Le protocole IPv6 révisé offre des propriétés de sécurité améliorées par rapport à son prédécesseur IPv4. Il s’agit notamment de nouvelles techniques de cryptage (optionnelles) et de procédures d’authentification qui permettront d’éliminer totalement l’usurpation d’adresse IP dans un avenir proche. Toutefois, à l’heure actuelle, tous les appareils réseau courants ne prennent pas encore en charge le nouveau protocole. En outre, la transition prendra probablement encore un certain temps.

Bien entendu, cela ne signifie pas que vous êtes sans défense face aux attaques de dissimulation. Vous pouvez également agir vous-même et mettre en place des mesures de protection appropriées pour lutter contre les attaques d’usurpation d’adresse IP :

• Une contre-mesure possible contre l’IP spoofing consiste à installer des filtres de paquets sur votre routeur ou votre passerelle. Cela permet d’analyser les paquets entrants et de rejeter tous ceux qui possèdent l’adresse source d’un ordinateur à l’intérieur du réseau. De cette manière, les pirates ne peuvent pas falsifier l’ adresse d’un ordinateur interne depuis l’extérieur. Pour la même raison, vous devriez également filtrer les adresses des paquets sortants et rejeter tous ceux dont l’adresse source ne se trouve pas à l’intérieur du réseau.
• Renoncez en principe aux procédures d’authentification basées sur l’hôte et effectuez toutes les méthodes de connexion via des connexions cryptées. Cela permet non seulement d’éviter les attaques par spoofing, mais aussi d’augmenter les normes de sécurité au sein du réseau.
• Remplacez si possible tous les anciens systèmes d’exploitation, programmes et appareils réseau, car ils ne correspondent généralement plus aux normes de sécurité actuelles. De plus, outre leur vulnérabilité à l’usurpation d’adresse IP, ils présentent souvent de nombreuses autres failles de sécurité que les cybercriminels pourraient exploiter.

Il est bon de savoir : La plupart des pare-feu actuels possèdent déjà un outil anti-spoofing intégré qui génère les numéros de séquence TCP de manière aléatoire. De cette manière, il est nettement plus difficile de prédire les numéros à venir.