Le reniflement de paquets peut sembler être le dernier engouement pour la drogue de rue, mais c'est loin d'être le cas. Les renifleurs de paquets ou les analyseurs de protocole sont des outils couramment utilisés par les techniciens de réseau pour diagnostiquer les problèmes liés au réseau. Les renifleurs de paquets peuvent également être utilisés par des pirates informatiques à des fins moins nobles, telles que l'espionnage du trafic des utilisateurs du réseau et la collecte de mots de passe.
Voyons ce qu'est un renifleur de paquets et ce qu'il fait:
Les renifleurs de paquets se présentent sous différentes formes. Certains renifleurs de paquets utilisés par les techniciens de réseau sont des solutions matérielles dédiées à usage unique, tandis que d'autres renifleurs de paquets sont des applications logicielles exécutées sur des ordinateurs grand public standard, utilisant le matériel réseau fourni sur l'ordinateur hôte pour effectuer des tâches de capture et d'injection de paquets.
Comment fonctionnent les renifleurs de paquets?
Les renifleurs de paquets fonctionnent en interceptant et en enregistrant le trafic réseau qu'ils peuvent «voir» via l'interface réseau câblée ou sans fil auquel le logiciel de détection de paquets a accès sur son ordinateur hôte.
Sur un réseau câblé, ce qui peut être capturé dépend de la structure du réseau. Un renifleur de paquet peut peut-être voir le trafic sur un réseau entier ou seulement sur un segment de celui-ci, en fonction de la configuration, du placement, des commutateurs réseau, etc. Sur les réseaux sans fil, les renifleurs de paquet ne peuvent généralement capturer qu'un canal à la fois, sauf l'ordinateur hôte possède plusieurs interfaces sans fil permettant la capture multicanal.
Une fois les données de paquet brutes capturées, le logiciel de détection de paquets doit les analyser et les présenter sous une forme lisible par l'homme, de sorte que la personne utilisant le logiciel de détection de paquets puisse les comprendre. La personne qui analyse les données peut voir les détails de la «conversation» ayant lieu entre deux nœuds ou plus sur le réseau. Les techniciens de réseau peuvent utiliser ces informations pour déterminer le lieu d'une erreur, par exemple pour déterminer le périphérique qui n'a pas répondu à une requête réseau.
Les pirates peuvent utiliser des renifleurs pour écouter les données non chiffrées dans les paquets afin de voir quelles informations sont échangées entre deux parties. Ils peuvent également capturer des informations telles que des mots de passe et des jetons d’authentification (s’ils sont envoyés en clair). Les pirates peuvent également capturer des paquets pour une lecture ultérieure dans des attaques de relecture, d'interception ou d'injection de paquets auxquelles certains systèmes peuvent être vulnérables.
Quels outils logiciels sont couramment utilisés dans le reniflement de paquets?
Comme tout le monde, les ingénieurs réseau et les pirates informatiques adorent les logiciels gratuits. C’est pourquoi les applications logicielles open source et freeware sniffer sont souvent les outils de choix pour les tâches de détection de paquets. Wireshark (anciennement Ethereal) est l’une des offres open source les plus populaires.
Comment protéger mon réseau et ses données des pirates informatiques utilisant des renifleurs?
Si vous êtes un technicien de réseau ou un administrateur et que vous souhaitez savoir si un utilisateur de votre réseau utilise un outil de détection, consultez un outil appelé Antisniff. Antisniff peut détecter si une interface réseau de votre réseau a été mise en «mode promiscuous» (ne riez pas, c'est son nom réel), qui est le mode requis pour les tâches de capture de paquets.
Un autre moyen de protéger votre trafic réseau contre le reniflement consiste à utiliser un cryptage tel que SSL (Secure Sockets Layer) ou TLS (Transport Layer Security). Le cryptage n'empêche pas les renifleurs de paquets de voir les informations de source et de destination, mais il crypte la charge utile du paquet de données afin que tout ce que le renifleur voit soit du charabia chiffré. Toute tentative de modification ou d'injection de données dans les paquets échouerait probablement, car une interférence avec les données cryptées provoquerait des erreurs qui seraient évidentes lorsque les informations cryptées étaient déchiffrées à l'autre bout.
Les renifleurs sont d'excellents outils pour diagnostiquer les problèmes de réseau dans les mauvaises herbes. Malheureusement, ils sont également utiles pour le piratage. Il est important que les professionnels de la sécurité se familiarisent avec ces outils pour pouvoir voir comment un pirate informatique pourrait les utiliser sur leur réseau.
