Comment définir l’arraque man-in-the-middle
L’attaque man-in-the-middle (MITM en français « homme du milieu ») est une technique utilisée par les pirates informatiques pour intercepter et écouter les communications entre deux parties. L’attaquant agit comme un intermédiaire et peut lire, modifier ou falsifier les données transmises entre les deux parties sans qu’elles ne s’en aperçoivent. Cette attaque peut être réalisée en utilisant des moyens tels que le détournement de routeurs ou en installant des logiciels malveillants sur les ordinateurs cibles.
Une attaque de l’homme du milieu – man-in-the-middle – devient une action de suivi très sensée pour un pirate informatique criminel après qu’il effectue avec succès une attaque par usurpation d’identité. Alors que certains hackers passifs se contenteraient simplement de pouvoir pour afficher les données dont il a besoin et éviter toute manipulation lors de l’écoute d’un hôte vulnérable, certains voudront peut-être pour effectuer une attaque active juste après avoir réussi à réussir une attaque par usurpation d’identité.
Une attaque de l’homme du milieu – man-in-the-middle peut être effectuée lorsqu’un pirate procède à une usurpation d’ARP, ce qui est fait par envoyer de faux messages ARP (Address Resolution Protocol) sur le réseau local infiltré. Quand réussi, les messages ARP falsifiés permettent de lier avec succès l’adresse MAC des pirates à une adresse IP d’un utilisateur légitime ou à un serveur entier dans un réseau ciblé. Une fois que le pirate est capable de lier son adresse MAC à une adresse IP légitime, le pirate pourra recevoir toutes les données que les autres utilisateurs sur le réseau envoie à l’adresse IP qu’il utilise.
Puisqu’il a déjà accès à toutes les données que l’utilisateur piraté (le propriétaire de l’adresse IP) entre et les informations qu’il reçoit sur le réseau, le pirate peut choisir de faire ce qui suit lors d’une session d’usurpation ARP :
- Détournement de session – cela permet au pirate d’utiliser l’ARP usurpé pour voler l’ID de session d’un utilisateur, puis utiliser ces informations d’identification ultérieurement pour accéder à un compte.
- Attaque par déni de service – Cette attaque peut être effectuée lorsque l’ARP l’usurpation est effectuée pour lier plusieurs adresses IP multiples à l’adresse MAC d’un appareil ciblé. Quoi se produit dans ce type d’attaque, c’est que toutes les données censées être envoyées à d’autres adresses IP sont à la place redirigé vers un seul appareil, ce qui peut entraîner une surcharge de données. Vous en saurez plus sur les attaques DoS dans un chapitre ultérieur.
- Attaque de l’homme du milieu – le pirate fait semblant d’être inexistant dans un réseau, puis intercepter ou modifier les messages qui sont envoyés entre deux ou plusieurs victimes.
Etapes d’execution d’une attaque man-in-the-middle
Voici comment un pirate peut effectuer une usurpation d’ARP pour effectuer une attaque de type « man-in-the-middle » à l’aide d’un outil appelé Backtrack, une boîte à outils de piratage similaire à Kali Linux :
Étape 1 : détectez les données dont vous avez besoin
Cela peut être fait en utilisant les outils Wireshark, dsniff et tcpdump. En lançant ces outils, vous pouvez voir tout le trafic auquel vous pouvez vous connecter via des réseaux sans fil ou câblés.
Étape 2 : Utilisez un adaptateur sans fil et mettez-le en mode moniteur
Lorsque vous placez votre adaptateur sans fil ou votre carte réseau en mode moniteur, vous pourrez capter tous le trafic disponible sur votre connexion, même ceux qui ne sont pas destinés à votre adresse IP. Si tu sent connectés à des réseaux concentrateurs, vous pouvez capter le trafic dont vous avez besoin sans aucune difficulté.
Cependant, si vous envisagez d’infiltrer un système commuté, vous devrez peut-être opter pour une tactique différente, puisque les commutateurs régulent le trafic et garantissent que des paquets de données spécifiques sont envoyés à un MAC spécifique adresses ou adresses IP.
Si vous souhaitez contourner les commutateurs, ou au moins savoir quels types d’informations sont envoyés aux autres utilisateurs, vous pouvez essayer de modifier les entrées de la table CAM qui mappe les adresses IP et MAC qui s’envoient des informations les unes aux autres. Si vous modifiez les entrées, vous pouvez réussir à obtenir le trafic destiné à quelqu’un d’autre. Pour ce faire, vous devez effectuer une attaque par usurpation ARP.
Étape 3 : lancez Backtrack
Une fois que vous êtes en mesure d’ouvrir Backtrack, ouvrez trois terminaux. Ensuite, et procédez comme suit :
1 – Remplacez l’adresse MAC du client que vous ciblez par votre adresse MAC. Entrez la chaîne suivante pour indiquer au client que votre adresse MAC est le serveur :
arpspoof [IP client] [IP serveur]
2 – Inversez l’ordre des adresses IP dans la chaîne précédente que vous avez utilisée. Cela indiquera au serveur que votre ordinateur est le client.
3 – Maintenant que vous faites semblant d’être à la fois le serveur et le client, vous devez maintenant être en mesure de recevoir les paquets du client, puis de les transmettre au serveur, et également de faire l’inverse.
Si vous utilisez Linux, vous pouvez utiliser sa fonctionnalité intégrée appelée ip_forward, qui peut vous permettre de transférer les paquets que vous recevez. Une fois cette option activée, vous pourrez transférer les paquets à l’aide d’ipforwarding en saisissant cette commande dans Backtrack :
echo 1 > /proc/sys/net/ipv4/ip_forward*
Une fois que vous avez entré cette commande, votre système sera placé en plein milieu du client et du serveur. Cela signifie que vous pouvez désormais recevoir et transférer des données envoyées entre le client et le serveur.Utilisez Dsniff pour vérifier le trafic Maintenant que vous êtes en mesure d’obtenir tout le trafic envoyé vers et depuis le client et le serveur, vous pourrez trouver tout le trafic disponible. Pour cela, activez un outil sniffer sur Backtrack en saisissant la commande « dsniff ». Après cela, vous verrez que le dsniff est activé et écoute le trafic disponible.
4 – Utilisez Dsniff pour vérifier le trafic Maintenant que vous êtes en mesure d’obtenir tout le trafic envoyé vers et depuis le client et le serveur, vous pourrez trouver tout le trafic disponible. Pour cela, activez un outil sniffer sur Backtrack en saisissant la commande « dsniff ». Après cela, vous verrez que le dsniff est activé et écoute le trafic disponible.
5 – Saisissez les informations d’identification ou les données dont vous avez besoin sur le ftp Maintenant, tout ce que vous avez à faire est d’attendre que le client se connecte directement au serveur ftp. Lorsque cela se produit, vous verrez immédiatement quel est son nom d’utilisateur ou son mot de passe.
Étant donné que les utilisateurs et les administrateurs utilisent les mêmes informations d’identification sur tous les services ou systèmes informatiques, vous pouvez utiliser les informations d’identification que vous pouvez recevoir pour vous connecter.