Qu’est-ce que le reniflage de paquets et comment pouvez-vous l’éviter ?
Vos activités Internet sont transmises via de nombreux routeurs et commutateurs en route vers leur destination. Ces paquets sont susceptibles d'être collectés et analysés à chacun de ces points via un processus appeléreniflage de paquets. Cet article explique ce qu'est le reniflage de paquets et quelques conseils pratiques pour l'éviter.
Voir également: Meilleurs renifleurs de paquets & Meilleurs analyseurs de réseau
Il existe de nombreuses formes de mise en réseau, la plus courante étant TCP/IP. Cet acronyme signifie Transmission Control Protocol over Internet Protocol, ce qui signifie simplement que le réseau envoie des paquets TCP aux ordinateurs de destination à l'aide d'adresses IP. La partie critique de cette description est le motpaquets. Contrairement à ce que nos yeux nous disent, des éléments tels que les pages Web et les e-mails ne circulent pas sur Internet dans son intégralité. Ils sont désassemblés à l’extrémité émettrice en petits paquets de données et réassemblés à l’extrémité réceptrice dans leur format d’origine. Lorsque ces paquets de données transitent sur Internet, ils sont susceptibles d’être écoutés et même modifiés. Cette technique est familièrement appeléereniflage de paquetset cela est réalisé à la fois par les FAI, les gouvernements, les sociétés de publicité et les méchants. Dans cet article, nous examinons les moyens de vous protéger contre le reniflage de paquets.
Contenu [ cacher ]
- Qu’est-ce que le reniflage de paquets ?
- Qui renifle les paquets ?
- Pourquoi est-ce mauvais pour moi ?
- Comment se protéger contre le reniflage de paquets
Qu’est-ce que le reniflage de paquets ?
Afin de comprendre comment se produit le reniflage de paquets, il est utile de comprendre comment fonctionne le routage Internet. Les pages Web et les e-mails ne sont pas envoyés via Internet intacts comme un seul document. Au lieu de cela, le côté expéditeur (votre ordinateur) les décompose en plusieurs petits paquets de données. Ces paquets sont adressés à une adresse IP du côté récepteur qui a généralement l'obligation d'accuser réception de chaque paquet qu'il reçoit. Afin de prendre en charge cela, chaque paquet contient l'adresse IP d'envoi et de réception ainsi que de nombreuses autres informations.
Ces paquets ne sont pas transmis d’un seul coup de l’expéditeur au destinataire. Au lieu de cela, chaque paquet traverse Internet en route vers sa destination en passant par un certain nombre de dispositifs de contrôle du trafic tels que des routeurs et des commutateurs. Chaque fois qu'un paquet passe par l'un de ces dispositifs de contrôle du trafic, il est susceptible d'être capturé et analysé.
Une note sur le routage et la convergence
Le rôle des routeurs dans ce processus est littéralement d’acheminer le trafic vers sa destination. Les routeurs Internet ont une idée de l’endroit où se trouve l’adresse IP de destination, ou du moins ils savent où envoyer le paquet s’ils ne sont pas directement connectés à la destination. Cette technique est appeléeconvergencecar les paquets du monde entier convergent vers leur destination grâce au routage. Considérez une grande destination telle que Facebook. Il reçoit du trafic provenant du monde entier. À mesure que ces paquets se rapprochent des serveurs Facebook réels, le trafic disparate converge vers une section très fréquentée d’Internet. Les routeurs de ces emplacements doivent être très robustes et sécurisés.
Une comparaison plus simple pourrait consister à considérer une autoroute comportant des centaines de bretelles de sortie vers diverses villes. Tout le trafic à destination de la ville de Quahog empruntera la sortie Quahog de l'autoroute. Il s’agit d’une forme de convergence dans la mesure où ces voitures ne sont que des voitures individuelles qui ne semblent avoir rien en commun jusqu’à ce qu’elles commencent toutes à sortir à Quahog. Si un observateur souhaite examiner toutes les voitures se dirigeant vers cette ville, il est plus logique de s'asseoir à la sortie de l'autoroute Quahog puisque 100 % des voitures empruntant cette sortie sont les voitures qui l'intéressent. Il est moins logique de s'asseoir ailleurs sur l'autoroute et d'examiner les voitures, car seule une partie d'entre elles est destinée à Quahog. La NSA Programme de surveillance PRISM utilise cette technique ; les renifleurs de paquets de la NSA se « garent » sur les routeurs les plus proches des grands fournisseurs d’accès Internet comme Google et Facebook afin de collecter autant de trafic que possible destiné à ces sites.
Qui renifle les paquets ?
Toute personne ayant accès à un routeur peut effectuer la collecte de paquets et leur analyse ultérieure. Étant donné que les internautes n’ont généralement aucune idée de la manière dont leur trafic est acheminé, il n’est pas vraiment possible de savoir qui observe ce trafic. Cependant, l’histoire a montré que les acteurs suivants ont été impliqués dans le reniflage de paquets pour diverses raisons au fil des ans.
Une note sur les routeurs
La plupart d’entre nous pensent probablement au routeur wifi de nos maisons lorsque nous entendons le mot routeur. C’est tout à fait exact. Le routeur grand public de votre maison fait le même travail que les grands routeurs commerciaux sur Internet. Votre routeur domestique est chargé d'accepter le trafic des différents appareils connectés à Internet dans votre maison et de les acheminer vers Internet. Il est également chargé d’accepter le trafic de réponse provenant d’Internet et de le renvoyer vers l’appareil spécifique qui l’a demandé. La seule vraie différence est que les routeurs Internet font cela pour des millions d’appareils, alors que votre routeur domestique ne serait pas à la hauteur d’une tâche aussi monumentale.
Organismes gouvernementaux
États-Unis
Les journaux Snowden ont révélé un énorme appareil de surveillance, nommé PRISM, que le gouvernement américain déploie en secret depuis des années. En particulier, la National Security Agency (NSA) collecte passivement le trafic Internet destiné aux grands sites Internet tels que Facebook, Google et autres. La NSA dispose d’outils d’analyse à grande échelle tels que XKeyscore ce qui lui permet de rechercher ultérieurement les paquets collectés.
Royaume-Uni
Le Royaume-Uni dispose d’un système de surveillance passive similaire appelé Tempora. Le Royaume-Uni occupe une position unique dans la mesure où la majeure partie de son trafic Internet lui arrive via des câbles sous-marins à fibres optiques. Cela fournit un point d'entrée et de sortie unique vers et depuis le Royaume-Uni et les dispositifs de collecte Tempora fonctionnent à ces endroits.
Encore une douzaine les pays sont également connus pour mener une surveillance massive d’Internet . Toute surveillance Internet nécessiterait une certaine forme de collecte et d’analyse de paquets.
Entreprises
La surveillance d'Internet ne se limite pas aux gouvernements. L’espionnage industriel existe depuis des décennies et il ne fait aucun doute que certaines entreprises emploient des techniques pour déterminer ce que font leurs concurrents. Les agents d’espionnage commercial n’ont généralement pas le luxe d’obtenir des mandats gouvernementaux pour exiger l’accès aux réseaux et routeurs internes afin de collecter des paquets. Par conséquent, la plupart des activités d’espionnage industriel sur Internet reposent probablement sur des méthodes éprouvées telles que le phishing pour accéder aux réseaux internes. Une fois l'empreinte obtenue dans le réseau cible, la collecte et l'analyse des paquets de données peuvent apporter une richesse de connaissances.
Annonceurs
Les agences de publicité sont notoirement peu scrupuleuses, en particulier celles sur Internet. Les agences comme celle-ci sont généralement payées de deux manières : soit par le nombre d'annonces qu'elles diffusent (coût pour mille – CPM), soit par le nombre de clics sur les annonces que les annonces génèrent (Pay Per Click – PPC). Dans les deux cas, plus une annonce génère d’impressions, plus ces chiffres sont élevés. Les annonceurs peuvent utiliser le reniflage de paquets soit pour surveiller les utilisateurs afin d'évaluer leurs goûts du marché, soit – pire encore – pour injecter des publicités dans les paquets entrants au fur et à mesure de leur passage,
Comcast a été découvert en train de renifler des paquets sur son réseau afin de déterminer l'endroit optimal pour injecter des publicités dans des pages Web arbitraires que ses utilisateurs consultaient .
Mis à part les problèmes éthiques liés à la modification de contenus qui n'appartiennent pas à Comcast et ne résident pas sur son réseau, il ne faut pas beaucoup d'imagination pour spéculer sur d'autres choses qui peuvent être injectées dans les paquets en cours de route. Les publicités sur Internet sont connues pour contenir des logiciels malveillants dans de nombreux cas. Lorsqu'un acteur tel qu'un annonceur peut prendre en charge le trafic destiné à votre ordinateur et insérer du contenu arbitraire, dont une grande partie est connue pour être un malware, cela contourne de nombreuses protections que vous pouvez mettre en place vous-même.
Une excellente démonstration de ceci est contenue dans Voler ma connexion (n'utilisez pas un véritable nom d'utilisateur/mot de passe pour les tests). Cette page tente de démontrer comment un attaquant peut voler vos informations de connexion s'il parvient à injecter une seule ligne de code dans la page de connexion. Alors que Comcast injectait des publicités via javascript, un attaquant peut tout aussi facilement injecter du javascript qui vole silencieusement vos informations d'identification.
Méchants
Les méchants ne font toujours rien de bon. Beaucoup d’entre eux sont compétents et sont capables d’utiliser une grande variété de méthodes pour vous voler des informations. Le phishing reste la méthode numéro un par laquelle les malfaiteurs accèdent à des informations telles que les identifiants de connexion et les données financières. Mais le phishing ne vise pas qu’un seul type d’informations. Un citoyen normal peut être victime d'un hameçonnage pour obtenir ses informations de carte de crédit que le méchant peut ensuite revendre pour réaliser un profit. En revanche, un administrateur système d’une banque peut être victime d’un hameçonnage pour ses identifiants de connexion. Le méchant peut alors se cacher sur le réseau interne de la banque, renifler des paquets et collecter des données financières sur tous les clients de la banque. De nombreuses attaques insidieuses et profondément pénétrantes commencent par un simple e-mail de phishing.
Un autre moyen très courant pour les méchants à petite échelle consiste à installer un faux point d'accès sans fil dans des lieux publics tels que les cafés, et à collecter les paquets de données de personnes sans méfiance qui s'y sont involontairement connectées.
Les logiciels malveillants peuvent contenir des renifleurs de paquets qui surveillent l’activité en ligne des utilisateurs et renvoient les données au centre de commande et de contrôle d’un pirate informatique. Le logiciel malveillant VPNFilter, qui infecté un demi-million de routeurs sans fil dans plus de 50 pays, a inclus un renifleur de paquets dans sa troisième étape. VPNFilter intercepte les paquets de données contenant les informations de connexion et les envoie aux pirates via le réseau Tor.
Pourquoi est-ce mauvais pour moi ?
La surveillance de votre trafic est mauvaise pour plusieurs raisons générales et des centaines de raisons plus petites.
Informations personnelles
Pensez à la quantité d’affaires personnelles que vous menez en ligne. La plupart d'entre nous effectuent nos opérations bancaires, fixent des rendez-vous médicaux, rédigent des e-mails avec des informations personnelles et discutent à long terme avec nos amis et notre famille en ligne. Quelle part de ces informations souhaiteriez-vous rendre publique, ou du moins, être lue par d’autres personnes ?
Il est facile d’imaginer des méchants voler vos numéros de carte de crédit, mais qu’en est-il des informations plus subtiles ? Votre compagnie d’assurance aimerait-elle savoir que vous avez récemment subi une angiographie ? Votre futur nouvel employeur aimerait-il savoir que vous venez de prendre rendez-vous dans une clinique familiale ? Votre banque souhaite-t-elle savoir que vous avez récemment perdu votre emploi ? La raison pour laquelle nous appelons une catégorie d’informations « informations personnelles » est qu’elles sont personnelles et qu’il nous appartient de contrôler la diffusion de ces connaissances.
Oui, tu as quelque chose à cacher
Il existe un groupe de personnes qui estiment qu’elles ne se soucient pas d’être surveillées sur Internet parce que « je n’ai rien à cacher ». Franchement, cela montre une incompréhension fondamentale du problème. Le reniflage de paquets est mené par des méchants qui tentent de faire du mal autant que par les forces de l'ordre. Puisqu’il n’existe aucun moyen de configurer un paquet de données pour permettre aux forces de l’ordre de le lire, mais pas aux méchants, il n’y a pas d’autre conclusion que nous avons tous quelque chose à cacher.
Informations d'affaires
Les entreprises se comportent généralement en gardant un voile de secret sur leurs projets à venir. Une entreprise qui négocie pour acheter un concurrent ou pour construire un nouvel emplacement à un emplacement stratégique pourrait soudainement se retrouver très désavantagée si ces informations tombaient entre de mauvaises mains. Dans le cas de l’immobilier, une entreprise a généralement un point de départ lorsqu’un investissement important est réalisé. Si des informations sensibles étaient divulguées par la suite, il est possible qu’une entreprise perde de grosses sommes d’argent. Cela peut entraîner des pertes d’emplois et, dans les petites régions, un réel impact économique. L'une des façons dont de telles informations sont divulguées est l'espionnage industriel, qui peut inclure le reniflage de paquets d'e-mails et de messages non sécurisés.
Comment se protéger contre le reniflage de paquets
Afin de comprendre comment vous protéger contre le reniflage de paquets, il est important de savoir à quoi ressemble votre trafic dans différents scénarios. Je me concentrerai sur le Web, mais les mêmes principes s'appliquent à toute communication Internet telle que le courrier électronique et la messagerie. L’utilisation de HTTP simple et non chiffré constitue la pire posture de sécurité possible. L’utilisation de HTTPS (sessions cryptées SSL) offre plus de protection, mais pas autant de protection qu’un VPN peut offrir.
Tout d’abord, commençons par un formulaire de connexion sur un site Web non crypté utilisant uniquement HTTP. Je pense qu'il est désormais de notoriété publique que si vous saisissez des données sur un site Web qui n'affiche pas HTTPS et/ou un verrou dans sa barre d'adresse, cela n'est pas sécurisé. Malgré cela, un nombre impressionnant d’opérateurs de sites Web n’ont toujours pas implémenté HTTPS sur leurs pages de connexion, ce qui laisse leurs utilisateurs dans un très mauvais état de sécurité.
J'ai créé une page de connexion fictive et je me suis connecté avec le nom d'utilisateurfooet le mot de passebar. Cette capture d'écran montre la capture Wireshark de cette connexion. Un observateur peut facilement voir mon nom d'utilisateur et mon mot de passe et les utiliser plus tard pour se connecter à mon compte.
Ensuite, j'ai visité le site Web Comparitech, qui oblige les utilisateurs à utiliser HTTPS. j'ai tapé $ comparitech.com dans mon navigateur pour démarrer cela. La première chose qui se produit est que mon système effectue une recherche DNS non cryptée pour obtenir l'adresse IP de comparitech.com .
Cette information indique à tout observateur que je m'apprête à visiter le site Comparitech.
Mon navigateur a ensuite tenté de se connecter à comparitech.com . Nous pouvons voir que le site Web n'autorisera pas les connexions HTTP non cryptées. Il renvoie donc des en-têtes à mon navigateur lui demandant de réessayer en utilisant HTTPS :
Mon navigateur le fait et ma session est désormais cryptée. Ce processus est un peu meilleur que le simple HTTP car ma connexion ultérieure au site, ainsi que toutes mes autres activités sur le site, sont désormais cryptées. Mais ce processus a quand même fourni à un observateur l'information selon laquelle j'ai visité le site Web de Comparitech. C'est appeléobjectif donnéet c’est au cœur de la manière dont la plupart des programmes de surveillance gouvernementaux justifient leur espionnage. Ces programmes tentent d’affirmer que les métadonnées n’ont aucune valeur, mais ce n’est clairement pas vrai. Savoir où les gens vont en ligne est d’une grande valeur.
Ceci est une capture d'écran de ce qu'un observateur peut voir de mes activités sur le site en utilisant HTTPS. Il s’agit principalement de charabia crypté.
Enfin, j'ai capturé quelques paquets lorsque mon VPN était en cours d'exécution. Dans ce cas, tout est crypté. La seule chose qu'un observateur peut obtenir en observant mon trafic est un ensemble de paquets OpenVPN cryptés destinés à un serveur OpenVPN.
Mon trafic est crypté en masse sur mon ordinateur avant d'être envoyé via le VPN et il n'est déchiffré que lorsqu'il arrive au serveur VPN. Le serveur VPN supprime ensuite la couche de cryptage qu'il a ajoutée du côté de l'envoi, puis envoie le trafic vers sa destination en mon nom.
Notez que j'achemine également mon DNS via mon VPN, de sorte que même mes requêtes DNS sont cryptées et invisibles pour un observateur.
Sur la base de ces exemples de captures de paquets, les règles pour vous protéger contre le reniflage de paquets sont :
Utilisez un VPN tout le temps
Les captures de paquets ci-dessus montrent que les connexions VPN offrent la protection la plus complète. Votre trafic est entièrement crypté et, si vous vous assurez que vos requêtes DNS passent également par votre VPN, vos destinations ne peuvent pas être dérivées.
La seule partie qui peut voir votre trafic est votre fournisseur VPN, car il doit supprimer le cryptage VPN afin de voir où le trafic doit aller. Vous devrez avoir un certain niveau de confiance en votre fournisseur VPN pour vous assurer qu'il ne faites pas des choses comme enregistrer votre trafic .
Vous pouvez augmenter votre niveau d'anonymat et de confidentialité en utilisant Tor conjointement avec un VPN. Il existe deux manières principales de procéder, comme l'explique Paul Bischoff dans notre Article sur les meilleurs VPN pour les utilisateurs de Tor ici .
Utilisez toujours HTTPS lorsqu'il est disponible
Si vous visitez un site Web via HTTP, vérifiez s'il acceptera une connexion HTTPS en attachant simplementhttps://dans la barre du navigateur avant l'adresse du site. De nombreux sites Web disposent de certificats SSL, mais le responsable du site Web n’oblige pas activement les visiteurs à les utiliser. L'Electronic Frontier Foundation gère un module complémentaire de navigateur pour Chrome, Firefox et Opera nommé HTTPS partout cela peut faire cela pour vous. Il essaiera de se connecter à chaque site Web que vous visitez en utilisant HTTPS sans aucune action supplémentaire de votre part.
Il convient de noter que vous devez continuer à utiliser HTTPS même si vous utilisez un VPN. En effet, une charge utile chiffrée HTTPS ne peut être déchiffrée que par le serveur Web de destination ou par votre propre navigateur. Un fournisseur VPN devra déchiffrer le cryptage VPN qu’il a ajouté au paquet, mais il ne pourra pas décrypter le paquet HTTPS lui-même, ce qui signifie que votre fournisseur VPN ne pourra collecter que les métadonnées.
N'envoyez jamais de données de formulaire via HTTP
Si vous êtes dans une situation où vous ne pouvez tout simplement pas utiliser un VPN ou HTTPS, vous devez éviter du tout d’envoyer des données à un site Web. Plus précisément, cela signifie ne remplir aucune case de formulaire ni cliquer sur aucun bouton de formulaire sur un site Web. Les formulaires envoient des données de votre ordinateur au serveur Web et les endroits les plus courants où nous les voyons sont dans les formulaires de connexion, les formulaires de contact et d'autres pages qui collectent des informations vous concernant.
Chaque fois que vous envoyez des données à un site Web via HTTP non crypté, ces données sont clairement visibles pour un observateur. La première capture d'écran de cette section illustre à quel point il est facile de voir mon nom d'utilisateur et mon mot de passe dans un paquet HTTP ; toutes les informations que vous envoyez via HTTP seront également visibles.