PRISM: Man In The Middle (MITM), ARP Spoofing

04.07.2013 by MatMoul

Voila maintenant que vous savez que vos e-mail circulent en claire sur le réseau et que tous points de transmissions à accès à l'ensemble du contenu, je vais vous présenter les attaques "Man In The Middle".

Ce que l'on nomme attaque "Man In The Middle" ou "L'Homme Du Milleu" et une technique qui consiste à faire transiter tout le flux réseau d'une cible par un point de surveillance.

Une fois le flux dérivé, il est très facile d'écouter ou même modifier le contenu transmit à la cible.

Pour déclencher un attaque MITM, il existe plusieurs solutions.

La plus simple mais nécessitant une complicité des transporteurs d'information (opérateurs télécoms ou des entreprises propriétaires des peerings) est d'installer un système de capture de trafique sur un des points de transmissions. C'est en gros ce que PRISM utilise avec un apport considérable par des remontées d'informations en temps réel des plus grands noms de l'IT.

Une autre méthode très connue est l'"ARP Spooging". Cette techniques permet de dérivé tout le trafique de la cible connectée au même réseau que vous (accès wifi dans un bar, hôtel ou tout autre endroit public). Lorsque j'ai découvert cette faille qui est toujours d'actualité, je n'ai pu m’empêcher de tester cette technique dans un bar avec un accès WIFI et c'est plutôt grisant de voire les cibles s'énerver en essayant d'accéder à FaceBook et se retrouvant sur une page du FBI indiquant que le site était coupé pour raison légale. J'en suis resté là mais il m'aurait été facile de créer un fausse page de LogIn FaceBook et pirater leur compte.

Dans une attaque MITM, il est aussi possible de vous voler votre cookie de session. Prenez l'exemple de votre compte bancaire. Vous entrez votre nom et mot de passe, vous passez le deuxième niveau d'authentification et là quelqu'un vous vole votre cookie et à accès à votre compte. C'est pourquoi il vous faut vous déconnecter du site lorsque vous avez terminé. Cela déconnecte aussi la session volée. De plus, ne vous connectez pas sur des sites sensibles depuis des accès public. Un bon administrateur système ou réseau peut récupérer vos mot de passe e-mail et bien plus.

Actuellement, l'on peut faire ça avec un simple Smartphone Android rooté.

Je ne vous donnerais pas plus d'infos sur le piratage mais sachez que n'importe quel intermédiaire traitant votre flux réseau non crypté est à même d'en modifier le contenu. Je vous conseil vivement de préférez le protocole HTTPS à HTTP. Cela ne vous protégera pas contre la NSA mais face aux petits pirates qui vous voles votre identité ou utilise votre carte bancaire à votre insu et ces futurs ingénieurs qui découvrent ces technologies dans nos universités.