Un renifleur de paquets (également connu sous le nom d'analyseur de paquets, d'analyseur de protocole ou d'analyseur de réseau) est un matériel ou un logiciel utilisé pour surveiller le trafic sur le réseau. Les renifleurs examinent les flux de paquets de données qui circulent entre les ordinateurs d'un réseau, ainsi qu'entre les ordinateurs en réseau et Internet au sens large. Ces paquets sont destinés et adressés à des machines spécifiques, mais l'utilisation d'un renifleur de paquets en « mode de proximité » permet aux professionnels de l'informatique, aux utilisateurs finaux ou aux intrus malveillants d'examiner n'importe quel paquet, quelle que soit sa destination. Il est possible de configurer les renifleurs de deux manières. La première est « non filtrée », qui permet de capturer tous les paquets possibles et de les enregistrer sur un disque dur local pour un examen ultérieur. Vient ensuite le mode « filtré », qui permet aux analyseurs de ne capturer que les paquets contenant des éléments de données spécifiques.
Les renifleurs de paquets peuvent être utilisés sur des réseaux câblés et sans fil – leur efficacité dépend de ce qu'ils sont capables de « voir » grâce aux protocoles de sécurité du réseau. Sur un réseau câblé, les renifleurs peuvent avoir accès aux paquets de chaque machine connectée ou être limités par l'emplacement des commutateurs du réseau. Sur un réseau sans fil, la plupart des renifleurs ne peuvent analyser qu'un seul canal à la fois, mais l'utilisation de plusieurs interfaces sans fil permet d'étendre cette capacité.
Prévalence et facteurs de risque
En utilisant un renifleur, il est possible de capturer presque n'importe quelle information, par exemple, les sites Internet qu'un utilisateur visite, ce qu'il consulte sur le site, le contenu et la destination d'un email, ainsi que des détails sur les fichiers téléchargés. Les analyseurs de protocole sont souvent utilisés par les entreprises pour suivre l'utilisation du réseau par les employés et font également partie de nombreux logiciels antivirus réputés. Les renifleurs orientés vers l'extérieur analysent le trafic réseau entrant à la recherche d'éléments spécifiques de code malveillant, ce qui contribue à prévenir les infections par virus informatiques et à limiter la propagation des programmes malveillants.
Il convient toutefois de noter que ces analyseurs peuvent également être utilisés à des fins malveillantes. Si un utilisateur est convaincu de télécharger des pièces jointes contenant des programmes malveillants ou des fichiers infectés à partir d'un site Internet, il est possible qu'un renifleur de paquets non autorisé soit installé sur un réseau d'entreprise. Une fois en place, le renifleur de paquets peut enregistrer toutes les données transmises et les envoyer à un serveur de commande et de contrôle (C&C) pour une analyse plus approfondie. Il est alors possible pour les pirates informatiques de tenter des attaques par injection de paquets ou des attaques de l'homme du milieu, ainsi que de compromettre toutes les données qui n'ont pas été chiffrées avant d'être envoyées.
Une utilisation adéquate des renifleurs de paquets peut contribuer à nettoyer le trafic réseau et à limiter les infections par des programmes malveillants. Pour se protéger contre une utilisation malveillante, il faut toutefois disposer d'un logiciel de sécurité intelligent.
