L'usurpation est un type spécifique de cyberattaque dans lequel quelqu'un tente d'utiliser un ordinateur, un appareil ou un réseau pour tromper d'autres réseaux informatiques en se faisant passer pour une entité légitime. Il s'agit de l'un des nombreux outils utilisés par les pirates informatiques pour accéder à des ordinateurs afin d'en extraire des données confidentielles, de les transformer en zombies (ordinateurs pris en charge à des fins malveillantes) ou de lancer des attaques par déni de service (DoS). Parmi les différents types d'usurpation, l'usurpation d'adresse IP est la plus courante.
Qu'est-ce que l'usurpation d'adresse IP ?
L'usurpation d'IP, ou usurpation d'adresse IP, désigne la création de paquets de protocole Internet (IP) avec une fausse adresse IP source dans le but de se faire passer pour un autre système informatique. L'usurpation d'adresse IP permet aux cybercriminels de mener des actions malveillantes, souvent sans être détectés. Il peut s'agir de voler vos données, d'infecter votre appareil à l'aide d'un programme malveillant ou de faire planter votre serveur.
Comment fonctionne l'usurpation d'adresse IP ?
Commençons par présenter le contexte : Les données transmises sur Internet sont d'abord divisées en plusieurs paquets, puis ces paquets sont envoyés indépendamment et réassemblés à la fin. Chaque paquet comporte un en-tête IP (Internet Protocol) qui contient des informations relatives au paquet, notamment l'adresse IP source et l'adresse IP de destination.
Dans le cas de l'usurpation d'adresse IP, un pirate informatique utilise des outils pour modifier l'adresse source dans l'en-tête du paquet de manière à ce que le système informatique récepteur pense que le paquet provient d'une source fiable, comme un autre ordinateur sur un réseau légitime, et l'accepte. Cette opération se déroule à l'échelle du réseau, si bien qu'il n'y a aucun signe extérieur d'altération.
Dans les systèmes qui reposent sur des relations de confiance entre les ordinateurs en réseau, l'usurpation d'adresse IP peut être utilisée pour contourner l'authentification de l'adresse IP. Un concept parfois appelé « château fort », selon lequel les utilisateurs extérieurs au réseau sont considérés comme des menaces et ceux qui se trouvent à l'intérieur du « château » comme des utilisateurs de confiance. Une fois qu'un pirate informatique a réussi à pénétrer dans le réseau, il lui est facile d'explorer le système. En raison de cette vulnérabilité, l'utilisation de l'authentification simple comme stratégie de défense est de plus en plus remplacée par des approches de sécurité plus robustes, comme celles qui prévoient une authentification en plusieurs étapes.
Si les cybercriminels utilisent souvent l'usurpation d'adresse IP pour commettre des fraudes en ligne et des usurpations d'identité ou pour couper des sites Web et des serveurs d'entreprise, certaines utilisations peuvent aussi être légitimes. Par exemple, les organisations peuvent utiliser l'usurpation d'adresse IP pour tester des sites Web avant de les mettre en ligne. Il s'agirait de créer des milliers d'utilisateurs virtuels pour tester le site Web et vérifier s'il peut gérer un grand nombre de connexions sans être saturé. L'usurpation d'adresse IP n'est pas illégale lorsqu'elle est utilisée de cette manière.
Types d'usurpation d'adresse IP
Voici les trois formes les plus courantes d'attaques par usurpation d'adresse IP :
Attaques par déni de service distribué (DDoS)
Dans une attaque DDoS, les pirates informatiques utilisent des adresses IP usurpées pour submerger les serveurs informatiques de paquets de données. Cette méthode leur permet de ralentir ou de faire planter un site Web ou un réseau avec des volumes importants de trafic Web tout en dissimulant leur identité.
Masquage des appareils de botnet
L'usurpation d'adresse IP peut être utilisée pour obtenir l'accès à des ordinateurs en masquant des botnets. Un botnet est un réseau d'ordinateurs que les pirates informatiques contrôlent à partir d'une source unique. Chaque ordinateur fait tourner un bot dédié, qui mène des activités malveillantes au nom de l'attaquant. L'usurpation d'adresse IP permet à l'attaquant de masquer le botnet, car chaque bot du réseau dispose d'une adresse IP usurpée, ce qui rend difficile la traçabilité de l'acteur malveillant. Il est ainsi possible de prolonger la durée d'une attaque pour maximiser les gains.
Attaques dites de l'homme du milieu
Une autre méthode malveillante d'usurpation d'adresse IP consiste à utiliser une attaque de type « homme du milieu » dans le but d'interrompre la communication entre deux ordinateurs, de modifier des paquets et de les transmettre à l'insu de l'expéditeur ou du destinataire initial. Si les pirates informatiques usurpent une adresse IP et obtiennent l'accès à des comptes de communication personnels, ils peuvent alors surveiller tous les aspects de cette communication. À partir de là, il leur est possible de voler des informations, de diriger les utilisateurs vers de faux sites Web, etc. Au fil du temps, les pirates informatiques collectent une multitude d'informations confidentielles qu'ils peuvent utiliser ou vendre, ce qui signifie que les attaques de type « homme du milieu » peuvent être plus lucratives que les autres.
Exemples d'usurpation d'adresse IP
L'un des exemples les plus fréquemment cités d'une attaque par usurpation d'adresse IP est l'attaque DDoS de GitHub en 2018. GitHub est une plateforme d'hébergement de code, et en février 2018, elle a été frappée par ce qui était considéré comme la plus grande attaque DDoS jamais réalisée. Les attaquants ont usurpé l'adresse IP de GitHub dans une attaque coordonnée d'une telle ampleur qu'elle a mis le service hors service pendant près de 20 minutes. GitHub a repris le contrôle en réacheminant le trafic par un partenaire intermédiaire et en nettoyant les données pour bloquer les parties malveillantes.
Un précédent exemple a eu lieu en 2015, lorsqu'Europol a été frappé par une attaque de l'homme du milieu à l'échelle du continent. L'attaque a impliqué des pirates informatiques qui se sont mis à intercepter les demandes de paiement entre les entreprises et leurs clients. Les criminels ont utilisé l'usurpation d'adresse IP dans le but d'obtenir un accès frauduleux aux comptes de messagerie des entreprises. Ils ont ensuite espionné les communications et intercepté les demandes de paiement des clients afin de pouvoir inciter ces derniers à envoyer des paiements sur des comptes bancaires qu'ils contrôlaient.
L'usurpation d'adresse IP n'est pas la seule forme d'usurpation de réseau. Il en existe d'autres, notamment l'usurpation de messagerie, l'usurpation de site Web, l'usurpation ARP, l'usurpation de message texte et bien plus encore. Vous pouvez lire le guide complet de Kaspersky concernant les différents types d'usurpation d'identité ici.
Comment détecter une usurpation d'adresse IP ?
Il est difficile pour les utilisateurs finaux de détecter une usurpation d'adresse IP, ce qui la rend si dangereuse. En effet, les attaques par usurpation d'adresse IP sont réalisées au niveau des couches réseau, c'est-à-dire la couche 3 du modèle de communication Open System Interconnection. Il n'y a donc aucun signe extérieur de falsification. Bien souvent, les demandes de connexion usurpées peuvent sembler légitimes de l'extérieur.
Toutefois, les organisations peuvent utiliser des outils de surveillance du réseau pour analyser le trafic au niveau des terminaux. Le filtrage des paquets est le moyen le plus courant d'y parvenir. Les systèmes de filtrage des paquets, qui sont souvent contenus dans les routeurs et les pare-feu, détectent les incohérences entre l'adresse IP du paquet et les adresses IP souhaitées détaillées dans les listes de contrôle d'accès (ACL). Ils détectent également les paquets frauduleux.
Les deux principaux types de filtrage de paquets sont le filtrage à l'entrée et le filtrage à la sortie :
- Le filtrage à l'entrée examine les paquets entrants pour vérifier si l'en-tête IP source correspond à une adresse source autorisée. Tous les paquets qui semblent suspects seront refusés.
- Le filtrage à la sortie examine les paquets sortants pour vérifier les adresses IP sources qui ne correspondent pas à celles du réseau de l'organisation. Cette mesure est destinée à empêcher les utilisateurs internes de lancer des attaques par usurpation d'adresse IP.
Comment se protéger contre une usurpation d'adresse IP ?
Les attaques par usurpation d'adresse IP sont conçues pour dissimuler la véritable identité des attaquants, ce qui rend leur détection difficile. Toutefois, certaines mesures anti-spoofing peuvent être prises pour minimiser les risques. Les utilisateurs finaux ne peuvent pas empêcher l'usurpation d'adresse IP puisque c'est le travail des équipes côté serveur d'empêcher l'usurpation d'adresse IP du mieux qu'elles peuvent.
Protection contre l'usurpation d'adresse IP pour les spécialistes en informatique :
La plupart des stratégies utilisées pour éviter l'usurpation d'adresse IP doivent être développées et déployées par des spécialistes en informatique. Voici les options de protection contre l'usurpation d'adresse IP :
- Surveiller les réseaux à la recherche d'une activité atypique.
- Déployer le filtrage des paquets pour détecter les incohérences (comme les paquets sortants dont les adresses IP sources ne correspondent pas à celles du réseau de l'organisation).
- Utiliser des méthodes de vérification robustes (même entre ordinateurs en réseau).
- Authentifier toutes les adresses IP et utiliser un système de prévention des intrusions.
- Protéger au moins une partie des ressources informatiques à l'aide d'un pare-feu. Un pare-feu vous aidera à protéger votre réseau en filtrant le trafic comportant des adresses IP usurpées, en vérifiant le trafic et en bloquant l'accès aux personnes extérieures non autorisées.
Les créateurs de sites Web sont encouragés à migrer leurs sites vers l'IPv6, le tout dernier protocole Internet. Il rend l'usurpation d'adresse IP plus difficile en incluant des étapes de chiffrement et d'authentification. Une grande partie du trafic Internet mondial utilise encore l'ancien protocole, IPv4.
Protection contre l'usurpation d'adresse IP pour les utilisateurs finaux :
Les utilisateurs finaux ne peuvent pas empêcher l'usurpation d'adresse IP. Cela dit, des mesures en matière de cyberhygiène vous permettront de maximiser votre sécurité en ligne. Voici les précautions à prendre :
Assurez-vous que votre réseau domestique est configuré de façon sécurisée
Cela signifie qu'il faut modifier les noms d'utilisateur et les mots de passe par défaut de votre routeur domestique ainsi que de tous les appareils connectés et veiller à utiliser des mots de passe forts. Un mot de passe fort évite les évidences et contient au moins 12 caractères et un mélange de lettres majuscules et minuscules, de chiffres et de symboles. Vous pouvez lire le guide complet de Kaspersky sur la configuration d'un réseau domestique sûr.
Soyez prudent lorsque vous utilisez un réseau Wi-Fi public
Évitez d'effectuer des transactions, comme des achats ou des opérations bancaires sur des réseaux Wi-Fi publics non sécurisés. Si vous devez utiliser des points d'accès publics, optimisez votre sécurité en utilisant un réseau privé virtuel ou VPN. Un VPN permet de chiffrer votre connexion Internet pour protéger les données privées que vous échangez.
Assurez-vous que les sites Web que vous visitez utilisent le protocole HTTPS
Certains sites Web ne chiffrent pas les données. S'ils ne disposent pas d'un certificat SSL à jour, ils sont plus vulnérables aux attaques. Les sites Web dont l'URL commence par HTTP plutôt que HTTPS ne sont pas sécurisés, ce qui constitue un risque pour les utilisateurs qui partagent des informations sensibles avec ce site. Assurez-vous que vous utilisez des sites Web utilisant le protocole HTTPS et recherchez la présence d'une icône de cadenas dans la barre d'adresse.
Faites attention aux tentatives de phishing
Méfiez-vous des emails de phishing d'attaquants vous invitant à mettre à jour votre mot de passe ou d'autres identifiants de connexion ou les données de votre carte de paiement. Les emails de phishing sont conçus pour donner l'impression qu'ils proviennent d'organisations réputées, mais sont en réalité envoyés par des escrocs. Évitez de cliquer sur les liens ou d'ouvrir les pièces jointes d'emails de phishing.
Utilisez une solution antivirus complète
La meilleure façon de se protéger en ligne est d'utiliser un antivirus de haute qualité qui vous protège contre les pirates informatiques, les virus, les programmes malveillants ainsi que les dernières menaces en ligne. Il est également essentiel de maintenir votre logiciel à jour pour vous assurer qu'il dispose des dernières fonctionnalités de sécurité.
Produits recommandés
- Kaspersky Anti-Virus
- Kaspersky Total Security
- Kaspersky Internet Security
- Kaspersky Password Manager
- Kaspersky Secure Connection
Lecture complémentaire