Flux RSS - La vie du site - Nouveautés et mises à jour
Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

Sniffer

Un sniffer ("renifleur", "packet sniffer", "renifleur de paquets", "network analyzer", "protocol analyzer", "Ethernet sniffer", "wireless sniffer", "analyseur de paquets") est un dispositif réseau pour intercepter les "paquets" qui y circulent.

01.01.2012 - Révision 21.08.2020 - Révision mineure 13.05.2022. Auteur : Pierre Pinard.

Les premiers outils qui ont permis aux administrateurs système d'analyser des réseaux informatiques et de localiser un problème avec précision sont les sniffers.

Ces outils sont également utilisés par les hackers pour, dans les mêmes conditions, mais avec une autre finalité, espionner un réseau informatique et capturer les différents types de données, dont les données privées qui y circulent.


Le terme « sniffer » (pluriel « sniffers ») est le nom donné à des dispositifs matériels et/ou logiciels permettant d'analyser les données circulant sur un réseau informatique. Ce terme est le plus populaire, mais est un anglicisme provenant, étymologiquement, du verbe anglais « sniff » (renifler). En anglais, il désigne également le nom commun de la personne qui « sniff » que l'on traduirait en français par « sniffeur ». d'autres termes existent tels que :

  • En anglais - "protocol analyzer", "network analyzer", "packet analyzer", "packet sniffer", "Ethernet sniffer", "wireless sniffer", "traffic analyzer".

  • En français - « renifleur », « renifleur de paquets », « analyseur de réseau », « analyseur de paquets », « analyseur de trafic », « analyseur de protocole ».

Les données circulent, dans un réseau numérique, sous forme de « paquets ». Un sniffer, matériel ou logiciel, permet de capturer (copier) tous les paquets circulant sur un réseau, les lire et, éventuellement, en modifier leurs contenus à la volée. Un sniffer peut donc capturer n'importe quelles informations circulant en clair (non chiffrées/non cryptées) sur un réseau, et révéler des données comme l'identité des utilisateurs (login), leurs mots de passe, des informations de cartes bancaires, des contenus textuels (travaux de chercheurs, avocats, personnages politiques, compagnies d'assurance, hôpitaux, etc.).

Les protocoles en clair (données non chiffrées/non cryptées) sont, par exemple, Telnet, DNS, SMTP, POP3, FTP et HTTP.

Sniffer - Les protocoles vulnérables au sniffing

Administrateurs système
Les premiers outils qui ont permis aux administrateurs système d'analyser des réseaux informatiques et de localiser un problème avec précision sont les sniffers.

Administrateurs réseau
Les administrateurs réseau (Réseau local (LAN « Local area network » - LAN - Local Area Network) ou réseau WAN [réseau étendu sur l'Internet]) utilisent les sniffers pour analyser le trafic du réseau lorsqu'il y a un problème.

Administrateurs sécurité
Les administrateurs sécurité des réseaux peuvent disposer des sniffers dans le LAN (dans les zones militarisées et les zones démilitarisées) lorsqu'il y a une suspicion d'intrusion.

Hackers
Ces outils sont également utilisés par les hackers pour, dans les mêmes conditions, mais avec une autre finalité, espionner un réseau informatique et capturer les différents types de données, dont les données privées, qui y circulent. (Les hackers font la même chose que les divers administrateurs réseau, mais à des fins cybercriminelles.).

Sniffer - Utilisateurs et utilisation des sniffers

La grande majorité des protocoles Internet faisaient transiter les informations de manière non chiffrée. Ainsi, lorsqu'un utilisateur du réseau consulte sa messagerie via le protocole pop ou imap, ou bien ouvre un site Web dont le nom de domaine commence par http, toutes les informations envoyées ou reçues pouvaient être interceptées très simplement (proxy, etc.) et lues en clair. Depuis quelques années (2015), les navigateurs Web, courrielleurs, etc. sont passés ou passent intégralement aux versions sécurisées (chiffrées) de ces mêmes protocoles (https, ftps, smtps, pop3s, imaps, nfsv4, etc.). l'utilisation de protocoles non sécurisés et désormais (2021) considérée comme une faille de sécurité et les navigateurs Web, par exemple, suppriment totalement le protocole ftp qui devient interdit (déjà fait pour Firefox, prévu pour fin 2021 par Chrome...) et systématiquement remplacé par FTPS.

Un utilisateur malveillant muni d'un sniffer peut espionner un réseau et collecter des informations confidentielles des utilisateurs d'un réseau.

  • Lors d'une connexion sur une page Web qui demande une authentification, récupération des logins et mots de passe.

  • Lors d'une consultation de son « serveur de messagerie », récupération des logins et mots de passe.

  • Lors d'une consultation de son compte Facebook, récupération des logins et mots de passe grâce au logiciel Cain & Abel.
    Liste de protocoles que le logiciel Caïn & Abel peut sniffer :

  • Écouter une communication VoIP
    Une personne qui utilise Skype ou autre logiciel VoIP pour téléphoner peut être écoutée par un tiers. La communication peut-être aisément capturée avec le sniffer Caïn.
    Les paquets sont récupérés puis analysés avant d'être enregistrés en format audible WAV.
    Certaines applications comme Skype chiffrent désormais les communications, ce qui rend l'analyse et l'enregistrement WAV beaucoup plus difficile, voire impossible pour obtenir un résultat acceptable.

  • Lire les e-mails des victimes
    Un pirate informatique connecté sur le même réseau que vous peut lire vos e-mails envoyés comme reçus.
    Pour réaliser cette attaque, il suffit d'installer un sniffer permettant la capture des paquets selon des critères de filtrage définis par l'exploitant de l'attaque. Le pirate informatique définit des filtres de sorte que le sniffer ne capture que les paquets dont le port source ou destination est égal à 25. En principe, tout trafic utilisant le port 25 est un trafic correspondant à des courriels. Puisque les données dans les courriels sont en général non cryptées, le pirate peut alors facilement lire le contenu des courriels transitant par le réseau (courriers d'avocats, chercheurs, hôpitaux, banques, députés, ministres, etc.).

Sniffer - Comment espionner un réseau avec un sniffer

Nous avons vu la facilité de réalisation des attaques avec des sniffers. Avec peu de connaissance réseau, un pirate informatique peut facilement mener plusieurs de ces attaques.

Ces exemples démontrent les vulnérabilités liées aux protocoles et services réseaux, notamment le protocole ARP et les services Internet non chiffrés.

La meilleure protection contre les sniffers est d'utiliser des protocoles de communication chiffrés, comme SSH (sftp, scp), SSL (https ou ftps) (et non des protocoles en clair comme http, ftp, telnet).

Sniffer - Comment se protéger d'un sniffer

Une seule solution : utiliser un protocole de communication réseau sécurisé (chiffré, crypté). l'utilisation de protocoles non sécurisés constitue une faille de sécurité.

Les protocoles de communication réseau chiffrés sont SSH (sftp, scp), SSL (https ou ftps), etc. Les protocoles non sécurisés, comme http, ftp et telnet, font circuler les données en clair sur les réseaux.

Les navigateurs Web tentent systématiquement un protocole sécurisé (remplacent à la volée les URLs en http par https, etc., et se replient sur un protocole non sécurisé s'il est impossible d'utiliser un protocole sécurisé (le serveur ne supporte pas la sécurisation, cas des serveurs gratuits, etc.)

Les webmasters sont tous appelés à souscrire à des protocoles sécurisés et, s'ils n'ont pas les moyens financiers de le faire, il existe universellement l'accès à des protocoles sécurisés gratuits (« Let's Encrypt »).

Sniffer - Anti-sniffer # # # # # # # # # # # # # # # # # # # # # # #