Sniffer de protocole

Les données circulent, dans un réseau numérique, sous forme de « paquets ». Un sniffer, matériel ou logiciel, permet de capturer (copier) tous les paquets circulant sur un réseau, les lire et, éventuellement, en modifier leurs contenus à la volée. Un sniffer peut donc capturer n'importe quelles informations circulant en clair (non chiffrées/non cryptées) sur un réseau, et révéler des données comme l'identité des utilisateurs (login), leurs mots de passe, des informations de cartes bancaires, des contenus textuels (travaux de chercheurs, avocats, personnages politiques, compagnies d'assurance, hôpitaux, etc.).

Les protocoles en clair (données non chiffrées/non cryptées) sont, par exemple, Telnet, DNS, SMTP, POP3, FTP et HTTP.

Administrateurs système
Les premiers outils qui ont permis aux administrateurs système d'analyser des réseaux informatiques et de localiser un problème avec précision sont les sniffers.

Administrateurs réseau
Les administrateurs réseau (Réseau local (LAN « Local area network » - LAN - Local Area Network) ou réseau WAN [réseau étendu sur l'Internet]) utilisent les sniffers pour analyser le trafic du réseau lorsqu'il y a un problème.

Administrateurs sécurité
Les administrateurs sécurité des réseaux peuvent disposer des sniffers dans le LAN (dans les zones militarisées et les zones démilitarisées) lorsqu'il y a une suspicion d'intrusion.

Hackers
Ces outils sont également utilisés par les hackers pour, dans les mêmes conditions, mais avec une autre finalité, espionner un réseau informatique et capturer les différents types de données, dont les données privées, qui y circulent. (Les hackers font la même chose que les divers administrateurs réseau, mais à des fins cybercriminelles.).

La grande majorité des protocoles Internet faisaient transiter les informations de manière non chiffrée. Ainsi, lorsqu'un utilisateur du réseau consulte sa messagerie via le protocole pop ou imap, ou bien ouvre un site Web dont le nom de domaine commence par http, toutes les informations envoyées ou reçues pouvaient être interceptées très simplement (proxy, etc.) et lues en clair. Depuis quelques années (2015), les navigateurs Web, courrielleurs, etc. sont passés ou passent intégralement aux versions sécurisées (chiffrées) de ces mêmes protocoles (https, ftps, smtps, pop3s, imaps, nfsv4, etc.). l'utilisation de protocoles non sécurisés et désormais (2021) considérée comme une faille de sécurité et les navigateurs Web, par exemple, suppriment totalement le protocole ftp qui devient interdit (déjà fait pour Firefox, prévu pour fin 2021 par Chrome...) et systématiquement remplacé par FTPS.

Un utilisateur malveillant muni d'un sniffer peut espionner un réseau et collecter des informations confidentielles des utilisateurs d'un réseau.

• Lors d'une connexion sur une page Web qui demande une authentification, récupération des logins et mots de passe.

• Lors d'une consultation de son « serveur de messagerie », récupération des logins et mots de passe.

• Lors d'une consultation de son compte Facebook, récupération des logins et mots de passe grâce au logiciel Cain & Abel.
  Liste de protocoles que le logiciel Caïn & Abel peut sniffer :

• Écouter une communication VoIP
  Une personne qui utilise Skype ou autre logiciel VoIP pour téléphoner peut être écoutée par un tiers. La communication peut-être aisément capturée avec le sniffer Caïn.
  Les paquets sont récupérés puis analysés avant d'être enregistrés en format audible WAV.
  Certaines applications comme Skype chiffrent désormais les communications, ce qui rend l'analyse et l'enregistrement WAV beaucoup plus difficile, voire impossible pour obtenir un résultat acceptable.

• Lire les e-mails des victimes
  Un pirate informatique connecté sur le même réseau que vous peut lire vos e-mails envoyés comme reçus.
  Pour réaliser cette attaque, il suffit d'installer un sniffer permettant la capture des paquets selon des critères de filtrage définis par l'exploitant de l'attaque. Le pirate informatique définit des filtres de sorte que le sniffer ne capture que les paquets dont le port source ou destination est égal à 25. En principe, tout trafic utilisant le port 25 est un trafic correspondant à des courriels. Puisque les données dans les courriels sont en général non cryptées, le pirate peut alors facilement lire le contenu des courriels transitant par le réseau (courriers d'avocats, chercheurs, hôpitaux, banques, députés, ministres, etc.).

Nous avons vu la facilité de réalisation des attaques avec des sniffers. Avec peu de connaissance réseau, un pirate informatique peut facilement mener plusieurs de ces attaques.

Ces exemples démontrent les vulnérabilités liées aux protocoles et services réseaux, notamment le protocole ARP et les services Internet non chiffrés.

La meilleure protection contre les sniffers est d'utiliser des protocoles de communication chiffrés, comme SSH (sftp, scp), SSL (https ou ftps) (et non des protocoles en clair comme http, ftp, telnet).

Une seule solution : utiliser un protocole de communication réseau sécurisé (chiffré, crypté). l'utilisation de protocoles non sécurisés constitue une faille de sécurité.

Les protocoles de communication réseau chiffrés sont SSH (sftp, scp), SSL (https ou ftps), etc. Les protocoles non sécurisés, comme http, ftp et telnet, font circuler les données en clair sur les réseaux.

Les navigateurs Web tentent systématiquement un protocole sécurisé (remplacent à la volée les URLs en http par https, etc., et se replient sur un protocole non sécurisé s'il est impossible d'utiliser un protocole sécurisé (le serveur ne supporte pas la sécurisation, cas des serveurs gratuits, etc.)

Les webmasters sont tous appelés à souscrire à des protocoles sécurisés et, s'ils n'ont pas les moyens financiers de le faire, il existe universellement l'accès à des protocoles sécurisés gratuits (« Let's Encrypt »).