Bonjour,
Aujourd’hui je vais vous montrer comment se protéger
des attaques par hameçonnage (Phishing). Mais avant d’entrer dans le vif du
sujet :
Qu’est ce que le Phishing ?
L’hameçonnage, ou le Phishing est une technique
utilisée par les hackers pour obtenir des renseignements personnels sur une
tierce personne, dans le but de perpétrer une usurpation d’identité. Le
Phishing consiste à faire croire à une personne qu’elle est connectée sur un
site web qu’elle croit légitime et en profite pour lui soutirer des
renseignements personnels, comme des mots de passes, numéro de carte bancaire,
… la technique est tout aussi efficace sur des sites web de sociétés, des
banques, réseaux sociaux, site d'E-commerce, … le phishing repose également sur
du « social engineering » (l’ingénierie social).
Maintenant que vous savez ce que c’est que le
Phishing, je vais vous montrer comment les hackers s’y prennent pour la
réaliser.
Comment les hackers réalisent t’ils
une attaque de Phishing ?
Tout d’abord vous devez savoir que le phishing est
une combinaison de plusieurs autres attaques de hacking à savoir : le
« ARP spoofing » et le « DNS spoofing ».
Qu’est ce que le ARP spoofing ?
L’ « ARP spoofing », ou « ARP
poisoning » est une technique utilisée par les hackers pour détourner des
flux de communications transitant entre une machine cible et un routeur au sein
d’un réseau local où le protocol ARP (Address Resolution Protocol) est
implémenté. Cette attaque permet au hacker d’observer, modifier ou même
supprimer les messages (paquets) envoyés par une machine cible à sa passerelle
(le routeur).
Qu’est ce que le DNS spoofing ?
Le DNS spoofing est une technique permettant de
faire passer de fausses requêtes à des serveurs DNS (Domain Name Server), qui
les exécuteront en pensant qu’elles sont valides, une fois que l’attaque est
réussie un hacker peut rediriger un internaute vers un faux site infesté de
virus ou encore pour lui usurper des informations personnelles.
Réalisation d’une attaque de Phishing
Pour vous montrer comment les hackers réalisent ce
genre d’attaque, nous allons utiliser l’architecture suivante :
Le contexte est le suivant :
Le réseau est constitué d’un routeur qui est la
passerelle (Gateway), d’une machine cible, d’un serveur où est configuré un
service DNS et dans lequel est hébergé le site web (www.sparda.dmc)
dont la page d’accueil est la suivante :
Dans la topologie vous remarquerez également qu’on
retrouve également une machine nommé « hacker », c’est à partir de
cette machine que nous lancerons notre attaque de Phishing, dans le but de
récupérer les identifiants (nom d’utilisateur et mot de passe) entrer par notre
cible.Notre
cible à pour adresse IP: 192.168.1.12 comme le montre la capture
suivante :
Lorsque notre cible souhaite se connecter au site
web www.sparda.dmc,
il lui suffit d’ouvrir son navigateur web et d’entrer l’URL (Uniform Ressource
Locator) www.sparda.dmc
pour accéder au site. Une fois cela effectué, notre cible entre son nom
d’utilisateur et son mot de passe pour avoir accès à sa session de travail
(comme pour avoir accès à son compte utilisateur sur un réseau social comme
facebook, son compte de messagerie gmail par exemple, son compte bancaire en
ligne, …).
Au niveau de « l’invite de commande » de
notre cible lorsqu’on effectue un « Ping » suivi de l’url du site on
constate bien que c’est le serveur web (192.168.1.69) qui répond à sa requête :
Débutons dès lors notre attaque ;
Sur notre machine « Hacker » nous allons
tout d’abord créer notre fausse page d’authentification où notre cible va
entrer ses informations personnelles en pensant qu’il est bien sur le site www.sparda.dmc
alors qu’en fait il se trouve sur la fausse page créer par le hacker. Pour ce
faire nous allons utiliser l’outil SET (Social Engineering Toolkit), qui permet
de réaliser plusieurs attaques utilisant des méthodes d’ingénierie social, grâce
à cet outil on peut « cloner » toute sorte de site par exemple
ci-dessous une page d’authentification légitime de facebook et une fausse page
d’authentification facebook :
Page
d’authentification authentique
Fausse
page d’authentification
Vous constaterez que ces deux pages sont tout à fait
identiques sauf au niveau de la barre d’adresse, tout utilisateur peut vigilent
se ferait facilement avoir.
Lançons notre outil SET :
Ensuite nous choisissons la première option :
« Social-Engineering Attacks », pour démarrer le clonage du site web
que l’on souhaite :
Enfin nous entrons l’adresse IP de notre machine
« Hacker » et l’adresse URL du site que l’on souhaite cloner :
Notre fausse page d’authentification est ainsi mis
en place, mais nous sommes loin d’avoir terminé notre attaque, poursuivons
maintenant avec les attaques de « ARP spoofing » et de « DNS
spoofing ».
On ajoute dans notre fichier
« etter.dns », des lignes de codes qui nous seront nécessaires pour
rediriger notre cible qui souhaite se connecter au site www.sparda.dmc vers
notre fausse page d’authentification, comme vous le voyez dans la capture
ci-dessous :
Une fois arrivé sur l’interface graphique
d’ « ettercap », nous choisissons l’option « Sniff »
et « Unified sniffing »
Une fois l’interface choisie on effectue un scan de
tous les hôtes connectés au réseau en sélectionnant l’option « Scan for
hosts » puis on affiche le résultat obtenue du scan avec l’option
« Hosts list »
Une fois ayant la liste de tous les hôtes connectés
au réseau, on insère l’adresse de la passerelle et celle de notre cible dans
des rubriques « Add to Target » différentes :
Nous avons définit tous les paramètres pour
effectuer notre attaque de ARP spoofing, complétons les avec des paramètres
pour lancer notre attaque de DNS spoofing :
Pour ce faire on sélectionne l’option « Manage
the plugins » et on choisit l’option « dns_spoofing »
Enfin pour que nos attaques de « ARP
spoofing » et de « DNS spoofing » soient effectives, on
sélectionne l’option « Start » et on choisit « Start
sniffing » :
Pour obtenir les mêmes résultats que ceux obtenues avec toutes les configurations effectuées précédemment sur l’interface graphique d’ « ettercap », vous pouvez vous contenter de taper simplement la commande suivante :
Tout est désormais en place pour lancer notre
attaque d’Hameçonnage (Phishing).
(ps : il ne nous suffit plus que
d’attendre que notre cible se reconnecte au réseau ou tout autre utilisateur se
connecte au réseau local.)
Si l’on effectue à nouveau un « Ping »
suivie de l’URL du site www.sparda.dmc,
on constate à présent que c’est la machine du hacker qui répond aux requêtes
envoyées par le client (notre cible) à la place du serveur web
normalement ;
Nous venons de réaliser simultanément une attaque de
« DNS spoofing » et de « ARP spoofing ». Le hacker est à
présent capable d’intercepter tous les flux transitant entre la cible et le
serveur web.
(ps : c’est le principe même d’une
des attaques les plus populaire dans le domaine du Hacking : le MITM (Man
In The Middle), l’attaque de l’homme du milieu.)
Lorsque la cible essaye à nouveau de se connecter
sur le site www.sparda.dmc
en tapant l’URL dans son navigateur web au niveau de la barre d’adresse, la
page d’authentification qui est retourné à la cible n’est pas la page
d’authentification légitime envoyée par le serveur web mais plutôt celle de la
fausse page générée précédemment par le hacker grâce à l’outil SET.
Dès que la cible a « mordue à l’hameçon »,
le hacker à une notification au niveau du terminal du SET
Une fois que la victime est connectée à son insu sur
notre fausse page d’authentification, si elle entre ses identifiants (nom
d’utilisateur et mot de passe) comme elle a l’habitude de le faire,
Au lieu d’être redirigé vers son compte comme
d’habitude, la cible sera plutôt redirigée une fois de plus vers la fausse page
d’authentification :
Dès lors la cible va se dire que peut-être elle n’a
pas entré les identifiants correctement ou alors soupçonné qu’elle vient de se
faire hacker, quoi qu’il en soit le mal sera déjà fait car le hacker aura déjà
récupérer les identifiants de sa victime, comme vous pouvez le voir sur la
capture suivante :
Nous venons de réaliser avec succès un Hameçonnage
ou Phishing, nous sommes à présent à disposition du mot de passe et du nom
d’utilisateur de notre victime, le hacker pourra désormais se connecter au
compte utilisateur de sa victime et y faire tout ce qu’il voudra. Cette attaque
est très efficace et beaucoup de personnes se sont fait voler leurs
informations personnelles de cette manière.
Comment se protéger du Phishing ?
Pour se prémunir des attaques par Hameçonnage
(Phishing) vous pouvez :
1- Vérifier soigneusement l’orthographe de l’adresse web dans la barre d’adresse du navigateur web. du site que vous consultez ;
2- Ecrire
manuellement l’adresse URL du site web que vous souhaitez visiter
directement dans la barre d’adresse de votre navigateur web ;
3- Vérifiez
que la page où on vous demande de saisir une ou plusieurs informations
personnelles tel que votre mot de passe ou votre login est sur une page
utilisant le protocole HTTPS (HyperText Transfer Protocol Secure)
4- Vérifier
que le certificat électronique envoyé par le site web que vous consultez est un
certificat valide :
A présent vous savez comment les hackers font pour
récupérer des informations personnelles sur des internautes, grâce à la
technique de l’Hameçonnage (Phishing) et surtout comment vous protéger de cette
attaque.
Merci d’avoir suivi le tutoriel jusqu’au bout.
A très bientôt !!!
merci pour le tuto , mais cette technique est-elle fiable a 100%?
RépondreSupprimervous parlez de la fiabilité de l'attaque par PHISHING ou alors des méthodes pour s'en protéger ?
RépondreSupprimerL'attaque que tu as fait dans ton tutoriel est compliqué pour un novice; pourtant tu pourrais faire simple. On dirait que tu as chevauché et répété les étapes. STP essaye de revoir cela. Aussi ta solution de sécurité n'est pas optimale...
RépondreSupprimer