COMMENT EVITER QU' UN HACKER RECUPERE VOS INFORMATIONS PERSONNELLES (LOGIN, PASSWORD, ...) SUR DES SITES WEB : ATTAQUE PAR HAMEÇONNAGE (PHISHING)

Bonjour,

Aujourd’hui je vais vous montrer comment se protéger des attaques par hameçonnage (Phishing). Mais avant d’entrer dans le vif du sujet :

Qu’est ce que le Phishing ?

L’hameçonnage, ou le Phishing est une technique utilisée par les hackers pour obtenir des renseignements personnels sur une tierce personne, dans le but de perpétrer une usurpation d’identité. Le Phishing consiste à faire croire à une personne qu’elle est connectée sur un site web qu’elle croit légitime et en profite pour lui soutirer des renseignements personnels, comme des mots de passes, numéro de carte bancaire, … la technique est tout aussi efficace sur des sites web de sociétés, des banques, réseaux sociaux, site d'E-commerce, … le phishing repose également sur du « social engineering » (l’ingénierie social).

Maintenant que vous savez ce que c’est que le Phishing, je vais vous montrer comment les hackers s’y prennent pour la réaliser. 

Comment les hackers réalisent t’ils une attaque de Phishing ?

Tout d’abord vous devez savoir que le phishing est une combinaison de plusieurs autres attaques de hacking à savoir : le « ARP spoofing » et le « DNS spoofing ». 

Qu’est ce que le ARP spoofing ?

L’ « ARP spoofing », ou « ARP poisoning » est une technique utilisée par les hackers pour détourner des flux de communications transitant entre une machine cible et un routeur au sein d’un réseau local où le protocol ARP (Address Resolution Protocol) est implémenté. Cette attaque permet au hacker d’observer, modifier ou même supprimer les messages (paquets) envoyés par une machine cible à sa passerelle (le routeur).

Qu’est ce que le DNS spoofing ?

Le DNS spoofing est une technique permettant de faire passer de fausses requêtes à des serveurs DNS (Domain Name Server), qui les exécuteront en pensant qu’elles sont valides, une fois que l’attaque est réussie un hacker peut rediriger un internaute vers un faux site infesté de virus ou encore pour lui usurper des informations personnelles.  

Réalisation d’une attaque de Phishing

Pour vous montrer comment les hackers réalisent ce genre d’attaque, nous allons utiliser l’architecture suivante :

Le contexte est le suivant :

Le réseau est constitué d’un routeur qui est la passerelle (Gateway), d’une machine cible, d’un serveur où est configuré un service DNS et dans lequel est hébergé le site web (www.sparda.dmc) dont la page d’accueil est la suivante :

Dans la topologie vous remarquerez également qu’on retrouve également une machine nommé « hacker », c’est à partir de cette machine que nous lancerons notre attaque de Phishing, dans le but de récupérer les identifiants (nom d’utilisateur et mot de passe) entrer par notre cible.Notre cible à pour adresse IP: 192.168.1.12 comme le montre la capture suivante :

Le serveur web à pour adresse IP 192.168.1.69

Notre hacker est connecté au même réseau et à pour adresse  IP 192.168.1.13

                                              

Lorsque notre cible souhaite se connecter au site web www.sparda.dmc, il lui suffit d’ouvrir son navigateur web et d’entrer l’URL (Uniform Ressource Locator) www.sparda.dmc pour accéder au site. Une fois cela effectué, notre cible entre son nom d’utilisateur et son mot de passe pour avoir accès à sa session de travail (comme pour avoir accès à son compte utilisateur sur un réseau social comme facebook, son compte de messagerie gmail par exemple, son compte bancaire en ligne, …).

Au niveau de « l’invite de commande » de notre cible lorsqu’on effectue un « Ping » suivi de l’url du site on constate bien que c’est le serveur web (192.168.1.69) qui répond à sa requête :

Débutons dès lors notre attaque ; 

Sur notre machine « Hacker » nous allons tout d’abord créer notre fausse page d’authentification où notre cible va entrer ses informations personnelles en pensant qu’il est bien sur le site www.sparda.dmc alors qu’en fait il se trouve sur la fausse page créer par le hacker. Pour ce faire nous allons utiliser l’outil SET (Social Engineering Toolkit), qui permet de réaliser plusieurs attaques utilisant des méthodes d’ingénierie social, grâce à cet outil on peut « cloner » toute sorte de site par exemple ci-dessous une page d’authentification légitime de facebook et une fausse page d’authentification facebook : 

Page d’authentification authentique

Fausse page d’authentification

Vous constaterez que ces deux pages sont tout à fait identiques sauf au niveau de la barre d’adresse, tout utilisateur peut vigilent se ferait facilement avoir.

Lançons notre outil SET :

Ensuite nous choisissons la première option : « Social-Engineering Attacks », pour démarrer le clonage du site web que l’on souhaite :

Puis l’option « Website Attack vectors » :

Après on choisit l’option « Credential Harvester Attack Method » :

Puis on choisit l’option « Site Cloner », comme indiqué sur la capture suivante :

Enfin nous entrons l’adresse IP de notre machine « Hacker » et l’adresse URL du site que l’on souhaite cloner :

Notre fausse page d’authentification est ainsi mis en place, mais nous sommes loin d’avoir terminé notre attaque, poursuivons maintenant avec les attaques de « ARP spoofing » et de « DNS spoofing ».

Tout d’abord nous démarrons notre terminal et entrons la commande suivante :

Ensuite on ouvre le fichier « etter.dns », avec l’éditeur « nano » :

On ajoute dans notre fichier « etter.dns », des lignes de codes qui nous seront nécessaires pour rediriger notre cible qui souhaite se connecter au site www.sparda.dmc vers notre fausse page d’authentification, comme vous le voyez dans la capture ci-dessous :

Ensuite on lance l’outil « ettercap » :

Une fois arrivé sur l’interface graphique d’ « ettercap », nous choisissons l’option « Sniff » et « Unified sniffing »

Ensuite on indique l’interface connecté au réseau de la machine qui perpétue l’attaque : 

Une fois l’interface choisie on effectue un scan de tous les hôtes connectés au réseau en sélectionnant l’option « Scan for hosts » puis on affiche le résultat obtenue du scan avec l’option « Hosts list »

Une fois ayant la liste de tous les hôtes connectés au réseau, on insère l’adresse de la passerelle et celle de notre cible dans des rubriques « Add to Target » différentes : 

Puis on lance un empoisonnement de cache ARP (ARP spoofing) :

Nous avons définit tous les paramètres pour effectuer notre attaque de ARP spoofing, complétons les avec des paramètres pour lancer notre attaque de DNS spoofing :

Pour ce faire on sélectionne l’option « Manage the plugins » et on choisit l’option « dns_spoofing »

Enfin pour que nos attaques de « ARP spoofing » et de « DNS spoofing » soient effectives, on sélectionne l’option « Start » et on choisit « Start sniffing » :  

Pour obtenir les mêmes résultats que ceux obtenues avec toutes les configurations effectuées précédemment sur l’interface graphique d’ « ettercap », vous pouvez vous contenter de taper simplement la commande suivante :

Tout est désormais en place pour lancer notre attaque d’Hameçonnage (Phishing).

(ps : il ne nous suffit plus que d’attendre que notre cible se reconnecte au réseau ou tout autre utilisateur se connecte au réseau local.) 

Si l’on effectue à nouveau un « Ping » suivie de l’URL du site www.sparda.dmc, on constate à présent que c’est la machine du hacker qui répond aux requêtes envoyées par le client (notre cible) à la place du serveur web normalement ;

Nous venons de réaliser simultanément une attaque de « DNS spoofing » et de « ARP spoofing ». Le hacker est à présent capable d’intercepter tous les flux transitant entre la cible et le serveur web. 

(ps : c’est le principe même d’une des attaques les plus populaire dans le domaine du Hacking : le MITM (Man In The Middle), l’attaque de l’homme du milieu.)

Lorsque la cible essaye à nouveau de se connecter sur le site www.sparda.dmc en tapant l’URL dans son navigateur web au niveau de la barre d’adresse, la page d’authentification qui est retourné à la cible n’est pas la page d’authentification légitime envoyée par le serveur web mais plutôt celle de la fausse page générée précédemment par le hacker grâce à l’outil SET.

Dès que la cible a « mordue à l’hameçon », le hacker à une notification au niveau du terminal du SET

Une fois que la victime est connectée à son insu sur notre fausse page d’authentification, si elle entre ses identifiants (nom d’utilisateur et mot de passe) comme elle a l’habitude de le faire,

Au lieu d’être redirigé vers son compte comme d’habitude, la cible sera plutôt redirigée une fois de plus vers la fausse page d’authentification :

Dès lors la cible va se dire que peut-être elle n’a pas entré les identifiants correctement ou alors soupçonné qu’elle vient de se faire hacker, quoi qu’il en soit le mal sera déjà fait car le hacker aura déjà récupérer les identifiants de sa victime, comme vous pouvez le voir sur la capture suivante :

Nous venons de réaliser avec succès un Hameçonnage ou Phishing, nous sommes à présent à disposition du mot de passe et du nom d’utilisateur de notre victime, le hacker pourra désormais se connecter au compte utilisateur de sa victime et y faire tout ce qu’il voudra. Cette attaque est très efficace et beaucoup de personnes se sont fait voler leurs informations personnelles de cette manière.

Comment se protéger du Phishing ?

Pour se prémunir des attaques par Hameçonnage (Phishing) vous pouvez :

  1-     Vérifier soigneusement l’orthographe de l’adresse web dans la barre d’adresse du navigateur web. du site que vous consultez ;

     2-     Ecrire manuellement l’adresse URL du site web que vous souhaitez visiter  directement dans la barre d’adresse de votre navigateur web ;

     3-     Vérifiez que la page où on vous demande de saisir une ou plusieurs informations personnelles tel que votre mot de passe ou votre login est sur une page utilisant le protocole HTTPS (HyperText Transfer Protocol Secure)

     4- Vérifier que le certificat électronique envoyé par le site web que vous consultez est un certificat valide :

A présent vous savez comment les hackers font pour récupérer des informations personnelles sur des internautes, grâce à la technique de l’Hameçonnage (Phishing) et surtout comment vous protéger de cette attaque.

Merci d’avoir suivi le tutoriel jusqu’au bout.

A très bientôt !!!