Quelle utilité de sécuriser à outrance votre infrastructure Domino s'il existe une faille béante au niveau réseau ? Même si la gestion du réseau ne vous incombe pas directement, vous vous devez de faire quelques vérifications de bases. Après tout si le "vol" de plusieurs mots de passe utilisateur est avéré qui viendra-t-on voir en premier ?

La lecture de cet article va vous prendre 10 minutes mais elle peut vous éviter bien des ennuis par la suite…


Je vais vous parler et vous montrer comment mettre en application l’ARP Spoofing. Pour ceux qui connaissent déjà le principe du spoofing arp vous pouvez passer au chapitre "Cain et ces copains" pour les autres voici une petite explication :

L'ARP Spoofing en quelques mots

Le protocole ARP (Address Resolution Protocol) implémente le mécanisme de résolution d'une adresse IP en une adresse MAC Ethernet. Les équipements réseaux communiquent en échangeant des trames Ethernet (dans le cas d'un réseau Ethernet bien sûr) au niveau de la couche liaison de données. Pour pouvoir échanger ces informations il est nécessaire que les cartes réseau possèdent une adresse unique au niveau Ethernet, il s'agit de l'adresse MAC (Media Access Control).

Quand un paquet IP doit être envoyé la machine expéditrice a besoin de l'adresse MAC du destinataire. Pour cela une requête ARP en broadcast est envoyée à chacune des machines du réseau physique local. Cette requête pose la question : "Quelle est l'adresse MAC associée à cette adresse IP ?". La machine ayant cette adresse IP répond via un paquet ARP, cette réponse indiquant à la machine émettrice l'adresse MAC recherchée. Dés lors, la machine source possède l'adresse MAC correspondant à l'adresse IP destination des paquets qu'elle doit envoyer. Cette correspondance sera gardée pendant un certain temps au niveau d'un cache (pour éviter de faire une nouvelle requête à chaque paquet IP envoyé).

Cette attaque corrompt le cache de la machine victime. Le pirate envoie des paquets ARP réponse à la machine cible indiquant que la nouvelle adresse MAC correspondant à l'adresse IP d'une passerelle ou d’un proxy (par exemple) est la sienne. La machine du pirate recevra donc tout le trafic à destination de la passerelle, il lui suffira alors d'écouter passivement le trafic (et/ou le modifier). Il routera ensuite les paquets vers la véritable destination.

L'ARP Spoofing sert dans le cas où le réseau local utilise des switchs. Ceux-ci redirigent les trames Ethernet sur des ports différents selon l'adresse MAC. Il est dés lors impossible à un sniffer de capturer des trames au-delà de son brin physique. L'ARP Spoofing permet ainsi d'écouter le trafic entre des machines situées sur des brins différents au niveau du switch.

Tout ça paraît bien technique mais ce type d’attaque n’est pas réservé aux ceintures noires en réseau, loin de là. Il existe maintenant des applications qui permettent de faire tout ceci les doigts dans le nez et met en danger votre réseau.

"Cain et ses copains"

Parmi les plus complet des utilitaires de hack, j’ai nommé Cain. Cet utilitaire est le couteau suisse des hackers de base. Il fait pratiquement tout mais la fonctionnalité qui nous intéresse et la plus dangereuse c’est l’arp spoofing.

Mini tutorial de l’installation et du paramétrage de Cain :

On télécharge Cain.

On l’installe Cain et on valide l’installation de wincap.

Une foi l'intallation effectuée, l’icône de Cain apparaît maintenant sur votre bureau.

Lancez Cain. Dés la première ouverture on peut se rendre compte des multitudes de fonctionnalités que possède Cain.



On va tout d’abord voir si votre réseau est protégé ou non contre les attaques par arp spoofing.

1. Placez vous sur l’onglet Sniffer
2. Activez le sniffer
3. Appuyez sur Ajouter



La popup du scanner d’adresse MAC apparaît. Ici vous pouvez spécifier si vous voulez scanner tout votre sous réseau ou bien spécifier un range d’adresse ip. Les options complémentaires concernent les tests d’arp. Pour le premier scan ne saisissez pas ces options de test car elles sont relativement longues à effectuer.



Validez le scan et vous verrez toutes les machines de votre réseau apparaître.

Maintenant le grand test. Appuyez de nouveau sur ajouter, sélectionnez range et saisissez l’adresse de votre proxy ou d’une passerelle et cochez « all test ». Validez et attendez que Cain termine ses tests.
Le résultat s’affiche en bout de ligne. Si vous avez ne serait-ce qu’une étoile dans les cases suivantes, vous pouvez commencer à trembler car votre réseau est bel et bien sensible aux attaques ARP spoofing.



Il est temps d’avertir votre administrateur réseau de cette faille. S’il ne vous crois pas ou s’il met en doute ce que vous lui dite faite lui alors la démonstration suivante :

Cliquez sur configuration.



Une popup apparaît. Sélectionnez l’onglet APR et entrez une spoofed ip (une adresse qui n’existe pas bien sûr). Tout ceci pour éviter d’être repéré sur le réseau. Validez vos modifications. Placez vous sur l’onglet (en bas) APR.



Appuyez sur la croix bleue (add to list). Une popup apparaît dans la liste de gauche choisissez l’adresse IP de votre adminisrateur réseau et dans la fenêtre de droite votre proxy ou votre passerelle pour internet. Validez et appuyez sur le bouton jaune (start / stop APR). Vous venez d’activez l’arp spoofing entre lui et le proxy.

Maintenant Cain analyse tout ce que fait votre administrateur sur internet. C’est le moment de lui téléphoner et de lui demander de ce connecter à son webmail préféré (www.laposte.net par exemple). Attendez qu’il saisisse son login et son mot de passe. Une foi chose faite cliquez sur l’onglet Password (en bas) et sélectionnez http.



Et là surprise des surprises son mot de passe apparaît (en général le prénom d’un de ses enfants ou alors de son chien…).

Tout ceci pour vous montrer la facilité avec laquelle on peut obtenir les différents mots de passe de vos utilisateurs même en ayant une sécurité Domino béton.

1. Steph  15/04/2005 14:25:24

Article TRES interessant !
On a envie de le télécharger rien que pour faire mumuse avec ...

---

2. Franck  09/06/2005 12:00:00

j'ai connu domlike.net au travers d'un forum domino area,
je jette un coup d'oeil, et je dois avouer que je suis comme Steph, bleuffé ! très intéressant, continuez !

A+

FM

---

3. Benoit  30/01/2006 17:34:53

Excellent article.
Je vais télécharger le soft et faire ce fameux test...
Ma boite est justement en train de paranoïser sur la sécurité...

---

4. kevung  02/01/2007 16:33:35

je connaissais Cain pour l'avoir beaucoup utiliser!!! ^^
Je trouve ce petit tuto tres instructif...
Si vous pouviez en faire un tuto complet sur lui serait tres tres intéressant

merci d'avance!!!!

super ^^

---

5. Chak  30/01/2007 17:27:00

Un tuto complet dans la lignée de celui ci serait vraiment.... génialissime
Tres Tres Tres bonne continuation

---

6. Nizou  22/04/2007 01:23:48

La question est comment faire pour bloquer ceci ? Car oui j'ai testé chez moi et l'arp Spoofing marche tres bien. J'ai testé uniquement part Connexion filaire mais j'ai bien peur qu'en wifi cela marche aussi. ça fait quand meme bisar de voir ses propres mot de passe afficher :p

---

7. Nizou   23/04/2007 13:19:56

Bon precision alors en Wifi ça ne marche pas ^^ d'un côté sa rassure. Sinon avec internet explorer 7, on a un petit "pluh" l'anti Hamçonage (la petite barre verte qui se remplie en bas de la page) si il ya une croix rouge dessus c'est que quelqu'un est entrain de vous fair le Arf spoofing ^^ A bon entendeur salut :)

---

8. Stefane  18/05/2007 17:46:34

a quoi sert le mode Promiscuous mode ????

---

9. MoZ  28/06/2007 01:36:46

Bluffant, en attente d'un autre tuto!!^^

---

10. spearhead  29/06/2007 17:19:27

Stefane > Dans la logiques des choses une carte réseau ne prend en compte que les paquets qui lui sont adressés, le Promiscuous mode permet qu'elle les "écoute" tous.

Tutoriel trés intéréssant... pour l'avoir testé, je vous confirme cependant que l'arp spoofing fonctionne également en Wifi =)

Voici quelques solutions qui me viennent a l'esprit pour se prémunir de cette attaque, mais toutes assez lourde a mettre en oeuvre dans le cadre d'un petit réseau :
- associer en dur les couples IP/MAC (contraignant mais efficace)
- utiliser les VLAN afin d'effectuer une segmentation logique du réseau

Pour limiter les dégats :
- utiliser une version sécurisée de toute les applications présentant un risque potentiel (pop,ftp)
- surveiller les changements d'adresse MAC a l'aide de solutions prévues a cet effet

---

11. wini  31/07/2007 19:43:00

le lien de "cain" est mort ...svp avez vous un autre lien qui marche ...j'ai un probléme sur ma network lan !!

---

12. wini  31/07/2007 20:11:59

ok ..j'ai trouvé un lien et ca marche ..
jolie site ^^

---

13. xavier  05/09/2007 17:31:56

merci pour ce petit programme mais je ne comprends pas comment récupérer le mot de passe à la fin ... si quelqun pouvait m'aider en m'expliquan avec un commentaire ce serait simpas^^ merci d'avance !

---

14. Laurent  27/09/2007 14:47:48

Trés intéressant.
Mais je pense que ça permet pas de craquer un client notes
Est ce que ça fonctionne si https ?

---

15. NiCoX  19/10/2007 09:10:56

Salut spearhead,
Pourai-tu nous donner la methode que tu as utilisé pour faire de l'arp spoof avec du wifi ? Chez moi avec mon petit reseau de 3 postes cela ne fonctionne pas, par contre fonctionne tres bien en filaire.
Pour info:
carte du wifi du portable: ip2200
Routeur/switch: netgear DG834DG
J'ai aussi une clé usb wifi DLINK DWL-G122 (certain comprendront à quoi elle me sert) que je n'est pas testé avec Cain.

Bonne route à tous le monde.

NiCoX

---

16. Nico  14/01/2008 16:05:31

Bonjour,
Avec la derniere version de cain, je ne peux pas ajouter une nouvelle entrée pour essayer l'apr, quelqu'un a reussi ?
merci

---

17. caule  19/02/2008 18:37:15

j'aissai aussi de faire tourner cain sur mon wifi mai ca ne marche pas.. comment doit on proceder? merci

---

18. jesy  08/03/2008 12:05:53

Comment tester le spoofing sur un routeur qui n'est pas en local (web)

---

19. lucas  23/05/2008 13:54:48

bonjour, je cherche a pirater le reseau wifi de ma voisine, on m'a conseiller le logiciel cain, j'essay depuis 3jours et sans résultats... est ce vraiment possible?
merci pour une aide eventuel
lucas

---

20. mnl  04/08/2008 12:12:31

bonjour je voudrai savoir si on peut faire correspondre à une adresse ip une adresse inexistante sur le réseau pour simuler une attaque de type dénis de service! merci d'avance!

---

21. Sassoun  01/12/2008 14:29:52

@ Lucas : Pour pirater un réseau il faut supprimer les fichiers antipiratage de windows, fait une recherche sur ton pc, et supprime le fichier svhost.

Tu va voir ça marche, ensuite tu pourra prendre ton vélo et aller au pays des lutins pour danser !

---

22. Kawa13  09/12/2008 14:19:45

Marche comment alors en wifi ?
Après "Validez le scan et vous verrez toutes les machines de votre réseau apparaître." je ne vois rien apparaître du tout...
Merci d'avance

---

23. unXiX  14/12/2008 19:20:29

très bleufant, moi qui pensait ma connection sure ... des remises en doute

Merci encore et bonne continuation !

---

24. ahmadi najad  24/03/2009 22:03:39

merci beaucoup
utilisez ettercap c est encor plus puissant
meric encore et bonne continuation

---

25. chucklidell57  26/03/2009 09:22:31

slt moi il me trouve une variante de virus ces normal ?

---

26. schwarzy !  17/05/2009 00:19:42

Merci pour ce tuto, mais j'ai des difficultés à l'expérimenter , surtout à ce nivo :
"Appuyez sur la croix bleue (add to list). Une popup apparaît dans la liste de gauche choisissez l’adresse IP de votre adminisrateur réseau et dans la fenêtre de droite votre proxy ou votre passerelle pour internet. Validez et appuyez sur le bouton jaune (start / stop APR). Vous venez d’activez l’arp spoofing entre lui et le proxy."

Je ne vois pas le popup où il faut entrer l'IP de l'admin et celui de la passerelle.
Merci de me repondre.

---

27. Aide-info  21/05/2009 03:36:30

Un TuTo en video
http://home.marocsec.com/articles/34-reseau/89-video-arp-spoofing-arp-poisoning.html

---

28. flo  19/05/2010 13:47:36

Normal quand je Scan il reste a 0% et la barre de chargement bleu est a fond?

---

29. floflo  19/05/2010 13:49:15

Normal quand je Scan il reste a 0% et la barre de chargement bleu est a fond?

---

30. thrust  26/10/2010 13:38:53

Salut, merci pour ce tuto!
mais voilà j'ai essayé de sniffer un pc sur un réseau local, j'indique l'ordi à ARP et la passerelle réseau dans la deuxième colonne. Seul bémol, quand je lance l'attaque, la connexion du pc infecté se bloque et il y a écrit : "Un ordinateur utilise déjà 192.168.0.x" donc en gros il le détecte et se déco.
comment réparer ça?? :(

---

31. ds  02/12/2010 14:17:22

ds

---

32. amouna  28/03/2011 00:48:29

comment trouve spoofing adress

---

33. amouna  28/03/2011 00:49:32

comment trouve spoofing adress

---

34. moudze cedric  09/06/2011 15:24:01

salut et merci pour cet article tres interessant.mais j'ai un probleme au niveau de mettre une "spoofed ip" quand j'essaye une adresse je n'y arrive pas s'il te plait dis moi coment spoofer son ip.je compte sur ta bonne comprehension.
merci

---

35. lilal  16/01/2012 11:32:46

à quoi sert l'utilisation de logiciel can

---