Usurpation d'adresse IP

Un article de Wikipédia, l'encyclopédie libre.

L'usurpation d'adresse IP (en anglais : IP address spoofing) est une technique de hacking consistant à utiliser l'adresse IP d'une machine, ou d'un équipement, afin d'en usurper l'identité. Elle permet de récupérer l'accès à des informations en se faisant passer pour la machine dont on spoofe l'adresse IP. De manière plus précise, cette technique permet la création de paquets IP avec une adresse IP source appartenant à quelqu'un d'autre.

[modifier] Explications

L'en-tête de chaque paquet IP contient son adresse source ; cette adresse est normalement celle d'où le paquet provient. Toutefois, cet en-tête peut être modifié pour contenir une adresse IP différente. Cette technique peut ainsi servir à attaquer des réseaux en se faisant passer pour quelqu'un d'autre.

En effet certains services peu sécurisés comme rsh se basent sur l'adresse IP pour identifier l'émetteur. L'exemple typique est d'utiliser une relation de confiance. Un pirate utilisera donc l'adresse IP d'une machine de confiance (autorisée) pour obtenir une connexion à un serveur.

Pour éviter ce genre d'attaques, il ne faut pas utiliser de service se basant sur l'adresse IP pour identifier les clients. Utiliser ssh par exemple, à la place de rsh : ssh repose sur la cryptographie et une authentification par mot de passe (voir RSA). Il faut vérifier que le système d'exploitation utilisé génère des numéros de séquence difficilement prévisibles (voir RFC 1948). Il faut également refuser les paquets TCP SYN successifs depuis une même adresse pour éviter que le pirate puisse prédire le comportement du générateur de numéros de séquences...
En effet, s'il est toujours possible de faire de l'IP spoofing sur du trafic UDP (car fonctionnant en mode non connecté), il est désormais quasi impossible d'en faire sur du trafic TCP en raison de l'aléa des numéros de séquences (ISN).