Qu’est-ce que l’IP spoofing et comment se protéger ?

L’usurpation d’adresse IP désigne le fait de remplacer l’adresse IP d’origine d’un paquet par une fausse adresse, le plus souvent pour faire croire que le flux provient d’une source légitime. Les pirates peuvent aussi inverser le processus et masquer l’adresse IP du destinataire. Pourquoi l’usurpation d’adresse IP est-elle possible sur Internet ?

Tout d’abord, que peut-on faire avec une adresse IP ? Beaucoup de choses, comme par exemple : trouver des informations personnelles vous concernant, organiser un piratage de votre appareil, surveiller votre activité, restreindre votre accès à certains sites ou encore vous inonder de publicités personnalisées.

Votre flux de données est divisé en paquets pour envoyer et recevoir des informations sur Internet. Ils sont tous envoyés individuellement et sont assemblés à leur destination : l’appareil du destinataire ou les serveurs d’un site web, par exemple. Chaque paquet de données que vous envoyez comporte un en-tête IP qui contient des informations telles que les adresses IP de la source et du récepteur. Dans une connexion normale, ce paquet de données est transféré via le protocole TCP/IP.

Toutefois, ce protocole comporte une faille. Il doit effectuer une triple connexion TCP pour transférer des informations entre deux parties. Voici comment cela fonctionne :

1. L’expéditeur envoie un message SYN au destinataire. Cela permet d’établir une connexion et d’aider les deux appareils à synchroniser leurs numéros de séquence ;
2. Le destinataire envoie ensuite un message ACK : un accusé de réception du SYN ;
3. L’expéditeur renvoie un message SYN-ACK au destinataire et confirme la connexion sécurisée.

Imaginons une attaque par usurpation d’adresse IP classique : le pirate intercepte la connexion TCP avant l’étape 3, c’est-à-dire avant que la source ne parvienne à envoyer son message SYN-ACK. À la place, le cybercriminel envoie une fausse confirmation comprenant l’adresse IP de son appareil (adresse MAC) et l’adresse IP usurpée de l’expéditeur original. Le destinataire pense alors que la connexion a été établie avec l’expéditeur original, mais il communique en fait avec une adresse IP usurpée.

Les hackers les plus créatifs ont trouvé d’innombrables façons d’utiliser l’usurpation d’adresse IP pour nuire aux utilisateurs. Elle peut être utilisée pour attaquer des internautes, des serveurs et même des applications. Voici trois des utilisations illicites les plus courantes de l’IP spoofing :

L’IP spoofing est le plus souvent utilisé pour contourner les mesures de sécurité de base telles que les pare-feu, qui utilisent des listes de blocage. Autrement dit, même si l’adresse IP d’origine de l’attaquant figure sur la liste de blocage, comme il se cache derrière une adresse IP usurpée, elle sera acceptée.

Cela s’applique également aux systèmes qui disposent de listes d’autorisations, ou allowlists, qui n’autorisent les connexions qu’à partir d’adresses IP “fiables”. Un malfaiteur peut usurper une IP de confiance et pénétrer dans votre réseau informatique. Une fois qu’il y est entré, il peut explorer librement ce qui s’y trouve. C’est pourquoi les entreprises ne doivent pas se contenter d’autoriser les IP mais utiliser également d’autres méthodes d’authentification.

Lors d’une attaque par déni de service distribué (DDoS) ou déni de service (DoS), un serveur ou un site Web est mis hors service par un nombre écrasant de demandes abusives. Ces demandes sont souvent faites par des appareils infectés par des botnet dont les propriétaires ne savent même pas qu’ils font partie de l’armée privée d’un pirate.

Cependant, l’IP spoofing peut également être utilisée pour rediriger des communications frauduleuses. Le pirate peut envoyer des millions de demandes de fichiers et usurper les adresses IP pour que tous ces serveurs envoient leurs réponses à l’appareil de la victime.

Ces attaques sont plus fréquentes sur les réseaux Wi-Fi non sécurisés comme les cafés ou les aéroports. Si vous naviguez avec une adresse HTTP non sécurisée, un pirate peut utiliser l’usurpation d’adresse IP pour prétendre être à la fois vous et le site web ou le service en ligne auquel vous vous adressez, trompant ainsi les deux parties et obtenant l’accès à vos communications.

Dans le cas d’une attaque de type MITM ou attaque de l’homme du milieu, aucune des données que vous partagez n’est à l’abri, car un pirate est là pour espionner toutes les informations que vous échangez. Même des détails apparemment innocents sont susceptibles de lui servir lors de futures attaques ou de le conduire à s’introduire dans vos comptes. L’un des meilleurs moyens de défense contre ce type d’attaque est un logiciel VPN.

L’IP spoofing n’est pas illégal si vous n’en faites rien d’illégal. Par exemple, vous pouvez utiliser un service VPN ou un proxy pour changer votre IP afin de naviguer sur Internet en toute sécurité. Les administrateurs de sites web peuvent également utiliser des programmes pour créer des milliers de faux visiteurs en ligne afin d’effectuer des tests de résistance sur leurs sites et leurs serveurs.

Toutefois, l’IP spoofing est considéré comme illégal si une personne se fait passer pour quelqu’un d’autre en utilisant son IP pour commettre des cybercrimes tels que l’usurpation d’identité.

La détection de l’IP spoofing est pratiquement impossible. Et même si elle est détectée, il est souvent trop tard. Il existe toutefois quelques méthodes pour se protéger de l’usurpation d’adresse IP :

• Surveiller les réseaux pour détecter toute activité anormale ;
• Utiliser des méthodes de vérification plus strictes ;
• Placer une partie de vos ressources informatiques derrière un pare-feu ;
• Faire migrer les sites Web d’IPv4 à IPv6 ;
• Mettre en œuvre le filtrage à l’entrée et à la sortie ;
• Utiliser l’inspection approfondie des paquets (DPI).

Il est presque impossible pour un utilisateur lambda de repérer l’usurpation d’adresse IP, mais pour minimiser les risques, vous devriez :

• Ne visiter que des sites Web HTTPS sécurisés. Ces sites utilisent le protocole TLS/SSL, ce qui signifie que leur connexion est chiffrée et sécurisée.
• Utiliser un logiciel antivirus. Il vous aidera si quelqu’un parvient à usurper votre adresse IP. Un programme antivirus puissant analysera les paquets de données entrants pour voir s’ils contiennent un code dangereux connu. Il ne s’agit pas d’une défense complète, mais il est utile de l’avoir dans tous les cas !
• Utilisez un VPN. NordVPN chiffre vos activités en ligne et change votre adresse IP, rendant ainsi très difficile pour les pirates de voir votre flux ou d’usurper votre adresse IP ou celle de votre destinataire. En plus, la fonction Protection Anti-menaces Pro de NordVPN peut vous protéger des sites malveillants ou piratés qui pourraient vous exposer à des attaques d’usurpation.

N’attendez plus, protégez-vous avec un VPN !