1. Livres & vidéos
  2. Certified Ethical Hacker
  3. Sniffing et attaques réseau
Extrait - Certified Ethical Hacker Préparation à la certification CEH
Extraits du livre
Certified Ethical Hacker Préparation à la certification CEH Revenir à la page d'achat du livre

Sniffing et attaques réseau

Prérequis et objectifs

1. Prérequis

Ce chapitre suppose une connaissance élémentaire du fonctionnement des réseaux informatiques. Une compréhension globale du modèle OSI, du rôle des couches transport et réseau, ainsi que des notions d’adressage IP et MAC peuvent constituer une base utile. La familiarité avec le routage, les commutateurs et le rôle de l’ARP dans la communication locale permet également de mieux appréhender les attaques décrites. Durant ce chapitre, des rappels seront présents pour chaque notion.

Les concepts abordés sont replacés dans leur contexte technique afin de rester accessibles, même sans expérience avancée. Le lecteur n’a pas besoin d’avoir manipulé en profondeur des outils comme Wireshark ou tcpdump, car leur fonctionnement est expliqué au fil du chapitre.

2. Objectifs

Ce chapitre traite des mécanismes permettant d’intercepter les communications réseau, des vulnérabilités exploitées à cette fin, et des méthodes utilisées pour contourner les protections couramment mises en place. Il aborde de manière structurée les attaques de type sniffing, en détaillant les différences entre écoute passive et active, les particularités des réseaux commutés, et les techniques...

Introduction au sniffing

1. Le sniffing, base de la surveillance réseau

Le sniffing est une technique d’interception qui permet de capturer, en temps réel ou en différé, les paquets de données circulant sur un réseau informatique. Contrairement à d’autres types d’attaques, il ne repose pas nécessairement sur l’exploitation d’une vulnérabilité logicielle ou matérielle. Son efficacité repose avant tout sur l’architecture du réseau, la configuration des équipements actifs et le comportement des utilisateurs.

Dans sa forme la plus simple, le sniffing est comparable à un enregistreur branché sur un câble réseau : tout ce qui passe est écouté et archivé. Cela inclut des trames ARP, des paquets IP, des segments TCP, des requêtes DNS, ou encore des sessions complètes de protocoles applicatifs comme HTTP, SMTP ou FTP. Sur un réseau mal sécurisé, il devient possible de reconstruire des conversations entières, de récupérer des identifiants, voire d’extraire des fichiers transmis en clair.

Cette pratique est au cœur du travail de nombreux outils de sécurité, à commencer par les analyseurs de paquets comme Wireshark, tcpdump ou Snort. Elle constitue également un volet incontournable du travail des pentesters...

Modèle OSI et protocoles vulnérables

1. Le modèle OSI comme cadre d’analyse du sniffing

Le modèle OSI (Open Systems Interconnection) est un cadre conceptuel proposé par l’ISO pour standardiser les communications dans les réseaux informatiques. Il divise le processus de transmission de données en sept couches distinctes, de la plus basse (physique) à la plus haute (application). Chaque couche fournit des services à la couche supérieure et repose sur les services de la couche inférieure. Ce découpage logique permet de décomposer le fonctionnement d’un réseau en étapes compréhensibles et indépendantes, facilitant ainsi l’analyse, le diagnostic et la sécurisation des flux.

images/09CEH01.png

Les trois premières couches (physique, liaison de données, réseau) gèrent le transport brut des données, l’adressage, et le routage. Les couches intermédiaires (transport et session) assurent la fiabilité et le suivi des connexions. Enfin, les couches hautes (présentation et application) concernent directement les échanges de données métiers visibles par les utilisateurs et les applications. Le modèle OSI est utilisé comme référence dans de nombreuses certifications, dont le CEH, car il permet de structurer l’analyse d’une attaque ou d’un flux capturé en identifiant le niveau concerné et les vulnérabilités associées.

Le sniffing ne s’effectue pas dans un vide abstrait, mais au sein de ce processus structuré. Il exploite principalement les couches liaison, réseau et application, car c’est à ces niveaux que transitent les trames Ethernet, les paquets IP, et les contenus applicatifs exploitables. En étudiant les échanges à travers ces couches, il devient possible de capturer des identifiants, de suivre une session TCP, de reconstituer un échange FTP ou de détourner un flux destiné à un autre hôte. Le modèle OSI devient donc un outil de repérage essentiel pour orienter une écoute...

Outils de sniffing

L’interception de trafic réseau ne repose pas uniquement sur la capacité à écouter des paquets : elle suppose de les filtrer intelligemment, de les décoder en profondeur, et d’en extraire les éléments exploitables dans une optique offensive ou défensive. Pour cela, il est nécessaire de s’appuyer sur un ensemble d’outils complémentaires, chacun apportant une capacité spécifique d’analyse, de manipulation ou d’automatisation. Un professionnel formé au CEH doit connaître ces outils, comprendre leur fonctionnement, leur portée, ainsi que leurs limites. Le choix de l’outil adapté dépend de nombreux paramètres : nature de l’environnement, objectifs de l’attaque, posture offensive ou défensive, niveau de furtivité souhaité, ou encore complexité des protocoles observés.

N’hésitez pas à aller essayer chacun des outils ci-dessous sur une machine virtuelle afin d’en comprendre les bases !

1. Wireshark : visualiser, disséquer, comprendre

Wireshark s’impose comme l’outil d’analyse réseau le plus complet et le plus utilisé à travers le monde. Sa force réside dans sa capacité à capturer le trafic en temps réel tout en offrant une visualisation détaillée et hiérarchique de chaque paquet. Chaque segment capturé est automatiquement analysé, les couches sont séparées selon le modèle OSI, et les protocoles décodés jusqu’à leur contenu brut.

Au-delà de la simple visualisation, Wireshark est un véritable moteur d’analyse. Il permet de construire des filtres complexes pour isoler des paquets spécifiques, détecter des comportements anormaux ou extraire des flux critiques. La granularité des filtres d’affichage autorise des recherches très précises, y compris dans des captures contenant des millions de paquets. Par exemple, il est possible de ne faire apparaître que les segments TCP contenant une séquence spécifique, ou alors seulement...

Techniques de contournement des switches

Les switches constituent l’un des obstacles principaux au sniffing réseau. Contrairement aux hubs, qui diffusent l’ensemble des paquets sur tous les ports, un switch construit et utilise une table d’adresses MAC pour acheminer les trames uniquement vers les ports correspondants à la destination. Cette logique de commutation restreint considérablement la visibilité réseau d’un attaquant : une machine ne voit plus que les paquets qui lui sont directement adressés, ou ceux qui sont émis en diffusion. Pour contourner cette barrière, plusieurs techniques existent, chacune visant à perturber, manipuler ou saturer le comportement du switch pour retrouver une capacité d’écoute plus large.

1. Mode promiscuité des interfaces réseau

Le premier niveau d’action se situe au niveau de la carte réseau elle-même. Par défaut, une interface ne traite que les paquets qui lui sont explicitement adressés. En activant le mode promiscuité, il devient possible de forcer la carte à accepter tous les paquets qu’elle reçoit, sans filtrage préalable sur l’adresse MAC de destination. Ce mode est indispensable pour l’analyse réseau, car il permet à des outils comme Wireshark ou tcpdump d’enregistrer les trames même lorsqu’elles ne sont pas destinées à l’hôte.

Cependant, sur un réseau commuté, cette technique reste insuffisante à elle seule. Le switch continue à diriger les paquets de manière sélective, ce qui empêche leur réception...

IDS : détection des intrusions

L’interception du trafic réseau n’a de sens, dans un cadre défensif, que si elle permet de détecter des comportements suspects, des attaques en cours, ou des déviations par rapport au fonctionnement attendu. C’est précisément l’objectif des systèmes de détection d’intrusion, ou IDS (Intrusion Detection Systems), qui jouent un rôle central dans la surveillance de la sécurité réseau et la réponse aux incidents. Ces systèmes opèrent à différents niveaux de l’architecture technique, analysent en profondeur le contenu des paquets, et tentent de repérer, dans la masse des flux, des éléments caractéristiques d’une compromission.

1. Définition, rôle et typologies des IDS

Un système de détection d’intrusion est un dispositif technique conçu pour analyser en temps réel ou en différé les activités d’un réseau ou d’un hôte, dans le but de repérer des comportements anormaux, des signatures d’attaque connues ou des schémas suspects. Il ne bloque pas les attaques de manière active - ce rôle relève des IPS - mais il permet d’alerter les administrateurs, de consigner les événements, et de déclencher des mécanismes de réponse automatisée en cas de besoin.

On distingue deux grandes familles d’IDS. Les systèmes dits NIDS (Network-based Intrusion Detection Systems) surveillent l’ensemble du trafic réseau en analysant les paquets qui transitent sur une interface d’écoute stratégique. Ils permettent de détecter des attaques visant plusieurs machines, des scans de port, ou des tentatives d’exploitation traversant les couches basses. Les HIDS (Host-based Intrusion Detection Systems), quant à eux, sont installés...

Techniques d’évasion IDS

La mise en place d’un système de détection d’intrusion renforce considérablement la sécurité d’un réseau, mais elle n’offre jamais une protection absolue. Les attaquants expérimentés disposent d’un arsenal de techniques conçues pour contourner, saturer, leurrer ou tout simplement éviter les IDS. Ces techniques s’inscrivent dans une logique de furtivité, dans laquelle l’objectif n’est pas seulement de pénétrer un système, mais de le faire sans alerter les dispositifs de défense. La maîtrise de ces approches constitue un élément fondamental de l’examen CEH, car elle permet de comprendre la dynamique entre attaque et détection, et d’anticiper les limites d’un dispositif de sécurité en environnement réel.

1. Fragmentation de paquets et décalage temporel

L’une des méthodes les plus répandues pour échapper à la vigilance d’un IDS consiste à fragmenter les paquets au moment de leur envoi. Plutôt que de transmettre un payload malveillant sous forme d’un seul paquet identifiable, l’attaquant le découpe en plusieurs segments IP ou TCP, qui seront réassemblés uniquement par la machine cible. Un IDS classique, n’effectuant pas de reconstitution complète, ne détectera que des fragments partiels, chacun inoffensif pris isolément.

Cette technique, appelée fragmentation IP ou session splicing selon les cas, est particulièrement efficace contre les IDS positionnés en miroir réseau sans capacité de recomposition. Elle exploite...

Firewalls : types et techniques de contournement

Le pare-feu constitue l’une des premières lignes de défense dans l’architecture d’un système d’information. Il agit comme un gardien entre deux zones réseau, en appliquant un ensemble de règles destinées à contrôler les flux autorisés, bloquer les connexions non sollicitées et restreindre l’exposition des services. Son rôle est crucial dans la prévention des attaques, mais il n’est ni absolu ni imperméable. Comme tout système basé sur des règles prédéfinies, il peut être contourné, trompé ou détourné.

1. Logiques de filtrage

Les pare-feu les plus simples fonctionnent selon une logique de filtrage par paquets. Ils inspectent chaque paquet, de manière indépendante, en se basant sur ses métadonnées : adresses IP source et destination, ports utilisés, et protocole de transport. Ces pare-feu dits de type « packet filtering » prennent leur décision sans mémoire, c’est-à-dire qu’ils ne conservent aucune information sur l’état des connexions. Cette approche, bien que rapide, offre un niveau de sécurité limité, car elle ne permet pas de suivre les échanges dans leur globalité ni de bloquer des comportements subtils.

Les pare-feu dits à « inspection dynamique d’état », ou stateful firewalls, vont plus loin en maintenant une table d’état des connexions. À chaque nouvelle session, une entrée est créée, permettant au pare-feu de suivre l’évolution de la communication. Cette approche autorise un filtrage plus fin, en bloquant par exemple une tentative de réponse TCP sans synchronisation initiale, ou en limitant l’accès à certains services aux connexions...

Honeypots et leur rôle défensif

Face à des menaces toujours plus furtives et sophistiquées, la simple surveillance des points critiques du réseau ne suffit plus à garantir une détection rapide des intrusions. C’est dans ce contexte que les honeypots, ou « pots de miel », trouvent toute leur légitimité. Ces systèmes leurres sont conçus non pas pour héberger des services réels, mais pour attirer, piéger et observer les comportements malveillants. Leur rôle est avant tout défensif et analytique : ils ne protègent pas directement les actifs stratégiques, mais offrent une fenêtre unique sur les techniques utilisées par les attaquants et permettent d’anticiper les compromissions.

1. Principes et objectifs d’un honeypot

Un honeypot est un système informatique délibérément vulnérable ou faussement configuré, dont l’objectif est de simuler des services attractifs pour les attaquants. Il peut prendre la forme d’une machine virtuelle, d’un serveur applicatif, d’un service réseau ou même d’un simple port ouvert. Contrairement aux systèmes de production, toute activité détectée sur un honeypot est considérée comme suspecte par défaut. Cela simplifie grandement la corrélation et l’analyse des comportements : un balayage de ports, une tentative de connexion, une injection de commande. Autant de signaux qui, dans un environnement réel, pourraient passer inaperçus au milieu du trafic légitime.

Le honeypot fonctionne comme un capteur d’intrusion...

Travaux pratiques

1. Observation et analyse de protocoles non chiffrés avec Wireshark

Objectif du TP

Mettre en place un environnement de test en réseau local pour capturer et analyser un échange réseau non chiffré. Observer le fonctionnement d’un protocole vulnérable (Telnet), identifier des données sensibles dans une capture réseau, et comprendre les risques liés au sniffing passif.

Préparer l’environnement de capture

Prérequis (versions & droits)

  • Wireshark ≥ 3.6 (ou dernière stable) ;

  • systèmes invités : Ubuntu 20.04/22.04 (ou Debian récent) ;

  • VirtualBox ≥ 6.1 ou VMware récent ;

  • droits sudo sur la machine hôte.

Installation rapide (Wireshark)

sudo apt update 
sudo apt install -y wireshark 
sudo usermod -aG wireshark $USER # se déconnecter/reconnecter 
#ou : sudo tshark -i -w capture.pcap

Machines virtuelles

 Créez deux VM (ex. : Ubuntu + Metasploitable2).

 Allouez ≥1 vCPU et ≥1-2 Go RAM par VM.

Réseau/isolation

 Utilisez Internal Network ou Host-Only (réseau isolé).

 N’utilisez pas Bridged pour la VM vulnérable. Désactivez les dossiers partagés et copiez-collez bidirectionnel.

Vérifications rapides

 Démarrez les VM et testez le ping : ping <IP_de_l’autre_VM>.

 Identifiez l’interface...

Validation des acquis : questions/réponses

Si l’état de vos connaissances sur ce chapitre vous semble suffisant, répondez aux questions ci-après.

1. Questions

1 Quel rôle joue le mode « moniteur » en Wi-Fi pour le sniffing ?

2 Quelle est la différence entre fragmentation IP et segmentation TCP ?

3 Quelles sont les limites du MAC flooding sur les switches modernes ?

4 Quelle est la principale différence entre le sniffing passif et le sniffing actif ?

5 Dans quel(s) contexte(s) un testeur d’intrusion utiliserait-il le sniffing ?

6 Quels sont les protocoles de la couche application vulnérables au sniffing s’ils ne sont pas chiffrés ?

7 Quelle attaque repose sur la saturation de la table CAM d’un switch ?

8 Quel outil permet d’effectuer un ARP poisoning et d’intercepter activement les communications réseau ?

9 Pourquoi la couche 2 (liaison de données) est-elle critique dans les attaques de sniffing ?

10 Quelle est la différence entre un IDS et un IPS ?

11 Que permet de faire un honeypot dans une architecture réseau ?

12 Quel est l’intérêt du modèle OSI pour analyser une attaque de sniffing ?

13 Quelle technique d’évasion IDS consiste à fragmenter les paquets malveillants ?

2. Résultats

Référez-vous aux pages...