HOWTO : sniffer les mots de passe « encryptés » sur le réseau

Publié le 15 août 2011 par Carlanoirci

Un jeu d’enfant! Même si les nuls de chez HADOPI veulent nous faire croire qu’il est possible de sécuriser une connexion – mais sans dire comment – il n’en reste pas moins que les mots de passe, cryptés ou non qui transitent sur le réseau sont faciles à capturer.

Je ne m’attarderai pas sur les sites et forums qui continuent d’utiliser le protocole non sécurisé HTTP lors de la transmission d’un formulaire de connexion. Du moment que vous vous trouvez sur le même LAN, les mots de passe transmis en clair peuvent être capturés par divers outils tels CAIN, ou Wireshark.

Certains sites, comme Google ou Yahoo ont plaqué une couche SSL (ce qui se traduit par un cadenas dans le navigateur).

Par exemple  Dans Gmail, l’option « Toujours utiliser le protocole https » est activée par défaut, mais vous pouvez modifier ce paramètre à tout moment. Nous activons cette option par défaut pour la raison suivante : si vous vous connectez à Gmail via une connexion Internet non sécurisée, par exemple un réseau public sans fil ou non chiffré, votre compte Google peut être davantage exposé au piratage. Dans un réseau non sécurisé, une personne malveillante peut plus facilement usurper votre identité et accéder à l’intégralité de votre compte Google, y compris à toutes les informations sensibles qu’il contient (relevés bancaires ou identifiants de connexion en ligne, par exemple). Le protocole HTTPS (Hypertext Transfer Protocol Secure) est un protocole sécurisé permettant d’authentifier et de chiffrer les communications. .

Cependant, un outil présenté à la conférence Black Hat 2009, SSLstrip, permet de récupérer les mots de passe envoyés, par le biais d’une attaque Man in the middle, très facile à réaliser. Le seul indice permettant à la victime de se rendre compte de l’attaque est l’URL du site qui va passer de HTTPS à HTTP. Dans un premier temps, une requête ARP va empoisonner le cache de la victime, pour que ses requêtes sur le port 80 soient redirigées sur la machine de l’attaquant. Comme personne ne songe à taper dans la barre d’adresses HTTPS://www.lesiteoùaller.com,cela signifie que la couche SSL est atteinte depuis une page HTTP, donc que les données sont transmises non chiffrées.

En pratique, une machine virtuelle dotée de Linux, 30 secondes et voici les logs:

2011-08-15 05:34:47,138 SECURE POST Data (www.google.com):
ltmpl=default<mplcache=2&pstMsg=1&dnConn=&continue=http%3A%2F%2Fmail.google.com%2Fmail%2F%3Fhl%3Dfr%26shva%3D1&service=mail&rm=false&dsh=5642173587167630469mail=carlanoirci&Passwd=testtest&rmShown=1&signIn=Connexion&asts=

Il existe cependant une parade à cette vulnérabilité qui affecte la plupart des sites utilisant SSL, l’extension HTTPS Everywhere. Celle-ci va réécrire l’URL en HTTPS et éviter l’écueil décrit plus haut,  assurant ainsi une connexion véritablement encryptée. Les logs de sslstrip sont vierges !

Si donc, au sein de votre entreprise, de votre cyber-café, ou de votre réseau WiFi partagé, vous vous connecté sans utiliser cette extension, et bien bonne chance pour vos mots de passe !

Pour en savoir plus :

https://www.blackhat.com/presentations/bh-dc-09/Marlinspike/BlackHat-DC-09-Marlinspike-Defeating-SSL.pdf

http://www.circleid.com/posts/20090219_https_web_hijacking/