SNIFFER (renifleur)


Le sniffer est un dispositif permettant de capturer le traffic qui circulent sur le réseau. Une personne malveillante ayant un accès physique au réseau pour collecter des informations. Ce risque est encore plus important sur les réseaux sans fils car il est difficile de confiner les ondes hertziennes dans un périmètre délimité, si bien que des personnes malveillantes peuvent écouter le trafic en étant simplement dans le voisinage.


+ d'infos :

Les packet sniffers (littéralement « renifleurs de paquets », aussi connus sous le nom de renifleurs ou sniffeurs) sont des logiciels qui peuvent récupérer les données transitant par le biais d'un réseau local. Ils permettent une consultation aisée des données non-chiffrées et peuvent ainsi servir à intercepter des mots de passes qui transitent en clair ou toute autre information non-chiffrée, à résoudre des problèmes réseaux en visualisant ce qui passe à travers l'interface réseau, ou à effectuer de la rétro-ingénierie réseau à des buts d'interopérabilité, de sécurité ou de résolution de problème.

Ce sont des sortes de sondes que l'on place sur un réseau pour l'écouter et en particulier parfois récupérer à la volée des informations sensibles lorsqu'elles de ne sont pas chiffrées, comme des mots de passe (parfois sans que les utilisateurs ou les administrateurs du réseau ne s'en rendent compte).

Le renifleur peut être un équipement matériel ou un logiciel : le premier est bien plus puissant et efficace que le second, encore que, la puissance des machines augmentant sans cesse, l'écart se resserre. Mais le premier est surtout beaucoup plus cher que le second.

Lorsqu'une machine veut communiquer avec une autre sur un réseau non-switché (relié par un hub ou câblé en câble coaxial, techniques obsolètes), elle envoie ses messages sur le réseau à l'ensemble des machines et normalement seule la machine destinataire intercepte le message pour le lire, alors que les autres l'ignorent. Ainsi en utilisant la méthode du sniffing, il est possible d'écouter le trafic passant par un adaptateur réseau (carte réseau, carte réseau sans fil, etc.).

Pour pouvoir écouter tout le trafic sur une interface réseau, celle-ci doit être configurée dans un mode spécifique, le « mode promiscuous ». Ce mode permet d'écouter tous les paquets passant par l'interface, alors que dans le mode normal, le matériel servant d'interface réseau élimine les paquets n'étant pas à destination de l'hôte. Par exemple, il n'est pas nécessaire de mettre la carte en mode « promiscuous » pour avoir accès aux mots de passe transitant sur un serveur FTP, vu que tous les mots de passe sont à destination dudit serveur.

La solution à ce problème d'indiscrétion est d'utiliser des protocoles de communication chiffrés, comme SSH (SFTP, scp), SSL (HTTPS ou FTPS) (et non des protocoles en clair comme HTTP, FTP, Telnet).

Le « packet sniffer » décompose ces messages et les rassemble, ainsi les informations peuvent être analysées à des fins frauduleuses (détecter des logins, des mots de passe, des emails), analyser un problème réseau, superviser un trafic ou encore faire de la rétro-ingénierie.

« Sniffer », c'est effectuer un sniffing. C'est une technique qui peut être ressentie comme profondément malhonnête et indélicate, mais bien pratique et nécessaire lorsque l'on est à la recherche d'une panne.