Pirater un Web sans toucher au Web
Un petit mot de Zhu Cheng, chercheur au sein de l'Avert McAfee, qui constate une recrudescence des attaques par spoofing Arp. Le scénario n'a rien de très exceptionnel : un intrus visite un réseau, balaye la plage d'adresse du sous-réseau, découvre une machine vulnérable et y dépose un cheval de Troie. Lequel Troyen se met à émettre des paquets ARP forgés. En « entendant » ces paquets, les ordinateurs situés dans le sous-réseau considèrent que l'émetteur doit être utilisé comme le point de routage obligatoire*. Et, devenant ainsi routeur « par défaut », la machine infectée est capable de relayer, donc d'intercepter, tout paquet émis, par exemple, par un serveur d'entreprise, site Web ou autre. Toutes les pièces sont ainsi constituées pour entamer une attaque « man in the middle », simplement en jouant sur les caractéristiques d'un protocole bas niveau. Au lieu d'acheminer les réponses http de manière neutre, le poste-routeur infecté peut en modifier le contenu, sans même qu'il ait été nécessaire de pirater le serveur situé en amont de la chaîne.
*Ndcids Note du câbleur intérimaire de service : L'auteur, Zhu Cheng, ne s'étend pas sur le sujet, mais il est assez simple de faire passer un champ d'adresses IP donné comme appartenant à des adresse physiques de machines situées à l'« extérieur » au réseau... et ainsi nécessiter un routage. Car ARP est un protocole essentiellement local. Son travail se limite à attribuer toute adresse « hors limite » à l'adresse IP de la passerelle par défaut.
