Blog AVG Signal Sécurité Menaces Qu’est-ce qu’un renifleur et comment éviter le sniffing ?
What_is_a_Sniffer_and_How_Can_You_Prevent_Sniffing-Hero

Qu'est-ce qu'un renifleur de paquets ?

Les renifleurs de paquets, aussi appelés analyseurs de paquets, ou tout simplement renifleurs, surveillent les logiciels ou du matériel.

Cet article contient :

    Les renifleurs surveillent votre trafic Internet (les sites que vous consultez, ce que vous chargez ou téléchargez, etc.) en temps réel, ce qui les rend potentiellement invasifs. On distingue plusieurs types de renifleurs.

    Le « Sniffer » avec un S majuscule désigne l’outil de la marque déposée de NetScout. Il permet aux administrateurs réseau de surveiller la bande passante pour empêcher qu'un utilisateur ne s'accapare toutes les ressources. Avec une minuscule (« sniffer »), il s’agit des renifleurs de paquets, aussi bien les malveillants que les bénins. La plupart des renifleurs légitimes servent à maintenir la fluidité du trafic sur un réseau.

    Mais si vous vous demandez ce qu’est un virus renifleur, vous vous intéressez probablement à la fonction des renifleurs malveillants : l’espionnage. Les pirates peuvent renifler votre trafic et enregistrer ou analyser ce que vous faites. Cela comprend vos noms d'utilisateur, mots de passe, détails de carte de crédit et autres informations personnelles. Évidemment, vous préférez éviter ce type de renifleur, et nos quelques conseils à suivre devraient vous aider. Nous allons d’abord vous expliquer comment fonctionnent les renifleurs et leurs différents usages.

    Mais avant toute chose, sachez que les renifleurs et les virus sont deux choses différentes. Les virus correspondent à un type de malware détournant un logiciel de votre appareil pour le modifier afin de répliquer le virus et de le propager. Les renifleurs fonctionnent différemment, et ce ne sont pas toujours des logiciels. De nombreux renifleurs sont de petits appareils discrets.

    Les renifleurs sont connus sous de nombreux noms : renifleur de paquets, analyseurs de paquets, mais aussi sondes réseau, renifleur Wi-Fi, ou renifleur Ethernet. Le reniflement peut se faire via logiciel ou appareil, selon sa configuration. Fondamentalement, les espions utilisent des renifleurs pour capturer, décoder et interpréter les paquets de données envoyés sur un réseau à l'aide du protocole TCP/IP ou d'autres protocoles.

    Que fait-on des renifleurs réseau ?

    Les renifleurs ont initialement été conçus pour les ingénieurs réseau devant surveiller le trafic et garantir son utilisation appropriée. Malheureusement, les pirates les plus rusés utilisent actuellement ce logiciel disponible sur Internet (parfois même gratuitement !).

    Les renifleurs sont utilisés par :

    Les ingénieurs réseau : pour surveiller le trafic afin d'optimiser leur réseau.

    Les administrateurs système : pour observer le trafic afin de collecter des données sur des mesures (comme la bande passante disponible). Ils peuvent aussi tester le fonctionnement de systèmes spécifiques (comme le pare-feu) ou résoudre les problèmes.

    Les professionnels de la cybersécurité : en surveillant son réseau, on peut en apprendre beaucoup. Des pics anormaux ou différents types de trafic peuvent révéler des logiciels malveillants ou des pirates sur un système.

    Les entreprises : les employeurs peuvent l’utiliser pour surveiller leurs employés. Par exemple, pour comparer le temps passé sur Netflix par rapport à la quantité de travail effectuée.

    Les pirates : en général, les pirates exploitent les renifleurs pour espionner les gens et voler leurs données personnelles, généralement pour du vol d'identité ou d'autres fraudes.

    En résumé, voici quelques-uns des nombreux usages des renifleurs réseau :

    Pour l’entretien du réseau, les usages légitimes sont :

    • Capturer des paquets de données

    • Enregistrer et analyser du trafic

    • Déchiffrer des paquets

    • Résoudre des problèmes de réseau

    • Tester un pare-feu

    • Assurer la fluidité du trafic

    Les usages frauduleux du renifleur relèvent surtout de l’espionnage, notamment :

    • Capturer des infos personnelles (noms d’utilisateur, mots de passe, numéros de carte de crédit, etc.).

    • Enregistrer des communications (e-mails, messages instantanés, etc.).

    • Usurpation d'identité

    • Vol d’argent

    Comment fonctionne un renifleur ?

    Définissons d’abord ce qu’est le trafic Internet. Tout comme les voitures (qui transportent des personnes) créent du trafic sur les routes, le trafic Internet est composé de paquets (qui transportent des données) sur un réseau. Lorsque vous êtes chez vous, vous ignorez la plupart des voitures qui passent dans le coin, mais si un camion se gare dans votre allée, vous voudrez peut-être connaître son conducteur. De même, votre ordinateur ignore la plupart du trafic réseau et n’inspecte que les paquets de données spécifiques qui lui sont envoyés.

    Les renifleurs sont un peu comme des cabines de péage : ils inspectent toutes les voitures qui passent, et pas seulement celles qui se garent dans votre allée. Les renifleurs sans filtre inspectent toutes les voitures : ils collectent tout le trafic d'un réseau. Les renifleurs avec filtre peuvent être configurés pour n’inspecter que certains types de trafic. Un peu comme une cabine de péage n’inspectant que les BMW ou que les voitures bleues, selon le type de trafic intéressant le propriétaire de la cabine.

    Penchons-nous sur un aspect plus technique, à savoir le fonctionnement d’un renifleur. Le reniflement peut se faire via logiciel ou via du matériel (hardware).

    Les gestionnaires de réseau ou les administrateurs système peuvent utiliser du matériel, comme des routeurs dotés de capacités de reniflement intégrées. Les renifleurs matériels sont en fait des adaptateurs spéciaux se connectant au réseau existant. L’adaptateur collecte les données et les stocke ou les envoie à un collecteur, pour une inspection plus approfondie.

    Les pirates utilisent plutôt des logiciels renifleurs. Normalement, les ordinateurs ignorent tout le trafic réseau qui se dirige ailleurs, mais ces applications modifient leurs paramètres et autorisations pour qu'ils collectent et copient tous les paquets de données disponibles sur le réseau. Cela permet au pirate de stocker toutes les données du réseau et de les analyser ultérieurement. Ce paramètre est appelé mode promiscuité, et il est presque aussi sournois et sans restriction que son nom.

    L'utilisateur moyen peut tomber sur des renifleurs en se rendant sur des sites Web non sécurisés qui téléchargent automatiquement l'application néfaste, en se faisant prendre dans une arnaque de phishing avec des pièces jointes ou des liens infectés, ou en utilisant des réseaux Wi-Fi non sécurisés dans des lieux publics.

    Sniffing can be accomplished via either hardware or software.

    Reniflement actif vs passif

    Selon le type de réseau sur lequel vous vous trouvez, les pirates doivent utiliser différentes méthodes de reniflement.

    Si votre réseau est structuré à l'aide de hubs (qui connectent plusieurs appareils sur un même réseau), alors tout le trafic circule librement. Cela signifie que votre ordinateur reçoit réellement tout le trafic du réseau, mais qu'il ignore tout ce qui ne lui est pas adressé. Un renifleur peut y jeter un coup d'œil passif et, au lieu d'ignorer le trafic non pertinent, tout absorber. Ce type de renifleur passif est assez difficile à détecter.

    Si vous êtes sur un réseau beaucoup plus grand, avec beaucoup plus d'ordinateurs connectés, le trafic ne peut pas atteindre tous les appareils. Dans ce cas, les commutateurs réseau dirigent le trafic uniquement vers le périphérique auquel il est adressé. Pour qu'un pirate puisse réussir à renifler dans ce type d'environnement, il doit contourner les contraintes imposées par les commutateurs, ce qui constitue un reniflement actif. Cela se fait généralement en ajoutant du trafic supplémentaire au réseau, ce qui le rend plus facilement détectable que le reniflement passif.

    Comment protéger son système des renifleurs

    Mieux vaut prévenir que guérir, et c’est bien le cas pour les renifleurs réseau. Voici les meilleurs moyens de vous protéger :

    1. Utilisez un bon logiciel antivirus : un puissant antivirus empêchera les logiciels malveillants d'envahir votre système. Il détectera également tout ce qui ne devrait pas se trouver sur votre ordinateur (comme un renifleur) et vous aidera à le supprimer. AVG Antivirus Gratuit est la protection qu’il vous faut pour supprimer et bloquer les malwares.

    2. Évitez les réseaux Wi-Fi publics : ne vous fiez pas aux réseaux Wi-Fi ouverts (cafés, aéroports, etc.). Les pirates peuvent trop facilement renifler tout le réseau. Évitez de les utiliser, à moins que vous ne suiviez ces conseils...

    3. Utilisez un VPN : un réseau privé virtuel chiffre votre connexion et cache toutes les données envoyés de votre ordinateur à Internet. Cela veut dire que le renifleur qui espionne votre trafic ne peut voir que des données brouillées. Vos données sont en sécurité.

    4. Évitez les protocoles non sécurisés : un autre moyen de sécuriser vos données est de vérifier le sigle HTTPS pendant votre navigation. Dans la barre d’adresse d'un site Web, vous devriez voir soit HTTP, soit HTTPS. Certains navigateurs présentent un cadenas pour indiquer HTTPS (et si vous cliquez sur la barre d’adresse pour étendre l’URL, vous devriez aussi voir HTTPS). Seules les adresses HTTPS sont sûres, car leurs communications sont chiffrées. HTTP n’est pas sécurisé et votre navigateur peut afficher un petit i au lieu du cadenas. Évitez autant que possible les adresses HTTP, surtout pour des achats en ligne.

    5. Méfiez-vous de l’ingénierie sociale : comme indiqué plus haut, les cybercriminels utilisent des méthodes comme le phishing par e-mail et l’infection de sites Web pour inciter les internautes à télécharger des renifleurs à leur insu. Évitez les attaques de phishing en suivant de bonnes pratiques de navigation et en faisant preuve de bon sens.

    Comment détecter un renifleur sur un réseau

    Comme nous l’avons dit, les renifleurs passifs sont très difficiles à détecter. Les renifleurs actifs sont plus visibles, mais ils requièrent quand même une certaine expertise. Si vous pensez qu’un renifleur a infecté votre appareil, exécutez votre propre renifleur et surveillez tout le trafic DNS de votre réseau pour détecter toute activité suspecte.

    Le plus simple est encore d’appliquer les méthodes préventives mentionnées plus haut : utiliser un antivirus et un VPN pour chiffrer votre connexion. 

    Comment supprimer un renifleur

    Si votre ordinateur est infecté, il faut supprimer le logiciel malveillant. Vous pouvez le faire manuellement en vérifiant tous les applis installées sur votre ordinateur. Regardez dans le dossier Téléchargements et triez les fichiers par date. Si vous voyez des programmes récents que vous ne vous souvenez pas avoir téléchargé, supprimez-les. Vous pouvez cependant tomber sur un renifleur impossible à désinstaller.

    Dans ce cas, il vous faut un puissant logiciel anti-malware pour le détecter et le supprimer, AVG Antivirus Gratuit, par exemple. Il vous protège aussi contre les téléchargements infectés, les liens non sécurisés et les pièces jointes malveillantes pour éviter tout renifleur ou autre virus. Essayez AVG pour vous protéger contre toutes les menaces en ligne, vous et votre famille.

    Exemples de renifleurs de paquets

    De nombreux renifleurs gratuits ou à faible prix sont disponibles sur Internet. La plupart sont proposés pour vous apprendre à capturer et à analyser du trafic réseau pour la résolution de problèmes. Des solutions comme Wireshark et CloudShark sont proposées seulement à des fins légitimes. D’autres, comme BUTTsniffer, sont plus transparentes sur leurs possibles usages malveillants.

    Sauf si vous voulez travailler dans la gestion de réseau, si vous suivez nos conseils de prévention, vous ne devriez pas croiser de renifleur.

    Protégez votre iPhone contre les menaces avec AVG Mobile Security

    Installation gratuite

    Protégez votre appareil Android contre les menaces avec AVG Antivirus

    Installation gratuite