Attaque par usurpation d'identité
Dans le contexte de la sécurité de l'information, et en particulier de la sécurité des réseaux, une attaque par usurpation d'identité est une situation dans laquelle une personne ou un programme réussit à s'identifier à un autre en falsifiant des données, pour obtenir un avantage illégitime[1].
Internet
[modifier | modifier le code]Usurpation et TCP/IP
[modifier | modifier le code]De nombreux protocoles de la suite TCP/IP ne fournissent pas de mécanismes pour authentifier la source ou la destination d'un message, ce qui les rend vulnérables aux attaques d'usurpation lorsque des précautions supplémentaires ne sont pas prises par les applications pour vérifier l'identité de l'hôte d'envoi ou de réception. L'usurpation d'adresse IP et l'usurpation d'adresse ARP en particulier peuvent être utilisées pour tirer parti des attaques de type man-in-the-middle contre des hôtes sur un réseau informatique. Les attaques par usurpation d'identité qui tirent parti des protocoles de la suite TCP/IP peuvent être atténuées par l'utilisation de pare-feu capables d'effectuer une inspection approfondie des paquets ou en prenant des mesures pour vérifier l'identité de l'expéditeur ou du destinataire d'un message.
Usurpation de nom de domaine
[modifier | modifier le code]Le terme « usurpation de nom de domaine » (ou simplement, bien que moins précisément, « usurpation de domaine ») est utilisé de manière générique pour décrire une ou plusieurs classes d'attaques d'hameçonnage qui dépendent de la falsification ou de la représentation erronée d'un nom de domaine Internet[2],[3]. Ceux-ci sont conçus pour persuader les utilisateurs peu méfiants qu'ils visitent un site Web autre que celui prévu, ou d'ouvrir un e-mail qui ne provient pas en réalité de l'adresse indiquée (ou apparemment indiquée)[4]. Bien que les attaques d'usurpation de sites Web et d'e-mails soient plus largement connues, tout service qui repose sur la résolution de noms de domaine peut être compromis.
Usurpation de référent
[modifier | modifier le code]Certains sites Web, en particulier les sites pornographiques payants, n'autorisent l'accès à leurs contenus qu'à partir de certaines pages (de connexion) approuvées. Ceci est appliqué en vérifiant l'en-tête de référence de la requête HTTP. Cet en-tête de référent, cependant, peut être modifié (on parle alors d' « usurpation de référent » ou « usurpation de ref-tar »), permettant aux utilisateurs d'obtenir un accès non autorisé aux documents.
Empoisonnement des réseaux de partage de fichiers
[modifier | modifier le code]Le « spoofing » peut également faire référence aux titulaires de droits d'auteur qui placent des versions déformées ou non écoutables d'œuvres sur des réseaux de partage de fichiers.
Usurpation d'adresse e-mail
[modifier | modifier le code]Les informations sur l'expéditeur affichées dans les e-mails (le champ From:
:) peuvent être facilement falsifiées. Cette technique est couramment utilisée par les spammeurs pour dissimuler l'origine de leurs e-mails et entraîne des problèmes tels que des rebonds mal acheminés (c'est-à-dire la rétrodiffusion des e-mails indésirables).
L'usurpation d'adresse e-mail se fait de la même manière que l'écriture d'une adresse de retour falsifiée à l'aide d'un courrier postal. Tant que la lettre correspond au protocole (c'est-à-dire timbre, code postal...), le protocole SMTP (Simple Mail Transfer Protocol enverra le message. Cela peut être fait en utilisant un serveur de messagerie avec telnet[5].
Géolocalisation
[modifier | modifier le code]L'usurpation de géolocalisation se produit lorsqu'un utilisateur applique des technologies pour donner l'impression que son appareil se trouve ailleurs que là où il se trouve réellement. L'usurpation de géolocalisation la plus courante consiste à utiliser un réseau privé virtuel (VPN) ou un proxy DNS afin que l'utilisateur semble se trouver dans un pays, un État ou un territoire différent de celui où il se trouve réellement. Selon une étude de GlobalWebIndex, 49 % des utilisateurs mondiaux de VPN utilisent les VPN principalement pour accéder à des contenus de divertissement limités territorialement[6]. Ce type d'usurpation de géolocalisation est également appelé géopiratage, puisque l'utilisateur accède illégalement à des documents protégés par le droit d'auteur via la technologie d'usurpation de géolocalisation. Un autre exemple d'usurpation de géolocalisation s'est produit lorsqu'un joueur de poker en ligne en Californie utilise des techniques d'usurpation de géolocalisation pour jouer au poker en ligne dans le New Jersey, en violation des lois des États de Californie et du New Jersey[7]. Il a été prouvé l'usurpation de géolocalisation et le joueur a perdu plus de 90 000 $ de gains.
Téléphonie
[modifier | modifier le code]Usurpation d'identité de l'appelant
[modifier | modifier le code]Les réseaux téléphoniques publics fournissent souvent des informations d'identification de l'appelant, qui incluent le numéro de l'appelant et parfois le nom de l'appelant, avec chaque appel. Cependant, certaines technologies (en particulier dans les réseaux Voix sur IP (VoIP) permettent aux appelants de falsifier les informations d'identification de l'appelant et de présenter de faux noms et numéros. Les passerelles entre les réseaux qui permettent une telle usurpation d'identité et d'autres réseaux publics transmettent ensuite ces fausses informations. Étant donné que les appels frauduleux peuvent provenir d'autres pays, les lois du pays du destinataire peuvent ne pas s'appliquer à l'appelant. Cela limite l'efficacité des lois contre l'utilisation d'informations d'identification de l'appelant usurpé pour favoriser une escroquerie[8][Pas dans la source].
Usurpation du système mondial de navigation par satellite
[modifier | modifier le code]Une attaque par usurpation du système mondial de navigation par satellite (GNSS) tente de tromper un récepteur GNSS en diffusant de faux signaux GNSS, structurés pour ressembler à un ensemble de signaux GNSS normaux, ou en rediffusant des signaux authentiques capturés ailleurs ou à un moment différent. Ces signaux usurpés peuvent être modifiés de manière à amener le récepteur à estimer sa position comme étant ailleurs que là où il se trouve réellement, ou comme étant située là où elle se trouve mais à un moment différent, tel que déterminé par l'attaquant. Une forme courante d'attaque par usurpation de GNSS, communément appelée attaque par report, commence par la diffusion de signaux synchronisés avec les signaux authentiques observés par le récepteur cible. La puissance des signaux contrefaits est alors progressivement augmentée et éloignée des signaux authentiques. Il a été suggéré que la capture d'un drone Lockheed RQ-170 dans le nord-est de l'Iran en était le résultat d'une telle attaque[9]. Les attaques d'usurpation d'identité GNSS avaient déjà été prédites et discutées au sein de la communauté GNSS, mais aucun exemple connu d'attaque d'usurpation d'identité malveillante n'a encore été confirmé[10],[11],[12]. Une attaque de « preuve de concept » a été menée avec succès en , lorsque le yacht de luxe White Rose of Drachs a été mal dirigé avec des signaux GPS falsifiés par un groupe d'étudiants en génie aérospatial de la Cockrell School of Engineering de l'Université du Texas à Austin. Les étudiants étaient à bord du yacht, permettant à leur équipement d'usurpation de dominer progressivement la puissance du signal des satellites de la constellation GPS réelle, modifiant ainsi le cap du yacht[13],[14],[15].
Usurpation du GPS russe
[modifier | modifier le code]En , une vingtaine de navires en mer Noire se sont plaints d'anomalies GPS (américaines), montrant que les navires étaient transpositionnés à des kilomètres de leur emplacement réel, dans ce que le professeur Todd Humphreys croyait être très probablement une attaque par usurpation[15]. Des anomalies GPS autour du palais de Poutine et du Kremlin de Moscou ont amené les chercheurs à croire que les autorités russes utilisent l'usurpation d'identité GPS partout où se trouve Vladimir Poutine, affectant le trafic maritime[15],[16]. D'autres incidents impliquant l'usurpation du GPS russe, y compris l'usurpation d'identité par la Norvège lors d'un exercice de l'OTAN qui a conduit à une collision de navires (non confirmée par les autorités)[17] et l'usurpation depuis la Syrie par l'armée russe qui a affecté l'aéroport principal israélien de Tel-Aviv ont été relevés[18].
Usurpation GPS avec SDR
[modifier | modifier le code]Depuis l'avènement de la radio logicielle, des applications de simulation GPS ont été mises à la disposition du grand public. Cela a rendu l'usurpation d'identité GPS beaucoup plus accessible, ce qui signifie qu'elle peut être effectuée à un coût limité et avec un minimum de connaissances techniques[19]. L'application de cette technologie à d'autres systèmes GNS reste à démontrer.
Empêcher l'usurpation d'identité GNSS
[modifier | modifier le code]Il existe plusieurs façons d'empêcher l'usurpation d'identité GNSS. Certains matériels et certains systèmes basés sur des logiciels existent déjà. Une approche simplifiée pour améliorer la résilience de l'équipement GNSS contre les attaques d'usurpation d'identité qui ne nécessite pas de modifications du matériel et qui est indépendante des récepteurs GPS et de l'architecture variables de chaque système consiste à utiliser un logiciel anti-usurpation d'identité. Un logiciel anti-usurpation, similaire à une solution antivirus, peut être ajouté à n'importe quelle partie d'un système où les données GNSS sont traitées. Une telle technologie anti-usurpation transparente est capable de détecter de faux signaux GNSS et peut avertir ou empêcher un système d'utiliser l'entrée fabriquée pour un traitement ultérieur. Une fonctionnalité de détection basée sur un logiciel peut empêcher les effets des attaques d'usurpation d'identité sans modifier manuellement le matériel de l'équipement GNSS tel que les antennes. De plus, une solution logicielle connectée permet des mises à jour régulières afin de rester à jour, tout comme un anti-virus, avec des méthodes d'attaque en constante évolution. Le département de la Sécurité intérieure, en collaboration avec le Centre national d'intégration de la cybersécurité et des communications (NCCIC) et le Centre national de coordination des communications (NCC), a publié un document qui énumère les méthodes pour empêcher ce type d'usurpation d'identité, dont certains sont des plus importants et des plus recommandés à utiliser[20].
- Antennes obscures. Installez des antennes là où elles ne sont pas visibles depuis des endroits accessibles au public ou masquez leurs emplacements exacts en introduisant des obstacles pour cacher les antennes.
- Ajoutez un capteur/bloqueur. Les capteurs peuvent détecter les caractéristiques des signaux d'interférence, de brouillage et d'usurpation d'identité, fournir une indication locale d'une attaque ou d'une condition anormale, communiquer des alertes à un site de surveillance à distance et collecter et rapporter des données à analyser à des fins médico-légales[21].
- Étendez les listes blanches d'usurpation de données aux capteurs. Les listes blanches d'usurpation de données existantes ont été et sont implémentées dans les logiciels de référence du gouvernement, et devraient également être implémentées dans les capteurs.
- Utilisez plus de types de signaux GNSS. Les signaux GPS civils modernisés sont plus robustes que le signal L1 et doivent être exploités pour une résistance accrue aux interférences, au brouillage et à l'usurpation d'identité.
- Réduisez la latence dans la reconnaissance et le signalement des interférences, du brouillage et de l'usurpation d'identité. Si un récepteur est induit en erreur par une attaque avant que l'attaque ne soit reconnue et signalée, les dispositifs de sauvegarde peuvent être corrompus par le récepteur avant le transfert.
Ces stratégies d'installation et d'exploitation et les opportunités de développement peuvent améliorer considérablement la capacité des récepteurs GPS et des équipements associés à se défendre contre une gamme d'attaques d'interférence, de brouillage et d'usurpation d'identité. Un logiciel de détection indépendant du système et du récepteur offre une applicabilité en tant que solution intersectorielle. La mise en œuvre du logiciel peut être effectuée à différents endroits du système, selon l'endroit où les données GNSS sont utilisées, par exemple dans le cadre du micrologiciel de l'appareil, du système d'exploitation ou au niveau de l'application.[réf. nécessaire]
Une méthode proposée par des chercheurs du département de génie électrique et informatique de l'université du Maryland, College Park et de l'École d'information optique et électronique de l'université des sciences et technologies de Huazhong qui vise à aider à atténuer les effets des attaques d'usurpation d'identité GNSS en utilisant des données à partir d'un bus CAN (Controller Area Network) de véhicules. Les informations seraient comparées à celles des données GNSS reçues et comparées afin de détecter l'occurrence d'une attaque par usurpation d'identité et de reconstruire le trajet de conduite du véhicule à l'aide de ces données collectées. Des propriétés telles que la vitesse des véhicules et l'angle de braquage seraient fusionnées et modélisées par régression afin d'obtenir une erreur de position minimale de 6,25 mètres[22]. De même, une méthode décrite par des chercheurs dans un document de conférence IEEE Intelligent Vehicles Symposium 2016 discute de l'idée d'utiliser le régulateur de vitesse adaptatif coopératif (CACC) et les communications de véhicule à véhicule (V2V) afin d'atteindre un objectif similaire. Dans cette méthode, les capacités de communication des deux voitures et les mesures radar sont utilisées pour comparer la position GNSS fournie des deux voitures afin de déterminer la distance entre les deux voitures qui est ensuite comparée aux mesures radar et vérifiée pour s'assurer qu'elles correspondent. Si les deux longueurs correspondent à une valeur seuil, aucune usurpation ne s'est produite, mais au-dessus de ce seuil, l'utilisateur est alerté afin qu'il puisse agir[23].
Usurpation vocale
[modifier | modifier le code]Les technologies de l'information jouent un rôle de plus en plus important dans le monde d'aujourd'hui et différentes méthodes d'authentification sont utilisées pour restreindre l'accès aux ressources informationnelles, y compris la biométrie vocale. Des exemples d'utilisation de systèmes de reconnaissance de locuteurs comprennent les systèmes bancaires en ligne, l'identification du client lors d'un appel à un centre d'appels, ainsi que l'identification passive d'un éventuel criminel à l'aide d'une « liste noire » prédéfinie[24].
Les technologies liées à la synthèse et à la modélisation de la parole se développent très rapidement, vous permettant de créer des enregistrements vocaux presque impossibles à distinguer des vrais. Ces services sont appelés services de synthèse vocale (TTS) ou de transfert de style . Le premier visait à créer une nouvelle personne. Le second vise à s'identifier comme un autre dans les systèmes d'identification vocale.
Un grand nombre de scientifiques s'affairent à développer des algorithmes qui seraient capables de distinguer la voix synthétisée de la machine de la vraie. D'un autre côté, ces algorithmes doivent être testés de manière approfondie pour s'assurer que le système fonctionne vraiment[25].
Notes et références
[modifier | modifier le code]- (en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Spoofing attack » (voir la liste des auteurs).
- K. Jindal, S. Dalal et K. K. Sharma, « Analyzing Spoofing Attacks in Wireless Networks », 2014 Fourth International Conference on Advanced Computing Communication Technologies, , p. 398–402 (ISBN 978-1-4799-4910-6, DOI 10.1109/ACCT.2014.46, lire en ligne).
- « Canadian banks hit by two-year domain name spoofing scam », Finextra,
- « Domain spoofing », Barracuda Networks.
- Tara Seals, « Mass Spoofing Campaign Abuses Walmart Brand », threatpost, .
- John Gantz et Rochester, Jack B., Pirates of the Digital Millennium, Upper Saddle River, NJ 07458, Prentice Hall, (ISBN 0-13-146315-2).
- (en-GB) « VPNs Are Primarily Used to Access Entertainment », GlobalWebIndex Blog, (consulté le ).
- (en-GB) Haley Hintze, « California Online Poker Pro Forfeits Over $90,000 for Geolocation-Evading New Jersey Play », Flushdraw.net, (consulté le ).
- Bruce Schneier, « Caller ID Spoofing », schneier.com, (consulté le ).
- Scott Peterson et Payam Faramarzi, « Exclusive: Iran hijacked US drone, says Iranian engineer », Christian Science Monitor, (lire en ligne).
- Hengqing Wen, Peter Huang, John Dyer, Andy Archinal et John Fagan, « Countermeasures for GPS signal spoofing » [archive du ], University of Oklahoma, (consulté le ).
- T.E. Humphreys, B. M. Ledvina, M. Psiaki et B. W. O'Hanlon, « Assessing the Spoofing Threat: Development of a Portable GPS Civilian Spoofer », Ion GNSS, (lire en ligne, consulté le ).
- Jon S. Warner et Roger G. Johnston, GPS Spoofing Countermeasures, homelandsecurity.org, (lire en ligne [archive du ]).
- « Students Hijack Luxury Yacht »(Archive.org • Wikiwix • Archive.is • Google • Que faire ?), Secure Business Intelligence Magazine.
- « UT Austin Researchers Successfully Spoof an $80 million Yacht at Sea », The University of Texas at Austin, (consulté le ).
- Dana A. Goward, « Mass GPS Spoofing Attack in Black Sea? », The Maritime Executive, (consulté le ) : « An apparent mass and blatant, GPS spoofing attack involving over 20 vessels in the Black Sea last month has navigation experts and maritime executives scratching their heads ».
- [vidéo] Norwegian Broadcasting Corporation, « Moscow correspondent Morten Jentoft shows GPS trouble near Kremlin », sur YouTube.
- « Russia suspected of jamming GPS signal in Finland », BBC News, (consulté le ).
- Times Of Israel, « Disruption of GPS systems at Ben Gurion Airport resolved after 2 months », sur Times of Israel, (consulté le )
- DEFCONConference, « DEF CON 25 - David Robinson - Using GPS Spoofing to control time », sur YouTube, (consulté le ).
- The Department of Homeland Security. "Improving the Operation and Development of Global Positioning System (GPS) Equipment Used by Critical Infrastructure". Retrieved November 12, 2017.
- Erik Lundberg et Ian McMichael, « Novel Timing Antennas for Improved GNSS Resilience », Mitre Corporation, .
- Wang, Qian & Lu, Zhaojun & Qu, Gang. (2018). Edge Computing based GPS Spoofing Detection Methods. 10.1109/ICDSP.2018.8631600.
- N. Carson, Martin, S., Starling, J. et Bevly, D. « GPS spoofing detection and mitigation using Cooperative Adaptive Cruise Control system » () (DOI 10.1109/IVS.2016.7535525)
—2016 IEEE Intelligent Vehicles Symposium (IV), 2016-. - (en) Vadim Shchemelinin, Mariia Topchina et Konstantin Simonchik, « Vulnerability of Voice Verification Systems to Spoofing Attacks by TTS Voices Based on Automatically Labeled Telephone Speech », Speech and Computer, Cham, Springer International Publishing, lecture Notes in Computer Science, vol. 8773, , p. 475–481 (ISBN 978-3-319-11581-8, DOI 10.1007/978-3-319-11581-8_59, lire en ligne).
- Aleksandr M. Sinitca, Nikita V. Efimchik, Evgeniy D. Shalugin et Vladimir A. Toropov, « Voice Antispoofing System Vulnerabilities Research », 2020 IEEE Conference of Russian Young Researchers in Electrical and Electronic Engineering (EIConRus), St. Petersburg and Moscow, Russia, IEEE, , p. 505–508 (ISBN 978-1-7281-5761-0, DOI 10.1109/EIConRus49466.2020.9039393, lire en ligne).