Récupérer et Localiser une adresse ip
Il y a quelques temps déjà, j’ai rédigé un article expliquant ce que l’on peut faire avec une adresse IP.
Pour ceux qui n’ont pas encore eu l’occasion de le lire, le voici :
https://www.leblogduhacker.fr/que-peut-on-faire-avec-mon-adresse-ip/
J’expliquais dans cet article qu’on ne peut pas faire grand-chose avec une adresse IP. Cela est vrai surtout du point de vue technique.
On verra dans cette deuxième partie de l’article que l’on peut tout de même conclure certaines choses à partir d’une adresse IP sans pour autant changer le sens de l’article précédent. Nous verrons également comment localiser une adresse IP.
Table des matières
Que peut-on faire techniquement ?
Pour commencer, il faut savoir que les ordinateurs sur le réseau communiquent avec des ports et des adresses IP.
L’adresse IP étant l’adresse de l’ordinateur, tout comme vous avez une adresse postale pour votre maison. Les ports sont comme les numéros des portes de la maison.
Si jamais votre maison ne contient qu’une porte, imaginez plutôt un hôtel : l’adresse de l’hôtel est la même pour tous les clients, mais chacun a un numéro de chambre à part.
À partir de là nous pouvons entrer dans un tas de définitions techniques.
Nous avons tout d’abord DHCP, il s’agit en quelque sorte du « conseil municipal » qui assigne les adresses des maisons. Techniquement, il assigne les adresses IP à chaque ordinateur dans le réseau concerné.
Ensuite vient le pare-feu et la NAT (Network Address Translation).
Commençons par le pare-feu
Ce gars là, c’est le garde de sécurité des maisons, ou de l’hôtel. Il veille à ce que personne n’entre en fermant bien toutes les portes.
Techniquement, le pare-feu bloque ou autorise des ports.
Vient ensuite la NAT, qui a été inventée pour résoudre un problème : Il y a 4 milliards d’adresses IPv4 disponibles, mais à l’échelle d’Internet c’est trop peu.
La NAT permet donc de regrouper tous les ordinateurs d’un même réseau local sous une même adresse IP. Pour revenir à l’exemple des maisons, c’est comme si il y avait une seule adresse pour une maison qui en regroupe en fait plusieurs. La NAT doit donc gérer tout cela, notamment savoir à qui est destiné le courrier dans l’ensemble des maisons ayant la même adresse.
Les modems/routeurs (les box internet) font de la NAT, ce qui veut dire que votre adresse IP publique est aussi celle de votre frère à l’étage ou celle de votre conjoint avec son pc portable ou même celle de papi avec sa tablette. En effet, votre adresse IP publique est en fait celle de votre box et non pas celle de votre ordinateur actuel.
« Mais alors Michel quelle est la vraie adresse IP de mon ordinateur ?«
Je ne saurais vous le dire, mais il s’agit très probablement d’une adresse du type 192.168.0.1 aussi appelée adresse locale, qui n’est donc pas utilisée publiquement sur Internet contrairement à l’adresse publique de votre box (celle que vous obtenez ici : http://whatismyipaddress.com/).
D’ailleurs si cela vous intéresse, vous pouvez ouvrir un invite de commande à l’aide des touches Windows + R puis taper cmd.exe. Une fois l’invite de commande ouvert, tapez la commande :
ipconfig
Mon adresse est ici : 192.168.0.11. Les adresses locales des autres ordinateurs de mon réseau local seront différentes.
Sous Linux vous pouvez utiliser la commande :
ifconfig
Bien, tout ça pour dire que lorsque l’on récupère votre adresse IP, on récupère en fait l’adresse IP (publique) de votre box.
Pour finir sur les détails, non seulement votre box fait de la NAT mais elle fait aussi office de serveur DHCP car elle attribue ces adresses IP locales aux ordinateurs de votre réseau. Et en plus, elle peut faire office de pare-feu pour bloquer en amont des ports.
C’est pour la même raison que vous avez peut-être entendu parler de port forwarding, il s’agit de rendre accessible une machine locale (ex: 192.168.1.20) depuis l’extérieur en utilisant l’adresse IP publique. La box saura donc qu’un tel port utilisé sur son adresse publique doit être « calqué » sur telle adresse locale.
Habituellement, la NAT agit aussi comme un pare-feu, en rejetant par défaut le trafic non autorisé, à moins justement de l’autoriser via le port forwarding.
Pour conclure, si vous n’avez pas de serveur web ou de services spécifiques avec port forwarding sur votre pc, il y a peu de chance de trouver un point d’entrée vers votre système depuis l’extérieur de votre réseau.
Si vous souhaitez tout de même observer vos ports ouverts, vous pouvez utiliser Nmap sur votre adresse IP locale, cela donnera quelque chose l’exemple suivant sous Kali Linux :
root@kali:~# nmap 192.168.0.11 Starting Nmap 6.47 ( http://nmap.org ) Nmap scan report for 192.168.0.11 Host is up (0.00077s latency). Not shown: 993 filtered ports PORT STATE SERVICE 135/tcp open msrpc 139/tcp open netbios-ssn 445/tcp open microsoft-ds 554/tcp open rtsp 843/tcp open unknown 2869/tcp open icslap
Les services suivants pourraient être attaqués par une personne se trouvant dans le même réseau local, et en supposant qu’ils soient faillibles.
Vous pouvez également lancer la commande suivante en tant qu’administrateur sous Windows :
netstat /a /b
Pour afficher la liste de tous les ports ouverts et des communications effectuées.
Sous Linux, il s’agit de :
netstat -plntu« Donne moi ton IP, je te dirai qui tu es »Cliquez pour tweeterPartager sur FacebookPartager sur LinkedIn
Donc, sans grosse faille de sécurité et sans attaquant dans votre propre réseau local on ne peut pas faire grand-chose.
Ceci étant dit, il reste un autre moyen technique d’attaquer une adresse IP, on l’a déjà vu, il s’agit du fameux déni de service.
Déni de service ?
Le déni de service (DoS) consiste à envoyer massivement des données réseau sur une machine donnée, de façon à la surcharger et la faire planter. Cette machine pourrait être votre box. Le déni de service est souvent difficile à contrer car même avec un pare-feu installé, ce dernier doit recevoir la requête avant de pouvoir l’autoriser ou la bloquer.
Par exemple, un garde d’un hôtel peu arrêter une ou deux personnes, mais pas un troupeau qui vient défoncer la porte.
Une attaque réussie pourrait ainsi rendre indisponible tout votre accès à Internet pendant toute la durée de l’attaque.
Comment contre un déni de service sur adresse IP?
La plupart des box enregistrent des logs d’accès et le support technique du fournisseur d’accès est censé être réactif pour changer votre adresse IP en cas d’attaque. Vous pouvez également déposer plainte avec le fichier de logs en main si jamais ça se produit.
Comment savoir si je suis victime d’une attaque par déni de service ?
L’attaque prend un certain temps avant de rendre une machine inutilisable. Si votre connexion se met à sauter et à devenir lente vous pouvez ouvrir un invite de commande (cmd.exe) et effectuer une requête ping vers google, par exemple.
ping www.google.fr -n 10
Ici -n 10 signifie que l’on envoie 10 demandes. Vous pouvez passer à 20 ou 30.
Voici une capture d’écran:
Observez le temps en millisecondes. Sur la capture d’écran il reste stable autour de 30ms. Si jamais il augmente (30,50,100,800…etc) vous êtes potentiellement attaqué. D’ailleurs lorsque vous n’avez plus de réseau vous recevrez quelque chose comme « Délai d’attente de la demande dépassé ».
Je dis « potentiellement attaqué » car ce n’est pas toujours le cas et il est donc inutile de crier au déni de service si jamais le temps de ping augmente.
Pour récupérer l’adresse IP du propriétaire d’un déni de service, un coup d’œil à la commande netstat citée plus haut suffit généralement à détecter de nombreuses connexions provenant d’une même adresse IP.
Le cas des dénis de services distribués (DDoS)
Là où ça se complique, c’est lorsqu’il s’agit d’un déni de service distribué : Beaucoup de machines différentes attaquent en même temps.
Dans ce cas il n’est plus possible d’empêcher ou de repérer une machine particulière car il y a en potentiellement des dizaines de milliers.
À ce propos, si les visualisations des attaques ddos vous intéressent, vous en trouverez une ici :
http://www.spam404.com/live-ddos-attacks.html
et l’autre là :
https://www.facebook.com/video.php?v=554798894651713&permPage=1
La solution pour contrer un déni de service distribué ?
Changer son adresse IP. Et ça, c’est un problème lorsqu’on a une adresse IP statique car il faut faire la demande auprès du fournisseur d’accès…
Lorsqu’on a une adresse IP dynamique, un redémarrage de la box (ou une option via la panneau de configuration) devrait permettre de se voir réattribuer une nouvelle adresse.
Un moyen de prévenir les attaques par DDOS ?
Oui, utiliser un VPN pour rester anonyme et éviter la récupération de votre propre adresse IP. J’en parle ici et j’en parlerai encore prochainement.
Que peut-on faire autrement ?
Localiser une adresse IP
Nous voici dans la deuxième partie de l’article. Nous allons parler de méthodes bien souvent négligées ou inconnues des internautes.
Nous avons vu ce qu’il est techniquement possible de faire avec une adresse IP, nous allons maintenant voir qu’il n’y a pas que de la technique.
En effet, l’adresse IP se situe dans un endroit géographique précis à un moment donné (à moins que votre routeur ne se téléporte). Et cet endroit peut être déterminé !
Il n’y a jamais de façon sûre de géolocaliser une adresse IP c’est pour cela qu’on dit « déterminé » et non pas « calculé » ou « récupéré ».
Peut-on alors vraiment me localiser via mon adresse IP ?
Oui et de deux façons différentes.
Première façon:
Même si vous disposez d’une adresse IP dynamique, votre fournisseur d’accès conserve systématiquement et automatiquement toutes les traces pendant une durée de 6 mois à deux ans.
Voir : http://fr.wikipedia.org/wiki/Directive_2006/24/CE_sur_la_conservation_des_donn%C3%A9es
Je cite :
en particulier en vue de :pouvoir tracer et identifier la source d'une communication;pouvoir tracer et identifier la destination d'une communication;pouvoir identifier la date, l'heure et la durée d'une communication;pouvoir identifier le type de communication;pouvoir identifier la machine utilisée pour communiquer;pouvoir identifier la localisation des équipements de communication mobile.
Cela signifie qu’en déposant plainte avec une adresse IP donnée, la justice n’aura qu’à récupérer les enregistrements chez le fournisseur d’accès pour connaître la véritable personne derrière l’adresse IP.
Deuxième façon
Si je suis en possession d’une adresse IP particulière dont je ne connais pas l’auteur, admettons 0.1.2.3. Et que je récupère l’adresse IP d’une personne précise qui s’avère être aussi 0.1.2.3, j’ai directement fait le lien entre les deux.
On me contacte souvent pour me demander comment retrouver le propriétaire d’une adresse IP spécifique. Étant donné que la plupart des piratages sont initiés par des personnes de l’entourage, il n’y a qu’à récupérer les adresses IP des personnes suspectes et à les comparer à l’adresse IP de l’attaquant. Des fois il suffit même d’utiliser l’estimation géographique de l’adresse IP de l’attaquant pour trouver de qui il s’agit.
Comment récupérer ces adresses IP ?
Il y a plusieurs façons, rien que par le fait que n’importe quel site peut récupérer les adresses IP des visiteurs.
Si cela vous intéresse, je vous laisse faire un tour par ici :
https://www.leblogduhacker.fr/comment-recuperer-une-adresse-ip/
Par contre pour ce qui est du traitement des adresses IP, je vous précise que c’est une donnée à caractère personnel, avec les lois qui s’appliquent derrière cela…