Le vol de session TCP

Le « vol de session TCP » (également appelé détournement de session TCP ou en anglais TCP session hijacking) est une technique consistant à intercepter une session TCP initiée entre deux machine afin de la détourner.

Dans la mesure où le contrôle d'authentification s'effectue uniquement à l'ouverture de la session, un pirate réussissant cette attaque parvient à prendre possession de la connexion pendant toute la durée de la session.

Source-routing

La méthode de détournement initiale consistait à utiliser l'option source routing du protocole IP. Cette option permettait de spécifier le chemin à suivre pour les paquets IP, à l'aide d'une série d'adresses IP indiquant les routeurs à utiliser.

En exploitant cette option, le pirate peut indiquer un chemin de retour pour les paquets vers un routeur sous son contrôle.

Attaque à l'aveugle

Lorsque le source-routing est désactivé, ce qui est le cas de nos jours dans la plupart des équipements, une seconde méthode consiste à envoyer des paquets « à l'aveugle » (en anglais « blind attack »), sans recevoir de réponse, en essayant de prédire les numéros de séquence.

Man in the middle

Enfin, lorsque le pirate est situé sur le même brin réseau que les deux interlocuteurs, il lui est possible d'écouter le réseau et de « faire taire » l'un des participants en faisant planter sa machine ou bien en saturant le réseau afin de prendre sa place.

Plus d'information

• CERT® Advisory CA-1995-01 IP Spoofing Attacks and Hijacked Terminal Connections
• RFC 793 - Transmission Control Protocol - Protocol Specification
• RFC 1948 - Defending Against Sequence Number Attacks