LabEx
EntrerRejoindre

Identifier des identifiants de connexion exposés

WiresharkBeginner
Pratiquer maintenant

Introduction

Dans ce défi, vous endosserez le rôle d'un spécialiste de la sécurité réseau enquêtant sur une fuite de données potentielle au sein de votre entreprise. Votre mission consiste à analyser le trafic réseau à l'aide de Wireshark pour déterminer si des identifiants d'utilisateur ont été transmis en texte clair, ce qui pourrait expliquer la compromission d'informations sensibles.

Ce défi vous demande d'examiner des fichiers de capture de paquets (PCAP) de communications réseau récentes afin de traquer les identifiants de connexion exposés. En appliquant des techniques d'analyse de paquets, vous identifierez les cas où des noms d'utilisateur et des mots de passe ont pu être transmis sans chiffrement adéquat, soulignant ainsi l'importance cruciale des protocoles sécurisés pour la gestion des données d'authentification.

Identifier des identifiants de connexion exposés

Votre entreprise a détecté une fuite de données potentielle. En tant que spécialiste de la sécurité réseau, vous devez analyser le trafic réseau récent pour déterminer si des identifiants d'utilisateur ont été transmis en texte clair, ce qui pourrait expliquer cette fuite.

Tâches

  • Créer un filtre d'affichage pour trouver les paquets contenant les mots 'user', 'pass' ou 'login'
  • Identifier et extraire les identifiants exposés
  • Documenter les identifiants découverts dans le format requis

Exigences

  • Ouvrez le fichier de capture de paquets situé à /home/labex/project/network_analysis/company_traffic.pcap avec Wireshark

  • Créez un filtre d'affichage qui affichera les paquets contenant des informations d'identification potentielles

  • Votre filtre doit rechercher les mots 'user', 'pass' ou 'login' dans le contenu des paquets

  • Enregistrez votre filtre pour vérification en cliquant sur le bouton "+" dans la barre de filtre après avoir testé son bon fonctionnement

  • Une fois les identifiants trouvés, enregistrez-les dans un fichier nommé /home/labex/project/network_analysis/found_credentials.txt en respectant ce format :

    username: [found username]
password: [found password]

Exemples

Lorsque vous appliquez le filtre correct, Wireshark ne doit afficher que les paquets contenant des informations d'identification. Le paquet contenant les identifiants peut apparaître comme HTTP ou TCP dans la liste des paquets ; concentrez-vous donc sur le contenu du paquet plutôt que sur la seule colonne Protocole.

No.  Time     Source        Destination   Protocol  Length  Info
1    0.000000 192.168.0.2   192.168.0.1   TCP       193     51234 -> 80 [PSH, ACK] Len=139

En examinant les détails du paquet ou en suivant le flux (Follow Stream), vous devriez être en mesure de voir les informations d'identification en texte clair :

GET /login.php HTTP/1.1
content: username=admin&password=secret123

Votre fichier found_credentials.txt devrait ressembler à ceci :

username: admin
password: secret123

Conseils

  • Lancez Wireshark depuis le terminal avec la commande wireshark
  • Pour ouvrir le fichier de capture, utilisez File > Open et naviguez jusqu'à l'emplacement du fichier
  • La barre de filtre d'affichage se trouve en haut de la fenêtre Wireshark
  • Pour rechercher plusieurs termes avec une logique OU, utilisez or ou la double barre verticale || (par exemple : frame contains "user" or frame contains "pass")
  • Recherchez dans le contenu des paquets plutôt que de vous fier uniquement à la colonne Protocole, car la requête correspondante peut apparaître comme un paquet TCP dans la liste
  • Les filtres Wireshark sont sensibles à la casse par défaut
  • Vous pouvez créer le fichier d'identifiants avec n'importe quel éditeur de texte comme nano ou gedit

Résumé

Dans ce défi, j'ai appris à utiliser Wireshark pour analyser le trafic réseau et identifier des vulnérabilités de sécurité liées à l'exposition d'identifiants. La tâche consistait à examiner un fichier PCAP du trafic réseau de l'entreprise pour localiser les cas où des identifiants d'utilisateur étaient transmis en texte clair, ce qui pourrait expliquer une fuite de données détectée.

Grâce à une inspection minutieuse des paquets, j'ai découvert une requête de connexion contenant des données non chiffrées : username=admin&password=secret123. Selon la manière dont Wireshark dissèque le paquet, celui-ci peut apparaître dans la liste sous forme HTTP ou TCP ; cet exercice a donc également renforcé l'importance d'inspecter directement le contenu des paquets plutôt que de se fier uniquement à l'étiquette du protocole. Cet exercice a mis en évidence l'importance cruciale de l'utilisation de protocoles chiffrés comme HTTPS pour la transmission d'informations sensibles.

✨ Vérifier la solution et pratiquer
Connexe Wireshark Cours
Wireshark pour débutants

Wireshark pour débutants

cybersecuritywireshark
Analyse de cybersécurité avec Wireshark et Tshark

Analyse de cybersécurité avec Wireshark et Tshark

cybersecuritywireshark