Identifier une attaque de l'homme du milieu (MitM). Tout sur l'attaque de l'homme du milieu (MitM) Sécuriser le protocole de communication

Connaissances en informatique

18.10.2016 | Vladimir Khazov

Les plans du FSB, du ministère des Télécoms et des Communications de masse et du ministère de l'Industrie et du Commerce pour mettre en œuvre les dispositions de la loi Yarovaya en termes d'interception et de décryptage de la correspondance des Russes ne sont plus seulement des plans, et commencent déjà à être mise en œuvre par une commande pour la préparation d'un avis d'expert sur la possibilité d'intercepter des messages WhatsApp, Viber, Facebook Messenger, Telegram, Skype à l'aide d'attaques MITM et démonstration d'un prototype d'un tel outil.

Nous avons parlé du projet d'organisation d'une attaque "légitime" du MITM dans le dernier article. Aujourd'hui nous allons nous attarder plus en détail sur le principe même d'une telle attaque et les modalités de sa mise en œuvre.

Qu'est-ce qu'une attaque MITM

Man In The Middle (MITM) se traduit par "l'homme au milieu". Ce terme désigne une attaque réseau où un attaquant se situe entre l'internaute et l'application à laquelle il accède. Pas dans le plan physique, bien sûr, mais à l'aide d'un logiciel spécial. Il est présenté à l'utilisateur par l'application demandée (il peut s'agir d'un site Web ou d'un service Internet), simule son utilisation et le fait de manière à donner l'impression d'un fonctionnement et d'un échange d'informations normaux.

La cible de l'attaque sont les données personnelles de l'utilisateur, telles que les identifiants de connexion pour divers systèmes, les coordonnées bancaires et les numéros de carte, la correspondance personnelle et d'autres informations confidentielles. Dans la plupart des cas, les attaques ciblent les applications financières (banques clientes, banques en ligne, services de paiement et de transfert d'argent), les services SaaS d'entreprise, les sites de commerce électronique (boutiques en ligne) et d'autres sites où une autorisation est requise pour entrer dans le système.

Les informations reçues par l'attaquant peuvent être utilisées à diverses fins, notamment les transferts d'argent illégaux, le changement de compte, l'interception de correspondance personnelle, l'achat aux frais de quelqu'un d'autre, la compromission et le chantage.

De plus, après le vol des identifiants et le piratage du système, des malfaiteurs peuvent installer des logiciels malveillants sur le réseau de l'entreprise pour organiser le vol de propriété intellectuelle (brevets, projets, bases de données) et causer des dommages économiques en supprimant des données importantes.

Une attaque MITM peut être comparée à un facteur qui, lors de la livraison de votre correspondance, ouvre une lettre, réécrit son contenu pour un usage personnel, ou encore, ayant falsifié une écriture manuscrite, ajoute quelque chose qui lui est propre, puis scelle l'enveloppe et la livre au destinataire comme si de rien n'était... De plus, si vous avez crypté le texte de la lettre et que vous souhaitez communiquer personnellement le code de décryptage au destinataire, le facteur se présentera comme le destinataire afin que vous ne remarquiez même pas la substitution.

Comment une attaque MITM est menée

L'exécution d'une attaque MITM comprend deux phases : l'interception et le décryptage.

  • Interception

La première étape d'une attaque consiste à intercepter le trafic d'un utilisateur vers une cible désignée et à le diriger vers le réseau de l'attaquant.

Le moyen le plus courant et le plus simple d'intercepter est une attaque passive, lorsqu'un attaquant crée des points d'accès Wi-Fi avec un accès gratuit (pas de mot de passe ni d'autorisation). Au moment où un utilisateur se connecte à un tel point, l'attaquant accède à tout le trafic qui le traverse et peut en extraire toutes les données pour l'interception.

La deuxième méthode est l'interception active, qui peut être effectuée par l'une des options suivantes :

Usurpation d'adresse IP- usurper l'adresse IP de la cible dans l'entête du paquet avec l'adresse de l'attaquant. En conséquence, les utilisateurs, au lieu d'aller à l'URL demandée, se retrouvent sur le site de l'attaquant.

Usurpation d'ARP- substitution de l'adresse MAC réelle de l'hôte à l'adresse de l'attaquant dans la table ARP de la victime. En conséquence, les données envoyées par l'utilisateur à l'adresse IP de l'hôte requis parviennent à l'adresse de l'attaquant.

Usurpation DNS - Infection du cache DNS, infiltration du serveur DNS et substitution d'un enregistrement de correspondance d'adresse de site Web. En conséquence, l'utilisateur essaie d'accéder au site demandé, mais reçoit l'adresse du site de l'attaquant du serveur DNS.

  • Décryptage

Après l'interception, le trafic SSL bidirectionnel doit être décrypté, et cela doit être fait de manière à ce que l'utilisateur et la ressource demandée par lui ne remarquent pas l'interférence.

Il existe plusieurs méthodes pour cela :

Usurpation HTTPS- un faux certificat est envoyé au navigateur de la victime au moment d'établir une connexion au site utilisant le protocole HTTPS. Ce certificat contient la signature numérique de l'application compromise, ce qui fait que le navigateur accepte la connexion avec l'attaquant comme fiable. Une fois qu'une telle connexion est établie, l'attaquant accède à toutes les données saisies par la victime avant qu'elles ne soient transmises à l'application.

SSL BÊTE(exploit de navigateur contre SSL / TLS) - L'attaque exploite la vulnérabilité SSL dans les versions TLS 1.0 et 1.2. L'ordinateur de la victime est infecté par du code JavaScript malveillant qui intercepte les cookies cryptés envoyés à l'application Web. Cela compromet le mode de chiffrement "cipher block chaining" afin que l'attaquant obtienne les cookies déchiffrés et les clés d'authentification.

piratage SSL- transfert de fausses clés d'authentification à l'utilisateur et à l'application au moment du début de la session TCP. Cela crée l'apparence d'une connexion sécurisée alors qu'en fait la session est contrôlée par un homme au milieu.

Décapage SSL- Déclasse la connexion de HTTPS sécurisé à HTTP simple en interceptant l'authentification TLS envoyée par l'application à l'utilisateur. L'attaquant fournit à l'utilisateur un accès non crypté au site, et il maintient lui-même une session sécurisée avec l'application, obtenant ainsi la possibilité de voir les données transmises par la victime. \

Protection contre les attaques MITM

Une protection fiable contre les attaques MITM est possible lorsque l'utilisateur effectue plusieurs actions préventives et utilise une combinaison de méthodes de cryptage et d'authentification par les développeurs d'applications Web.

Actions de l'utilisateur :

  • Évitez de vous connecter à des points d'accès Wi-Fi qui n'ont pas de protection par mot de passe. Désactivez la fonction de connexion automatique aux points d'accès connus - un attaquant peut déguiser son Wi-Fi en légitime.
  • Faites attention à la notification du navigateur concernant la transition vers un site non protégé. Un tel message peut indiquer une transition vers un faux site d'un attaquant ou un problème de protection d'un site légitime.
  • Déconnectez-vous de l'application si elle n'est pas en cours d'utilisation.
  • N'utilisez pas les réseaux publics (cafés, parcs, hôtels, etc.) pour des transactions confidentielles (correspondance commerciale, transactions financières, achats dans les magasins en ligne, etc.).
  • Utilisez un antivirus avec des bases de données à jour sur votre ordinateur ou ordinateur portable, il vous aidera à vous protéger contre les attaques utilisant des logiciels malveillants.

Les développeurs d'applications et de sites Web doivent utiliser des protocoles sécurisés TLS et HTTPS, qui compliquent grandement les attaques d'usurpation d'identité en cryptant les données transmises. De plus, leur utilisation empêche l'interception du trafic afin d'obtenir des paramètres d'autorisation et des clés d'accès.

Il est considéré comme une bonne pratique de sécuriser TLS et HTTPS non seulement des pages d'autorisation, mais également de toutes les autres sections du site. Cela réduit le risque qu'un attaquant vole les cookies de l'utilisateur au moment où il navigue sur des pages non protégées après avoir passé l'autorisation.

La protection contre les attaques MITM est de la responsabilité de l'utilisateur et de l'opérateur télécom. Le plus important pour l'utilisateur est de ne pas perdre sa vigilance, de n'utiliser que des méthodes éprouvées d'accès à Internet, et de choisir des sites avec cryptage HTTPS pour transférer des données personnelles. Les opérateurs de télécommunications peuvent être invités à utiliser des systèmes d'inspection approfondie des paquets (DPI) pour détecter les anomalies dans les réseaux de données et empêcher les attaques par usurpation d'identité.

Les agences gouvernementales prévoient d'utiliser l'attaque MITM pour protéger les citoyens, et non leur nuire, contrairement aux attaquants. L'interception de messages privés et autres trafics d'utilisateurs est réalisée dans le cadre de la législation en vigueur, réalisée par décision des autorités judiciaires pour lutter contre le terrorisme, le trafic de drogue et autres activités interdites. Pour les utilisateurs ordinaires, les attaques MITM « légitimes » ne sont pas dangereuses.

Il existe presque toujours plusieurs façons d'obtenir le résultat souhaité. Ceci s'applique également au domaine de la sécurité de l'information. Parfois, pour atteindre un objectif, vous pouvez utiliser la force brute, rechercher des failles et développer vous-même des exploits, ou écouter ce qui est transmis sur le réseau. De plus, cette dernière option est souvent optimale. C'est pourquoi nous parlerons aujourd'hui d'outils qui nous aideront à extraire des informations précieuses pour nous du trafic réseau, attirant pour cela des attaques MITM.

MITMf

Commençons par l'un des candidats les plus intéressants. Il s'agit d'un cadre complet pour les attaques de type man-in-the-middle, construit sur la base de sergio-proxy. Récemment inclus dans Kali Linux. Pour l'auto-installation, clonez simplement le référentiel et exécutez quelques commandes :

# setup.sh # pip install -r requirements.txt

# pip install -r requirements.txt

Possède une architecture extensible par plugin. Parmi les principaux figurent les suivants :

  • Spoof - vous permet de rediriger le trafic à l'aide de l'usurpation ARP / DHCP, des redirections ICMP et de modifier les requêtes DNS ;
  • Sniffer - Ce plugin surveille les tentatives de connexion pour divers protocoles ;
  • BeEFAutorun - vous permet de lancer automatiquement les modules BeEF en fonction du type de système d'exploitation et de navigateur client ;
  • AppCachePoison - Effectue une attaque d'empoisonnement du cache ;
  • SessionHijacking - pirater les sessions et enregistrer les cookies reçus dans le profil firelis ;
  • BrowserProfiler - essaie d'obtenir une liste des plugins utilisés par le navigateur ;
  • FilePwn - vous permet de remplacer les fichiers envoyés via HTTP à l'aide de Backdoor Factory et BDFProxy ;
  • Injecter - Injecte du contenu arbitraire dans une page HTML ;
  • jskeylogger - Injecte un enregistreur de frappe JavaScript dans les pages clientes.

Si cette fonctionnalité ne vous semble pas suffisante, vous pouvez toujours ajouter la vôtre en implémentant l'extension appropriée.

PuttyRider

Un autre utilitaire remarquable. Certes, contrairement à tous les autres outils considérés aujourd'hui, il est très étroitement spécialisé. Comme le dit l'auteur du projet lui-même, l'idée de créer un tel utilitaire a été motivée par le fait que lors des tests de pénétration, les données les plus importantes se trouvaient sur des serveurs Linux / UNIX, auxquels les administrateurs se connectaient via SSH / Telnet / rlogin . De plus, dans la plupart des cas, il était beaucoup plus facile d'accéder à la machine de l'administrateur qu'au serveur cible. Après avoir pénétré la machine de l'administrateur système, il ne reste plus qu'à s'assurer que PuTTY est en cours d'exécution et, à l'aide de cet outil, établir un pont vers l'attaquant.

L'utilitaire vous permet non seulement de renifler la "communication" entre l'administrateur et le serveur distant (y compris les mots de passe), mais aussi d'exécuter des commandes shell arbitraires au cours d'une session donnée. De plus, tout cela se passera de manière absolument transparente pour l'utilisateur (admin). Si vous êtes intéressé par des détails techniques, par exemple, comment la mise en œuvre dans le processus PuTTY est mise en œuvre, je vous recommande de vous familiariser avec la présentation de l'auteur.

Un utilitaire assez ancien qui est apparu il y a plus de huit ans. Conçu pour cloner des sessions en volant des cookies. Pour le piratage de session, il possède des compétences de base pour détecter les hôtes (dans le cas d'une connexion à un réseau sans fil ouvert ou à un hub) et effectuer un empoisonnement ARP. Le seul problème est qu'aujourd'hui, contrairement à il y a huit ans, presque toutes les grandes entreprises comme Yahoo ou Facebook utilisent le cryptage SSL, ce qui rend cet outil totalement inutile. Malgré cela, il existe encore suffisamment de ressources sur le Web qui n'utilisent pas SSL, il est donc trop tôt pour annuler l'utilitaire. Ses avantages incluent le fait qu'il s'intègre automatiquement à Firefox et crée un profil distinct pour chaque session interceptée. Le code source est disponible dans le référentiel, et vous pouvez le construire vous-même en utilisant la séquence de commandes suivante :

# apt-get install build-essential libwxgtk2.8-dev libgtk2.0-dev libpcap-dev # g ++ $ (wx-config --cppflags --libs) -lpcap -o sessionthief * .cpp # setcap cap_net_raw, cap_net_admin = voleur de session eip

# apt-get install build-essential libwxgtk2.8-dev libgtk2.0-dev libpcap-dev

# g ++ $ (wx-config --cppflags --libs) -lpcap -o sessionthief * .cpp

# setcap cap_net_raw, cap_net_admin = voleur de session eip

ProxyFuzz

ProzyFuzz n'a rien à voir avec les attaques MITM. Comme son nom l'indique, les outils sont conçus pour le fuzzing. Il s'agit d'un petit fuzzer réseau non déterministe implémenté en python qui modifie arbitrairement le contenu des paquets de trafic réseau. Prend en charge les protocoles TCP et UDP. Peut être configuré pour fuzzer un seul côté. Utile lorsque vous devez tester rapidement une application réseau (ou un protocole) et développer un PoC. Exemple d'utilisation :

Python proxyfuzz -l -r -p

python proxyfuzz -l -r -p

La liste des options comprend :

  • w - définit le nombre de requêtes envoyées avant le début du fuzzing ;
  • c - fuzz uniquement le client (sinon les deux côtés);
  • s - fuzz uniquement le serveur (sinon les deux côtés);
  • u - Protocole UDP (sinon TCP est utilisé).

Le milieu

Un utilitaire pour mener des attaques MITM sur divers protocoles présenté à la conférence DEF CON. La version alpha supportait le protocole HTTP et avait trois plugins sympas dans son arsenal :

  • plugin-beef.py - Injecte le Browser Exploitation Framework (BeEF) dans toute requête HTTP provenant du réseau local.
  • plugin-metasploit.py - injecte un IFRAME dans les requêtes non cryptées (HTTP), qui télécharge les exploits pour les navigateurs à partir de Metasploit ;
  • plugin-keylogger.py - Injecte un gestionnaire d'événements JavaScript onKeyPress pour tous les champs de texte qui seront envoyés via HTTPS, obligeant le navigateur à envoyer le mot de passe saisi par l'utilisateur caractère par caractère au serveur de l'attaquant avant que le formulaire entier ne soit soumis.

Le Middler analyse non seulement automatiquement le trafic réseau et y trouve des cookies, mais les demande également de manière indépendante au client, c'est-à-dire que le processus est automatisé au maximum. Le programme garantit la collecte de tous les comptes non protégés sur le réseau informatique (ou hotspot public), au trafic auquel il a accès. Pour que le programme fonctionne correctement, les packages suivants doivent être installés sur le système : Scapy, libpcap, readline, libdnet, python-netfilter. Malheureusement, le référentiel n'a pas été mis à jour depuis longtemps, vous devrez donc ajouter vous-même de nouvelles fonctionnalités.

Un utilitaire de console qui vous permet de manière interactive d'examiner et de modifier le trafic HTTP. Grâce à ces compétences, l'utilitaire est utilisé non seulement par les pentesters / hackers, mais aussi par les développeurs ordinaires qui l'utilisent, par exemple, pour déboguer des applications web. Avec son aide, vous pouvez obtenir des informations détaillées sur les demandes faites par l'application et les réponses qu'elle reçoit. Mitmproxy peut également vous aider à comprendre le fonctionnement de certaines API REST, en particulier celles qui sont mal documentées.

L'installation est extrêmement simple :

$ sudo aptitude install mitmproxy

Il convient de noter que mitmproxy vous permet également d'intercepter le trafic HTTPS en émettant un certificat auto-signé au client. Un bon exemple de la façon de configurer l'interception et la modification du trafic est possible.

Dsniff

Eh bien, cet utilitaire est généralement l'un des premiers qui devrait venir à l'esprit dès que vous entendez
"Attaque du MITM". L'outil est assez ancien, mais il continue d'être activement mis à jour, ce qui est une bonne nouvelle. Cela n'a aucun sens de parler en détail de ses capacités, au cours des quatorze années de son existence, il a été couvert plus d'une fois sur le réseau. Par exemple, dans un tutoriel comme celui-ci :

bien, ou des instructions de notre site Web :

Dernièrement ..

Comme d'habitude, nous n'avons pas considéré tous les utilitaires, mais seulement les plus populaires ; il y a encore beaucoup de projets peu connus dont nous pouvons parler un jour. Comme vous pouvez le voir, les outils pour mener des attaques MITM ne manquent pas et, ce qui n'arrive pas si souvent, l'un des outils les plus cool est implémenté pour Windows. Il n'y a rien à dire sur les systèmes nix - toute une variété. Donc je pense que vous pouvez toujours trouver le bon outil pour détourner
références étrangères. Oups, c'est pour tester.

Désigne une situation où un attaquant est capable de lire et de modifier à volonté les messages échangés par les correspondants, et aucun de ces derniers ne peut deviner sa présence dans le canal.


Fondation Wikimédia. 2010.

Voyez ce qu'est « L'homme au milieu (attaque) » dans d'autres dictionnaires :

    Attaque "man in the middle", attaque MITM (anglais Man in the middle) est un terme en cryptographie, désignant une situation où un cryptanalyste (attaquant) est capable de lire et de modifier à volonté les messages qui sont échangés..... . Wikipédia

    - ... Wikipédia

    La cryptanalyse (du grec. Κρυπτός caché et analyse) est la science des méthodes permettant d'obtenir la valeur initiale des informations cryptées sans avoir accès aux informations secrètes (clé) nécessaires pour cela. Dans la plupart des cas, cela signifie ... ... Wikipedia

    L'attaque de hacker au sens étroit du terme est aujourd'hui comprise comme « tentative sur le système de sécurité », et tend davantage vers le sens du terme suivant « attaque de cracker ». Cela s'est produit en raison de la distorsion du sens du mot "hacker" ... Wikipedia

    - (de l'autre grec. κρυptός caché et analyse) la science des méthodes de décryptage des informations cryptées sans clé destinée à un tel décryptage. Le terme a été inventé par le cryptographe américain William F. Friedman en 1920. Informellement ... ... Wikipédia

L'attaque de l'homme du milieu est un nom générique pour diverses techniques visant à accéder au trafic en tant qu'intermédiaire. En raison de la grande variété de ces techniques, il est problématique de mettre en œuvre un seul outil de détection de ces attaques qui fonctionnerait dans toutes les situations possibles. Par exemple, dans une attaque man-in-the-middle sur un réseau local, l'usurpation d'ARP est généralement utilisée. Et de nombreux outils de détection d'attaques de l'intercepteur surveillent les changements dans les paires Ethernet/adresse ou signalent les activités ARP suspectes en surveillant passivement les demandes/réponses ARP. Mais si cette attaque est utilisée sur un serveur proxy configuré de manière malveillante, un VPN ou dans d'autres cas où l'empoisonnement ARP n'est pas utilisé, alors ces outils sont impuissants.

Le but de cette section est d'examiner certaines techniques de détection des attaques de l'homme du milieu, ainsi que certains outils conçus pour déterminer si une attaque MitM a lieu contre vous. En raison de la variété des méthodes et des scénarios de mise en œuvre, il est impossible de garantir une détection à 100 %.

1. Détection de modification du trafic

Comme déjà mentionné, l'usurpation d'ARP n'est pas toujours utilisée dans les attaques de type man-in-the-middle. Par conséquent, alors que la détection d'activité au niveau ARP est la méthode de détection la plus populaire, la détection de modification du trafic est une méthode plus générale. Le programme mitmcanary peut nous y aider.

Le principe du programme est qu'il effectue des requêtes de "contrôle" et enregistre les réponses reçues. Après cela, il répète les mêmes demandes à certains intervalles et compare les réponses reçues. Le programme est suffisamment intelligent et pour éviter les faux positifs, il détecte les éléments dynamiques dans les réponses et les traite correctement. Dès que le programme détecte des traces de l'activité des outils d'attaques MitM, il le signale.

Exemples de la façon dont certains outils peuvent « hériter » :

  • MITMf, par défaut, remplace toutes les URL HTTPS du code HTML par HTTP. Révélé en comparant le contenu HTTP.
  • Zarp + MITMProxy, MITMProxy a une fonctionnalité qui vous permet d'effacer la compression HTTP, cela est utilisé pour la transparence du trafic transmis, ce bundle est détecté par la disparition de la compression précédemment présente
  • Répondeur, détecté par des changements soudains dans la conversion des réponses mDNS : réponse inattendue ; la réponse est interne, mais externe est attendue ; la réponse est différente de l'IP attendue
  • MITMCanary vs MITMf :

  • MITMCanary vs Répondeur :

  • MITMCanary vs Zarp + MITMProxy :

Sudo pip install Cython sudo apt-get install python-kivy python-dbus sudo pip install plyer uuid urlopen analyse demande simplejson datetime git clone https://github.com/CylanceSPEAR/mitmcanary.git cd mitmcanary /

Comme déjà mentionné, mitmcanary devrait commencer par les demandes de contrôle. Pour cela, allez dans le répertoire

Service CD /

Et lancez le fichier setup_test_persistence.py:

Python2 setup_test_persistence.py

Cela prendra un certain temps - attendez la fin. Aucun message d'erreur ne doit s'afficher (si c'est le cas, il vous manque des dépendances).

Quelque chose comme ceci sera affiché :

[email protégé]: ~ / bin / mitmcanary / service $ python2 setup_test_persistence.py Ancienne version de configuration détectée (0 au lieu de 14) Mise à jour de la configuration en cours. Journal de purge déclenché. Analyse... Purge terminée ! Enregistrez la connexion /home/mial/.kivy/logs/kivy_16-11-01_0.txt v1.9.1 v2.7.12 + (par défaut, 1er septembre 2016, 20:27:38)

Après la fin de ce processus, dans le même répertoire, exécutez (cela démarrera le processus en arrière-plan) :

Python2 main.py

Après cela, ouvrez une nouvelle fenêtre de terminal et accédez au répertoire horse avec mitmcanary. J'ai ce répertoire bin/mitmcanary/, donc j'entre

Bac à cd / mitmcanary /

et y exécuter :

Python2 main.py

La première fenêtre affiche quelque chose comme :

[email protégé]: ~ / bin / mitmcanary / service $ python2 main.py Enregistrez la connexion /home/mial/.kivy/logs/kivy_16-11-01_1.txt v1.9.1 v2.7.12 + (par défaut, 1er septembre 2016, 20:27 : 38) en utilisant pour socket écouter Tuio sur 127.0.0.1:3000 En veille pendant 60 secondes En veille pendant 60 secondes En veille pendant 60 secondes En veille pendant 60 secondes En veille pendant 60 secondes En veille pendant 60 secondes

Celles. le programme fait des demandes de contrôle une fois par minute et recherche les signes d'une attaque de l'homme du milieu.

Dans la deuxième fenêtre il y a aussi une sortie + une fenêtre sombre s'ouvre, les auteurs du programme appellent cette fenêtre une "interface graphique":

Vous pouvez attendre un peu, surfer sur Internet pour vous assurer que le programme ne donne pas de faux avertissements.

Essayons le programme classique Ettercap.

Je lance une attaque MitM régulière avec usurpation d'ARP. Le mitmcanary ne réagit pas lui-même à la gravure. L'outil mitmcanary génère lui-même du trafic, c'est-à-dire qu'aucune action de l'utilisateur n'est requise. Après un certain temps, un seul avertissement apparaît, qui n'est pas confirmé lors des vérifications suivantes. Mais un avertissement similaire apparaît après quelques minutes. Sans analyse supplémentaire, j'ai du mal à dire s'il s'agit d'un exemple de faux positif - c'est très similaire à cela. Il est possible que cet avertissement soit causé par une interruption de communication causée par la nécessité pour le trafic de passer des routes supplémentaires, ou par les particularités de ma connexion Internet de mauvaise qualité.

Puisque le résultat n'est pas évident (plus "non" que "oui"), essayons le programme Bettercap, qui possède une variété de modules. Je n'ai aucun doute que lors de l'utilisation de divers plugins Ettercap et/ou programmes supplémentaires pour étendre les fonctionnalités, nous « allumerions » également pour mitmcanary.

Pour la pureté de l'expérience, je redémarre l'équipement, lance mitmcanary sur la machine attaquée et Bettercap sur celle qui attaque. Dans le même temps, il n'est pas nécessaire de refaire des demandes de contrôle sur la machine attaquée - elles sont enregistrées dans un fichier à l'intérieur du répertoire avec le programme. Celles. il suffit de démarrer le service et l'interface graphique.

Et dans la machine attaquante, nous exécuterons Bettercap avec les parseurs activés :

Sudo bettercap -X

Des avertissements individuels apparaissent, qui ressemblent également davantage à des faux positifs.

Mais en exécutant une commande comme celle-ci :

Sudo bettercap -X --proxy

Sur la machine attaquée, il génère un grand nombre d'avertissements concernant une éventuelle attaque man-in-the-middle :

Ainsi, plus un outil d'attaque man-in-the-middle est fonctionnel, plus il laisse de traces dans le trafic. Pour l'utilisation pratique de mitmcanary, les conditions suivantes doivent être remplies :

  • effectuer des requêtes initiales sur un réseau de confiance lorsque vous êtes sûr qu'il n'y a pas d'intermédiaire dans la transmission du trafic ;
  • modifier les ressources auxquelles les demandes de vérification sont faites, car un attaquant professionnel peut ajouter des ressources par défaut aux exceptions, ce qui le rendra invisible pour cet outil.

2. Révéler l'usurpation d'ARP (empoisonnement du cache ARP)

Très souvent, une attaque de l'homme du milieu sur un réseau local commence par un empoisonnement ARP. C'est pourquoi de nombreux outils destinés à détecter les attaques MitM reposent sur un mécanisme de suivi des évolutions du cache ARP, dans lequel des correspondances entre Ethernet (adresses MAC) et adresses IP sont attribuées.

Des exemples de tels programmes incluent arpwatch, arpalert et un grand nombre de nouveaux programmes. ArpON surveille non seulement les modifications du cache ARP, mais le protège également contre celles-ci.

À titre d'exemple, exécutons arpwatch en mode débogage, sans créer de forks en arrière-plan et sans envoyer de messages par mail. Au lieu de cela, les messages sont envoyés à stderr (sortie d'erreur standard).

Sudo / usr / sbin / arpwatch -d

Lancez Ettercap sur la machine attaquante et lancez l'usurpation d'ARP. Sur la machine attaquée, on observe :

Le programme arpwatch vous aidera à découvrir rapidement les nouveaux appareils connectés à votre réseau local, ainsi que les modifications apportées au cache ARP.

Un autre outil pour détecter l'usurpation d'ARP en temps réel est un plugin d'Ettercap lui-même appelé arp_cop... Lancez Ettercap sur la machine attaquée comme suit :

Sudo ettercap -TQP arp_cop ///

Et sur l'attaquant, commençons la gravure ARP. La machine attaquée commence immédiatement à afficher des avertissements :

3. Détection d'usurpation DNS

L'usurpation DNS indique qu'il existe un intermédiaire entre vous et votre destination qui peut modifier votre trafic. Comment savoir si les enregistrements DNS ont été falsifiés ? La façon la plus simple de le faire est de comparer avec les réponses d'un serveur de noms de confiance. Mais les enregistrements de la réponse envoyée à votre demande peuvent également être falsifiés...

Celles. vous devez vérifier soit via un canal crypté (par exemple, via Tor), soit utiliser des paramètres non standard (un autre port, TCP au lieu d'UDP). C'est à peu près à quoi sert le programme sans de XiaoxiaoPu (du moins c'est ce que je comprends). En utilisant ce programme, j'ai réussi à rediriger les requêtes DNS via Tor et via des paramètres non standard vers mon serveur DNS. Mais je n'ai toujours pas réussi à l'amener à me montrer des messages sur l'usurpation de réponses DNS. Et sans cela, le sens du programme est perdu.

Je ne pouvais pas trouver d'alternatives plus valables.

En principe, étant donné que les usurpateurs DNS ne surveillent généralement que le port 53 et uniquement le protocole UDP, il suffit alors même manuellement de vérifier le fait de l'usurpation DNS, bien que cela nécessite votre propre serveur DNS avec une configuration non standard. Par exemple, sur la machine attaquante, j'ai créé le fichier dns.conf avec le contenu suivant :

Local mi-al.ru

Celles. lors de la demande d'un enregistrement DNS pour le site mi-al.ru, au lieu de l'adresse IP réelle, l'adresse IP de la machine de l'attaquant sera envoyée.

Je l'exécute sur la machine attaquante :

Sudo bettercap --dns dns.conf

Et sur l'attaqué je fais deux vérifications :

Creusez mi-al.ru # et creusez mi-al.ru -p 4560 @ 185.117.153.79

Résultats:

[email protégé]: ~ $ creuser mi-al.ru;<<>> DiG 9.10.3-P4-Debian<<>> mi-al.ru ;; options globales : + cmd ;; Réponse obtenue : ;; - >> EN-TÊTE<<- opcode: QUERY, status: NOERROR, id: 51993 ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; WARNING: recursion requested but not available ;; QUESTION SECTION: ;mi-al.ru. IN A ;; ANSWER SECTION: mi-al.ru. 86400 IN A 192.168.1.48 ;; Query time: 2 msec ;; SERVER: 8.8.8.8#53(8.8.8.8) ;; WHEN: Wed Nov 02 09:25:20 MSK 2016 ;; MSG SIZE rcvd: 42 [email protégé]: ~ $ creuser mi-al.ru -p 4560 @ 185.117.153.79;<<>> DiG 9.10.3-P4-Debian<<>> mi-al.ru -p 4560 @ 185.117.153.79 ;; options globales : + cmd ;; Réponse obtenue : ;; - >> EN-TÊTE<<- opcode: QUERY, status: NOERROR, id: 401 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 512 ;; QUESTION SECTION: ;mi-al.ru. IN A ;; ANSWER SECTION: mi-al.ru. 3799 IN A 185.26.122.50 ;; Query time: 304 msec ;; SERVER: 185.117.153.79#4560(185.117.153.79) ;; WHEN: Wed Nov 02 09:25:27 MSK 2016 ;; MSG SIZE rcvd: 53

On peut voir que l'IP locale 192.168.1.48 a été envoyée pour une requête DNS "régulière", et que l'IP de serveur correcte est envoyée lors de l'interrogation du DNS sur un port atypique.

Si le serveur était configuré pour fonctionner avec TCP (pas UDP), la commande ressemblerait à ceci :

Creusez mi-al.ru -p 4560 + tcp @ 185.117.153.79

Il manque clairement un outil qui lui-même suivrait les réponses DNS dans le trafic, les revérifierait par rapport à une source alternative et déclencherait une alarme en cas d'usurpation d'identité.

Pour éviter de configurer votre propre DNS distant, vous pouvez interroger le serveur de noms sur Tor. Étant donné que tout le trafic Tor est chiffré, les réponses DNS obtenues de cette manière sont trop difficiles pour un intermédiaire. Si Tor n'est pas déjà installé, installez-le.

Outil d'installation Sudo apt-get

Sudo pacman -Stor

Démarrer le service :

Sudo systemctl start tor

Si vous en avez besoin, ajoutez ce service au démarrage :

Activation de Sudo systemctl

Ouvrir le fichier /etc/tor/torrc et ajoutez-y les lignes suivantes :

DNSPort 530 AutomapHostsOnResolve 1 AutomapHostsSuffixes .exit, .onion

Faites attention au numéro 530. Il s'agit du numéro de port, au lieu de 530, vous pouvez spécifier n'importe quel autre port (inoccupé). L'essentiel est de s'en souvenir.

Nous effectuons à nouveau des vérifications :

Creusez mi-al.ru # et creusez mi-al.ru -p 530 @localhost

Maintenant, nous spécifions comme serveur hôte local, et écrivez le numéro de port que vous avez spécifié dans les paramètres /etc/tor/torrc.

Comme vous pouvez le voir sur la capture d'écran suivante, une attaque d'usurpation DNS est en cours contre la machine sur laquelle le contrôle a été effectué :

4. Recherche d'interfaces réseau en mode promiscuité

Si votre réseau local possède (et surtout s'il est apparu soudainement) des équipements dans un mode illisible, c'est très suspect, même si cela n'indique pas sans équivoque une attaque de l'homme du milieu.

Dans ce mode, la carte réseau permet de recevoir tous les paquets, quelle que soit leur destinataire.

Dans l'état normal, l'interface Ethernet utilise le filtrage de paquets de couche liaison, et si l'adresse MAC dans l'en-tête de destination du paquet reçu ne correspond pas à l'adresse MAC de l'interface réseau actuelle et n'est pas diffusée, le paquet est abandonné. En mode promiscuité, le filtrage sur l'interface réseau est désactivé et tous les paquets, y compris ceux qui ne sont pas destinés à l'hôte actuel, sont autorisés dans le système.

La plupart des systèmes d'exploitation nécessitent des droits d'administrateur pour activer le mode promiscuité. Celles. La promotion d'une carte réseau est une action délibérée qui peut être utilisée à des fins de détection.

Pour rechercher des interfaces réseau en mode promiscuité, il existe un plugin Ettercap appelé recherche_promisc.

Un exemple de démarrage d'un plugin :

Sudo ettercap -TQP search_promisc ///

Le plug-in n'est pas totalement fiable, il peut y avoir des erreurs dans la détermination du mode de l'interface réseau.

Conclusion

Certaines attaques de type man-in-the-middle laissent de nombreuses traces, et certaines (comme la recherche passive d'informations d'identification sur un proxy) sont impossibles ou presque impossibles à détecter.

Dans lequel un pirate, s'étant connecté à un canal entre contreparties, interfère avec le protocole de transmission, supprimant ou déformant des informations.

Principe d'attaque

L'attaque commence généralement par l'écoute du canal de communication et se termine lorsque le cryptanalyste essaie de remplacer le message intercepté, d'en extraire des informations utiles et de le rediriger vers une ressource externe.

Supposons que l'objet A envisage de transmettre des informations à l'objet B. L'objet C connaît la structure et les propriétés de la méthode de transfert de données utilisée, ainsi que le fait du transfert prévu des informations réelles que C envisage d'intercepter. Pour effectuer une attaque, C "semble" à l'objet A comme B, et à l'objet B comme A. L'objet A, croyant à tort qu'il envoie des informations à B, les envoie à l'objet C. L'objet C, ayant reçu des informations, et ayant effectué certaines actions avec lui (par exemple, avoir copié ou modifié à ses propres fins) envoie les données au destinataire proprement dit - B; le sujet B, à son tour, pense que l'information a été reçue directement de A.

Un exemple d'attaque

Injection de code malveillant

Une attaque man-in-the-middle permet à un cryptanalyste d'injecter son code dans des e-mails, des instructions SQL et des pages Web (c'est-à-dire autoriser l'injection SQL, l'injection HTML/script ou les attaques XSS), et même de modifier les fichiers binaires téléchargés par l'utilisateur pour accéder à un compte utilisateur ou modifier le comportement d'un programme téléchargé par un utilisateur à partir d'Internet.

Attaque de rétrogradation

Le terme « attaque de déclassement » fait référence à une attaque dans laquelle un cryptanalyste oblige l'utilisateur à utiliser des fonctions moins sécurisées, des protocoles qui sont toujours pris en charge pour des raisons de compatibilité. Ce type d'attaque peut être mené contre les protocoles SSH, IPsec et PPTP.

Pour se protéger contre les attaques de déclassement, les protocoles dangereux doivent être désactivés sur au moins un côté ; il ne suffit pas de prendre en charge et d'utiliser des protocoles sécurisés par défaut !

SSH V1 au lieu de SSH V2

Un attaquant peut tenter de modifier les paramètres de connexion entre le serveur et le client lors de l'établissement d'une connexion entre eux. Selon une conférence donnée à Blackhat Conference Europe 2003, un cryptanalyste peut "forcer" un client à démarrer une session SSH1 au lieu de SSH2 en changeant le numéro de version "1.99" pour la session SSH en "1.51", ce qui signifie utiliser SSH V1. Le protocole SSH-1 présente des vulnérabilités qui peuvent être exploitées par un cryptanalyste.

IPsec

Dans ce scénario, le cryptanalyste induit sa victime en erreur en lui faisant croire que la session IPsec ne peut pas démarrer à l'autre extrémité (serveur). Cela conduit au fait que les messages seront transférés explicitement, si la machine hôte fonctionne en mode de restauration.

PPTP

Au stade de la négociation des paramètres de session PPTP, l'attaquant peut forcer la victime à utiliser l'authentification PAP moins sécurisée, MSCHAP V1 (c'est-à-dire « revenir en arrière » de MSCHAP V2 à la version 1), ou ne pas utiliser du tout le cryptage.

Un attaquant peut forcer sa victime à répéter l'étape de négociation des paramètres de session PPTP (envoyer un paquet Terminate-Ack), voler le mot de passe du tunnel existant et répéter l'attaque.

Moyens de communication publics sans protéger la fiabilité, la confidentialité, la disponibilité et l'intégrité des informations

Les moyens de communication les plus courants pour ce groupe sont les réseaux sociaux, les services publics de courrier électronique et les systèmes de messagerie instantanée. Le propriétaire de la ressource qui fournit le service de communication a un contrôle total sur les informations échangées par les correspondants et, à sa discrétion, peut facilement mener une attaque à tout moment.

Contrairement aux scénarios précédents basés sur les aspects techniques et technologiques des moyens de communication, dans ce cas, l'attaque est basée sur des aspects mentaux, à savoir, le concept d'ignorer les exigences de sécurité de l'information est ancré dans l'esprit des utilisateurs.

Le cryptage vous sauvera-t-il ?

Prenons le cas d'une transaction HTTP standard. Dans ce cas, un attaquant peut assez facilement scinder la connexion TCP d'origine en deux nouvelles : l'une entre lui et le client, l'autre entre lui et le serveur. C'est assez facile à faire, car il est très rare que la connexion entre le client et le serveur soit directe, et dans la plupart des cas, ils sont connectés via un certain nombre de serveurs intermédiaires. Une attaque MITM peut être menée sur n'importe lequel de ces serveurs.

Cependant, si le client et le serveur communiquent via HTTPS, un protocole qui prend en charge le cryptage, une attaque de l'homme du milieu peut également être effectuée. Ce type de connexion utilise TLS ou SSL pour crypter les requêtes, ce qui sécurise apparemment le canal contre le reniflement et les attaques MITM. Un attaquant peut créer deux sessions SSL indépendantes pour chaque connexion TCP. Le client établit une connexion SSL avec l'attaquant, qui à son tour crée une connexion avec le serveur. Dans de tels cas, le navigateur avertit généralement que le certificat n'est pas signé par une autorité de certification de confiance, mais les utilisateurs ordinaires de navigateurs obsolètes peuvent facilement contourner cet avertissement. De plus, un attaquant peut avoir un certificat signé par une autorité de certification racine (par exemple, de tels certificats sont parfois utilisés pour la DLP) et ne pas générer d'alertes. De plus, il existe un certain nombre d'attaques contre HTTPS. Ainsi, le protocole HTTPS ne peut pas être considéré comme sécurisé contre les attaques MITM parmi les utilisateurs ordinaires. [ ] Il existe un certain nombre de mesures qui empêchent certaines des attaques MITM sur les sites https, en particulier HSTS, qui interdit l'utilisation de connexions http à partir de sites, l'épinglage de certificat et l'épinglage de clé publique HTTP, qui interdisent l'usurpation de certificat.

Détection d'attaque MITM

Pour détecter une attaque de l'homme du milieu, vous devez analyser le trafic réseau. Par exemple, pour détecter une attaque SSL, vous devez faire attention aux paramètres suivants :

  • IP du serveur
  • Serveur dns
  • X.509 -certificat de serveur
    • Le certificat est-il auto-signé ?
    • Le certificat est-il signé par une autorité de certification ?
    • Le certificat a-t-il été révoqué ?
    • Le certificat a-t-il changé récemment ?
    • D'autres clients sur Internet ont-ils reçu le même certificat ?

Implémentations d'attaques MITM

Les programmes répertoriés peuvent être utilisés pour effectuer des attaques de type man-in-the-middle, ainsi que pour les détecter et tester les vulnérabilités du système.

voir également

  • Aspidistra (anglais) - Émetteur radio britannique utilisé pendant "l'invasion" de la Seconde Guerre mondiale, une variante de l'attaque MITM.
  • The Babington Conspiracy (anglais) - une conspiration contre Elizabeth I, au cours de laquelle Walsingham a intercepté la correspondance.

Autres attaques

  • Man in the Browser est un type d'attaque dans lequel un attaquant peut modifier instantanément les paramètres de transaction et changer les pages de manière totalement transparente pour la victime.
  • L'attaque Meet-in-the-middle est une attaque cryptographique qui, comme l'attaque d'anniversaire, exploite un compromis entre le temps et la mémoire.
  • Miss in the middle attack est une méthode efficace de la soi-disant cryptanalyse différentielle impossible.
  • L'attaque par relais est une variante de l'attaque MITM basée sur la transmission d'un message intercepté à un destinataire valide, mais pas au destinataire prévu.
  • Un rootkit est un programme conçu pour masquer les traces de la présence d'un intrus.

Donnez votre avis sur "L'attaque intermédiaire"

Littérature

Liens

  • www.all.net/CID/Attack/Attack74.html
  • www.nag.ru/2003/0405/0405.shtml
  • www.schneier.com/blog/archives/2006/04/rfid_cards_and.html

Extrait de l'attaque du médiateur

"Quartire, quartire, logement", dit l'officier en regardant le petit homme avec un sourire condescendant et bon enfant. - Les Français sont de bons enfants. Que diable ! Voyons ! Ne nous fachons pas, mon vieux, [Appartements, appartements... Les Français sont gentils. Bon sang, ne nous disputons pas, grand-père.] - ajouta-t-il en tapotant l'épaule du Gerasim effrayé et silencieux.
- Un ca ! Dites donc, on ne parle donc pas francais dans cette boutique? [Eh bien, est-ce possible que personne ici ne parle français aussi ?] - ajouta-t-il en regardant autour de lui et en croisant les yeux de Pierre. Pierre recula de la porte.
L'officier se tourna de nouveau vers Gerasim. Il a exigé que Gerasim lui montre les pièces de la maison.
"Il n'y a pas de maître - ne comprends pas... mon, le tien..." dit Gerasim, essayant de rendre ses mots plus clairs par le fait qu'il les avait prononcés à l'envers.
L'officier français, souriant, étendit ses mains devant le nez de Gérasim, lui laissant sentir qu'il ne le comprenait pas, et en boitant, il se dirigea vers la porte à laquelle se tenait Pierre. Pierre voulut s'éloigner pour se cacher de lui, mais à ce moment précis il vit Makar Alekseich penché par la porte de la cuisine qui s'ouvrait, un pistolet à la main. Avec la ruse d'un fou, Makar Alekseich regarda le Français et, levant son pistolet, visa.
- Une planche!!! L'ivrogne cria en appuyant sur la détente du pistolet. L'officier français se retourna pour crier, et au même instant Pierre se jeta sur l'ivrogne. Alors que Pierre attrapait et levait le pistolet, Makar Alekseich a finalement appuyé sur la détente avec son doigt, et un coup de feu a retenti, assourdissant et aspergeant tout le monde de fumée de poudre à canon. Le Français pâlit et se précipita vers la porte.
Ayant oublié son intention de ne pas révéler sa connaissance de la langue française, Pierre, ayant sorti le pistolet et l'ayant jeté, courut vers l'officier et lui parla en français.
"Vous n" etes pas blesse? [Êtes-vous blessé?] Il a dit.
"Je crois que non", répondit l'officier en se sentant, "mais je l'ai manque belle cette fois ci", ajouta-t-il en désignant le plâtre battu dans le mur. .. mais cette fois c'était proche. Qui est cet homme ?] - dit l'officier avec un regard sévère à Pierre.
- Ah, je suis vraiment au désespoir de ce qui vient d "arriver, [Ah, je désespère vraiment de ce qui s'est passé,]" dit rapidement Pierre, oubliant complètement son rôle. - C "est un fou, un malheureux qui ne savait pas ce qu'il faisait. [C'est un malheureux fou qui ne savait pas ce qu'il faisait.]
L'officier s'est approché de Makar Alekseich et l'a attrapé par le col.
Makar Alekseich, baissant les lèvres, comme s'il s'endormait, se balança, appuyé contre le mur.
– Brigand, tu me la payas, dit le Français en retirant sa main.
- Nous autres nous sommes clements apres la victoire : mais nous ne pardonnons pas aux traitres, [Rogue, tu me paieras pour ça. Notre frère est miséricordieux après la victoire, mais nous ne pardonnons pas aux traîtres,] - ajouta-t-il avec une solennité sombre sur son visage et avec un beau geste énergique.
Pierre a continué, en français, à persuader l'officier de ne pas se remettre de cet homme ivre et fou. Le Français écouta en silence, sans changer son air sombre, et se tourna soudain vers Pierre avec un sourire. Il le regarda en silence pendant quelques secondes. Son beau visage prit une expression tragiquement douce et il tendit la main.
- Vous m'avez sauve la vie ! Vous etes Francais, [Vous m'avez sauvé la vie. Vous êtes Français,] - dit-il. Pour un Français, cette conclusion ne faisait aucun doute. la vie, M. Ramball" I capitaine du 13 me leger [Monsieur Rambal, capitaine du 13e régiment léger] - était, sans aucun doute, la plus grande action.
Mais peu importe à quel point cette conclusion et la conviction de l'officier fondée sur elle, Pierre a jugé bon de le décevoir.
- Je suis Russe, [Je suis Russe,] - dit rapidement Pierre.
- Ti tee tee, a d "autres, [dis ça aux autres,] - dit le Français en agitant son doigt devant son nez et en souriant. - Tout a l" heure vous allez me conter tout ca ", a-t-il dit. - Charme de rencontrer un compatriote. Eh bien ! qu'"allons nous faire de cet homme? [Maintenant, vous allez me dire tout cela. C'est très agréable de rencontrer un compatriote. Eh bien, que pouvons-nous faire avec cet homme? " Pierre n'était pas un Français, ayant reçu ce nom le plus élevé en le monde, il ne pouvait pas y renoncer, l'expression sur le visage et le ton de l'officier français parlaient. un homme ivre et fou a volé un pistolet chargé, qu'ils n'ont pas réussi à lui prendre, et a demandé de laisser son acte impuni .
Le Français avança la poitrine et fit un geste royal de la main.
- Vous m'avez sauvé la vie. Vous etes francais. Vous me demandez sa grace ? Je vous l'accorde. Qu "on emmene cet homme, [Vous m'avez sauvé la vie. Vous êtes Français. Voulez-vous que je lui pardonne ? Je lui pardonne. Emmenez cet homme", dit vivement et énergiquement l'officier français, prenant par le bras ce qu'il avait. fait pour sauver sa vie dans le français Pierre, et est allé avec lui à la maison.
Les soldats qui étaient dans la cour, entendant le coup de feu, sont entrés dans l'entrée, demandant ce qui s'était passé et se disant prêts à punir les coupables ; mais l'officier les arrêta sévèrement.
- On vous demandea quand on aura besoin de vous, [Si nécessaire, on vous appellera,] - dit-il. Les soldats sont partis. L'infirmier, qui entre-temps était dans la cuisine, s'approcha de l'officier.
« Capitaine, ils ont de la soupe et du gigot de mouton dans la cuisine », a-t-il déclaré. - Faut il vous l "apporter? [Le capitaine a de la soupe et de l'agneau rôti dans sa cuisine. Voulez-vous que je l'apporte?]
- Oui, et le vin, [Oui, et du vin,] dit le capitaine.

L'officier français entra dans la maison avec Pierre. Pierre a estimé qu'il était de son devoir de rassurer le capitaine qu'il n'était pas français et voulait partir, mais l'officier français n'a pas voulu en entendre parler. Il était si courtois, gentil, bon enfant et vraiment reconnaissant de lui avoir sauvé la vie que Pierre n'eut pas le cœur de le refuser et s'assit avec lui dans le vestibule, dans la première pièce où ils entrèrent. En réponse à l'affirmation de Pierre selon laquelle il n'était pas français, le capitaine, ne comprenant visiblement pas comment il était possible de refuser un titre aussi flatteur, haussa les épaules et dit que s'il voulait certainement se faire connaître comme Russe, qu'il en soit ainsi , mais qu'il lui a tout de même associé à jamais un sentiment de gratitude pour avoir sauvé une vie.
Si cet homme avait été doué de quelque façon que ce soit de la capacité de comprendre les sentiments des autres et avait deviné les sentiments de Pierre, Pierre l'aurait probablement quitté ; mais l'imperméabilité animée de cet homme à tout ce qui n'était pas lui gagna Pierre.
- Francais ou prince russe incognito, [prince incognito français ou russe,] - dit le Français en regardant le linge sale mais fin de Pierre et la bague à sa main. - Je vous dois la vie je vous offre mon amitie. Un Francais n "oublie jamais ni une insulte ni un service. Je vous offre mon amitie. Je ne vous dis que ca. vous offre mon amitié. Je ne dis rien de plus.]
Il y avait tant de bonté et de noblesse (au sens français) dans les sons de la voix, dans l'expression du visage, dans les gestes de cet officier que Pierre, répondant d'un sourire inconscient au sourire du Français, secoua sa main tendue.
- Capitaine Ramball du treizieme leger, decore pour l "affaire du Sept, [Capitaine Rambal, Treizième Régiment Léger, Chevalier de la Légion d'Honneur pour la cause du Sept Septembre,]" il s'est présenté avec un sourire suffisant et irrépressible qui a retroussé ses lèvres sous sa moustache. - Voudrez vous bien me dire a present, a qui "j" ai l "honneur de parler aussi agreablement au lieu de rester al" ambulance avec la balle de ce fou dans le corps. dis-moi maintenant avec qui je suis, j'ai l'honneur de parler si gentiment, au lieu d'être au poste de secours avec la balle de ce fou dans le corps ?]
Pierre répondit qu'il ne pouvait pas dire son nom, et, rougissant, commença, essayant d'inventer un nom, de parler des raisons pour lesquelles il ne pouvait pas le dire, mais le Français l'interrompit précipitamment.
« De grâce, dit-il. - Je comprends vos raisons, vous etes officier ... officier supérieur, peut etre. Vous avez porte les armes contre nous. Ce n'est pas mon affaire. Je vous dois la vie. Cela me suffit. Je suis tout à vous. Vous etes gentilhomme ? servi contre nous Ce ne sont pas mes affaires. Je vous dois la vie. C'est assez pour moi, et je suis tout à vous. Êtes-vous un gentilhomme ?] de bapteme, s "il vous plait? Je ne demande pas davantage. Monsieur Pierre, dites vous... Parfait. C'est tout ce que je désire savoir. [Votre nom ? Je n'en demande plus. Monsieur Pierre, avez-vous dit ? Bien.
Lorsque l'agneau frit, des œufs brouillés, un samovar, de la vodka et du vin de la cave russe, que les Français avaient apportés avec eux, furent apportés, Rambal demanda à Pierre de participer à ce dîner et aussitôt, goulûment et rapidement, comme un sain et homme affamé, a commencé à manger, mâchant rapidement avec ses dents fortes, faisant claquer constamment ses lèvres et disant excellent, exquis ! [merveilleux, merveilleux !] Son visage était rouge et couvert de sueur. Pierre avait faim et participa au dîner avec plaisir. Morel, l'infirmier, apporta une marmite d'eau tiède et y mit une bouteille de vin rouge. De plus, il a apporté une bouteille de kvas, qu'il a prise pour échantillon dans la cuisine. Cette boisson était déjà connue des Français et tire son nom. Ils ont appelé la kvass limonade de cochon (limonade au porc), et Morel a fait l'éloge de cette limonade de cochon qu'il a trouvée dans la cuisine. Mais comme le capitaine avait obtenu du vin lors de la traversée de Moscou, il fournissait du kvas à Morel et prenait une bouteille de Bordeaux. Il enveloppa la bouteille jusqu'au goulot dans une serviette et se versa, ainsi qu'à Pierre, du vin. La faim satisfaite et le vin ranimèrent encore plus le capitaine, et il parla sans cesse pendant le dîner.
- Oui, mon cher monsieur Pierre, je vous dois une fiere chandelle de m "avoir sauve ... de cet enrage ... J" en ai assez, see vous, de balles dans le corps. En voila une (sur le côté pointé) a Wagram et de deux a Smolensk, - il montra la cicatrice qui était sur sa joue. - Et cette jambe, comme vous voyez, qui ne veut pas marcher. C "est a la grande bataille du 7 a la Moskowa que j" ai recu ca. Sacre dieu, c "etait beau. Il fallait voir ca, c" etait un deluge de feu. Vous nous avez taille une grossière besogne; vous pouvez vous en vanter, nom d "un petit bonhomme. Et, ma parole, malgre l" atoux que j "y ai gagne, je serais pret a recommencer. Je plains ceux qui n" ont pas vu ca. [Oui, mon cher monsieur Pierre, je suis obligé de vous allumer une bonne bougie pour m'avoir sauvé de ce fou. Vous voyez, j'en ai assez de ces balles que j'ai dans le corps. En voici un près de Wagram, un autre près de Smolensk. Et cette jambe, voyez-vous, ne veut pas bouger. C'est à la grande bataille du 7 près de Moscou. ! c'était merveilleux! Vous auriez dû voir que c'était un déluge de feu. Vous nous avez confié un travail difficile, vous pouvez vous en vanter. Et par Dieu, malgré cet atout (il montrait la croix), je serais prêt à tout recommencer. Je plains ceux qui ne l'ont pas vu.]
- J'y ai ete, [j'y étais,] - dit Pierre.
- Bah, vraiment ! Eh bien, tant mieux, dit le Français. - Vous etes de fiers ennemis, tout de meme. La grande redoute a ete tenace, nom d "une pipe. Et vous nous l" avez fait cranement payer. J "y suis alle trois fois, tel que vous me see. Trois fois nous etions sur les canons et trois fois sur nous a culbute et comme des capucins de cartes. Oh !! c" etait beau, monsieur Pierre. Vos grenadiers ont ete superbes, tonnerre de Dieu. Je les ai vu six fois de suite serrer les rangs, et marcher comme une revue. Les beaux hommes ! Notre roi de Naples, qui s " y connait un cri : bravo ! Ah, ah ! Soldat comme nous autres ! " dit-il en souriant, mangeant un instant de silence. " Tant mieux, tant mieux, monsieur Pierre. Terribles en bataille.. . galants ... - il fit un clin d'oeil avec un sourire, - avec les belles, voila les Francais, monsieur Pierre, n "est ce pas? [Bah, vraiment ? Tout le meilleur. Vous êtes de redoutables ennemis, je dois l'avouer. La grande redoute a bien tenu, bon sang. Et tu nous as fait payer cher. J'y étais trois fois, comme vous pouvez le voir. Trois fois nous étions sur des canons, trois fois nous avons été renversés comme des soldats de carte. Vos grenadiers étaient grands, par Dieu. J'ai vu comment leurs rangs se sont resserrés six fois et comment ils sont allés exactement au défilé. Des gens merveilleux ! Notre roi napolitain, qui mangeait le chien dans ces affaires, leur cria : bravo ! - Ha, ha, alors tu es notre frère soldat ! – Tant mieux, tant mieux, monsieur Pierre. Terrible dans les batailles, gentil avec les beautés, voici les Français, Monsieur Pierre. N'est-ce pas?]
A tel point que le capitaine était naïvement et bon enfant, joyeux, sincère et content de lui, que Pierre faillit se faire un clin d'œil en le regardant gaiement. Le mot « galant » a probablement fait penser au capitaine à la situation à Moscou.

Vous avez aimé l'article ? A partager avec des amis :
Vous pouvez également être intéressé par