Qu'est-ce que l'ARP Spoofing ?

Dans une attaque ARP Spoofing, un pirate envoie de faux messages ARP(Address Resolution Protocol) pour faire croire à d'autres appareils qu'ils parlent à quelqu'un d'autre. Le pirate peut intercepter et surveiller les données qui circulent entre deux appareils.

Les cybercrimes ont augmenté de façon alarmante en raison de la croissance considérable de l'utilisation des ordinateurs et des réseaux pour la communication. Les pirates informatiques et les attaques non éthiques sur les réseaux constituent une menace permanente pour s'emparer d'informations et causer un désordre numérique.

Au cours des derniers mois, nous avons vu le terme "ARP spoofing" (usurpation d'adresse) apparaître assez souvent dans l'actualité. Il s'agit d'une technique qui permet aux pirates d'intercepter le trafic entre deux appareils sur un réseau.

Comment fonctionne l'ARP Spoofing ?

Une attaque ARP spoofing peut être exécutée de deux manières.

Dans la première méthodeun pirate prend son temps pour attendre d'accéder aux requêtes ARP pour un appareil particulier. Une réponse immédiate est envoyée après réception de la demande ARP. Le réseau ne reconnaîtra pas instantanément cette stratégie car elle est secrète. En termes d'impact, elle n'a pas beaucoup d'effets négatifs, et sa portée est très étroite.

Dans la deuxième méthodeles pirates diffusent un message non autorisé connu sous le nom de "gratuitous ARP". Cette méthode de diffusion peut avoir un impact immédiat sur de nombreux appareils à la fois. Mais n'oubliez pas qu'elle génère également un trafic réseau important qu'il sera difficile de gérer.

Qui utilise l'ARP Spoofing ?

Les pirates utilisent l'usurpation d'adresses ARP depuis les années 1980. Les attaques des pirates peuvent être délibérées ou impulsives. Les attaques par déni de service sont des exemples d'attaques planifiées, tandis que le vol d'informations sur un réseau WiFi public est un exemple d'opportunisme. Ces attaques peuvent être évitées, mais elles sont régulièrement menées car elles sont simples d'un point de vue technique et financier.

L'usurpation ARP, cependant, peut également être utilisée pour des objectifs honorables. En introduisant délibérément un troisième hôte entre deux hôtes, les programmeurs peuvent utiliser l'usurpation ARP pour analyser les données du réseau. Les pirates éthiques reproduiront les attaques par empoisonnement du cache ARP pour s'assurer que les réseaux sont protégés contre de tels assauts.

Quel est le but d'une attaque ARP Spoofing ?

Les principaux objectifs des attaques ARP spoofing sont les suivants :

  • pour diffuser plusieurs réponses ARP à travers le réseau
  • pour insérer de fausses adresses dans les tables d'adresses MAC des commutateurs
  • de lier incorrectement les adresses MAC aux adresses IP
  • d'envoyer trop de requêtes ARP aux hôtes du réseau

Lorsqu'une attaque ARP spoofing est réussie, l'attaquant peut :

  • Continuez à acheminer les messages tels quels : À moins qu'ils ne soient envoyés sur un canal crypté comme HTTPS, l'attaquant peut renifler les paquets et voler les données.
  • Effectuer un détournement de session : Si l'attaquant obtient un identifiant de session, il peut accéder aux comptes actifs de l'utilisateur.
  • Déni de service distribué (DDoS) : Au lieu d'utiliser leur machine pour lancer une attaque DDoS, les attaquants peuvent spécifier l'adresse MAC d'un serveur qu'ils souhaitent cibler. Le serveur cible sera inondé de trafic s'ils effectuent cette attaque contre plusieurs adresses IP.
  • Communication du changement : Téléchargement d'une page web ou d'un fichier nuisible sur le poste de travail.

Comment détecter l'usurpation ARP ?

Pour détecter l'ARP Spoofing, vérifiez votre logiciel de gestion de configuration et d'automatisation des tâches. Vous pouvez localiser votre cache ARP ici. Vous pouvez être la cible d'une attaque si deux adresses IP ont la même adresse MAC. Les pirates utilisent fréquemment des logiciels de spoofing, qui envoient des messages prétendant être l'adresse de la passerelle par défaut.

Il est également concevable que ce malware convainque sa victime de remplacer l'adresse MAC de la passerelle par défaut par une autre. Dans cette situation, vous devrez vérifier le trafic ARP pour détecter toute activité étrange. Les messages non sollicités prétendant posséder l'adresse MAC ou IP du routeur sont généralement le type de trafic étrange. Une communication non désirée peut donc être le symptôme d'une attaque de type ARP spoofing.

Comment protéger vos systèmes contre l'usurpation d'adresses ARP ?

L'empoisonnement ARP peut être évité de plusieurs façons, chacune présentant des avantages et des inconvénients. 

Entrées statiques ARP

Seuls les petits réseaux devraient utiliser cette méthode en raison de sa lourdeur administrative. Elle consiste à ajouter un enregistrement ARP à chaque ordinateur pour chaque machine du réseau.

Comme les ordinateurs peuvent ignorer les réponses ARP, le mappage des machines avec des ensembles d'adresses IP et MAC statiques permet d'éviter les tentatives d'usurpation. Malheureusement, l'utilisation de cette méthode ne vous protégera que contre des attaques plus faciles.

Filtres à paquets

Les paquets ARP contiennent les adresses MAC des adresses IP de l'expéditeur et du destinataire. Ces paquets sont envoyés sur des réseaux Ethernet. Les filtres de paquets peuvent bloquer les paquets ARP qui ne contiennent pas d'adresses MAC ou d'adresses IP source ou destination valides.

Mesures de sécurité portuaire

Les mesures de sécurité des ports garantissent que seuls les dispositifs autorisés peuvent se connecter avec un port particulier sur un dispositif. Par exemple, supposons qu'un ordinateur ait été autorisé à se connecter au service HTTP sur le port 80 d'un serveur. Dans ce cas, il ne permettra à aucun autre ordinateur de se connecter au service HTTP sur le port 80 du même serveur, à moins qu'il n'ait été autorisé au préalable.

VPNs

Les réseaux privés virtuels (RPV) permettent de sécuriser les communications sur l'internet. Lorsque les utilisateurs utilisent un VPN, leur trafic Internet est crypté et passe par un serveur intermédiaire. Grâce au cryptage, il est très difficile pour les attaquants d'écouter les communications. La plupart des VPN modernes mettent en œuvre une protection contre les fuites DNS, garantissant qu'aucun trafic n'est divulgué par le biais de vos requêtes DNS.

Cryptage

Le cryptage est l'un des meilleurs moyens de se protéger de l'usurpation ARP. Vous pouvez utiliser des VPN ou des services cryptés tels que HTTPS, SSH et TLS. Toutefois, ces méthodes ne sont pas infaillibles et n'offrent pas une protection solide contre tous les types d'attaques.

Conclusion

La combinaison des technologies de prévention et de détection est la stratégie idéale si vous souhaitez protéger votre réseau contre le risque d'empoisonnement ARP. Même l'environnement le plus sécurisé peut faire l'objet d'une attaque, car les stratégies préventives présentent souvent des failles dans des circonstances spécifiques.

Si des technologies de détection active sont également en place, vous serez informé de l'empoisonnement ARP dès qu'il commencera. Vous pouvez généralement mettre fin à ces attaques avant que les dommages ne soient trop importants si votre administrateur réseau réagit rapidement après avoir été informé.

Pour vous protéger contre d'autres types d'attaques par usurpation, comme l'usurpation directe de domaine, vous pouvez utiliser un analyseur DMARC pour autoriser les expéditeurs et prendre des mesures contre les mauvais courriels.