Qu’est-ce que l’usurpation d’identité ARP et comment l’empêcher ?
L’usurpation d’adresse est un type de cyberattaque dans lequel le pirate envoie un message de protocole de résolution d’adresse fausse (ARP) sur un réseau local (LAN).
Dans cet article, nous allons jeter un coup d’œil à l’usurpation d’ARP, ou empoisonnement d’ARP, qu’est-ce que c’est, comment cela fonctionne, comment vous pouvez détecter les attaques d’usurpation d’ARP et enfin, comment empêcher une attaque sur le protocole ARP.
Alors commençons.
Qu’est-ce que l’ARP (Address Resolution Protocol) ?
Avant de pouvoir comprendre pleinement l’usurpation d’ARP, nous devons d’abord comprendre le protocole ARP.
Le protocole APR est responsable de la traduction d’une adresse MAC en une adresse de protocole Internet et vice versa.
En d’autres termes, le protocole de résolution d’adresses permet à votre ordinateur ou à un autre appareil de contacter le routeur et de se connecter au réseau (Internet). Ici, un hôte maintient un cache ARP ou une table de mappage. Cette table ARP est appelée chaque fois que des paquets de données IP sont envoyés entre des hôtes sur un réseau local, ce qui permet de meilleures connexions entre les destinations réseau.
Que se passe-t-il si une adresse IP n’est pas connue de l’hôte?
Dans ce cas, une requête ARP est envoyée, c’est-à-dire un paquet de diffusion. Si un ordinateur avec cette adresse IP existe (et est connecté au réseau), il répond avec son adresse MAC (Media Access Control) avant d’être ajouté au cache.
Que sont les attaques par usurpation d’identité ARP ?
Plusieurs problèmes rendent l’ARP moins sécurisé.
- Le protocole ARP n’a aucune sorte de vérification pour confirmer que la demande provient d’un utilisateur autorisé. C’est ce qui permet principalement les attaques d’usurpation d’ARP.
- Lorsqu’une nouvelle réponse ARP est reçue, les anciennes entrées ARP non expirées sont écrasées.
- Même si aucune demande ARP n’est envoyée, les hôtes mettront en cache les réponses car ARP est un protocole sans état.
- ARP fonctionne uniquement avec IPv4 et sur des adresses IP 32 bits.
D’accord, alors qu’est-ce que l’usurpation d’ARP ou l’empoisonnement d’ARP ?
C’est un type d’attaque malveillante dans laquelle le cyberattacker trompe la passerelle par défaut pour relier son adresse MAC à l’adresse IP de la victime en envoyant des paquets ARP à la passerelle sur le réseau local (LAN).
À quoi sert habituellement l’usurpation d’identité ARP ?
En soi, l’usurpation d’ARP n’est peut-être pas si grave. Au lieu de cela, il sert généralement d’avant-garde pour des types d’attaques plus sophistiqués tels que:
- Attaques Man-in-the-middle – L’attaquant intercepte et modifie le trafic entre l’expéditeur et le destinataire. En savoir plus sur les attaques MITM.
- Attaques DDoS – L’usurpation ARP permet au cybercriminel d’utiliser l’adresse MAC du serveur qu’il souhaite attaquer et non la sienne et de lancer une attaque DDoS. Il peut ensuite répéter cela pour autant d’adresses IP qu’il en a besoin pour inonder le trafic.
- Détournement de session – L’usurpation d’ARP permet également au pirate d’obtenir l’ID de session de la victime et d’accéder aux comptes auxquels la cible s’est déjà connectée.
- Vol continu de paquets – Enfin, l’attaquant peut simplement continuer à voler vos données en reniflant vos paquets de données.
Comment Fonctionnent Les Attaques D’usurpation d’Identité ARP ?
Voyons maintenant comment ces attaques fonctionnent étape par étape.
- Tout d’abord, le pirate accède au réseau LAN et le scanne à la recherche d’adresses IP.
- Ensuite, avec un outil d’usurpation d’ARP, tel que Arpspoof, l’attaquant crée des réponses ARP.
- Ensuite, le paquet ARP avec l’adresse MAC du pirate est envoyé et associé à l’adresse IP de la cible. Cela trompe le routeur et l’ordinateur pour se connecter au pirate au lieu de l’un à l’autre.
- Maintenant, le cache ARP est mis à jour, ce qui signifie que le routeur et l’ordinateur communiqueront avec le cybercriminel.
- D’autres hôtes sur le réseau diffuseront alors des données à l’attaquant voyant le cache ARP usurpé.
Pouvez-vous détecter L’usurpation d’ARP ?
La bonne nouvelle est que oui, vous pouvez détecter une attaque d’usurpation d’ARP.
Il y a plusieurs façons de le faire.
- À l’aide de l’invite de commande Windows
Si vous utilisez le système d’exploitation Windows, vous pouvez savoir si votre ordinateur a été attaqué par usurpation d’ARP en tapant
arp-1
Dans la ligne de commande.
Cela fera ressortir une table ARP avec les adresses IP sur le côté gauche et les adresses MAC au milieu. Si deux adresses IP partagent la même adresse MAC, c’est le signe d’une attaque ARP.
Notez également que la même commande pour détecter l’usurpation d’ARP fonctionne également avec Linux.
- Utilisation d’un logiciel tiers
Si vous utilisez un logiciel tiers, deux options sont disponibles.
L’une consiste à utiliser un programme de détection d’usurpation d’ARP dédié tel que XArp pour surveiller le réseau pour les attaques d’usurpation d’ARP.
L’autre consiste à utiliser un analyseur de protocole réseau comme Wireshark.
Comment Empêcher l’Usurpation d’ARP (Et Protéger Votre Adresse IP et Votre Adresse MAC) ?
En plus d’utiliser un logiciel (ou une commande) de détection d’usurpation d’identité ARP, que pouvez-vous faire d’autre pour empêcher de telles attaques ?
Il y a plusieurs choses que vous pouvez faire, telles que:
- Utilisez des filtres de paquets pour détecter les paquets de données malveillants et les bloquer.
- Cryptez les données entre vous et la sortie avec un VPN (Réseau privé virtuel).
- Utilisez TLS (Transport Layer Security), SSH Secure Shell) et HTTPS pour chiffrer vos données en transit et minimiser la probabilité d’attaques d’usurpation d’ARP.
- Utilisez l’ARP statique pour autoriser les entrées statiques pour chaque adresse IP et empêcher les pirates d’écouter les réponses ARP pour cette adresse IP.
- Surveillez la résolution des adresses à l’aide d’un logiciel de détection d’intrusion tel que Suricata.
- Restez à l’écart des relations de confiance qui reposent sur des adresses IP pour l’authentification, car elles facilitent la conduite d’attaques d’usurpation d’ARP.
Conclusion
Comme vous pouvez le voir, l’usurpation d’ARP est certainement quelque chose dont il faut se méfier.
Avec un peu de chance, grâce à cet article, vous avez maintenant une meilleure compréhension des attaques d’usurpation d’ARP, de leur fonctionnement et de la façon de les détecter et de les prévenir.