Le spoofing du protocole de résolution d'adresse (ARP) est une forme d'attaque par usurpation que les hackers utilisent pour intercepter des données.
Qu'est-ce que le protocole ARP ?
Le protocole de résolution d'adresse (ARP) est un protocole qui permet aux communications réseau d'atteindre un périphérique spécifique sur le réseau. ARP traduit les adresses IP (Internet Protocol) en adresses MAC (Media Access Control), et vice versa. Le plus souvent, les périphériques utilisent le protocole ARP pour contacter le routeur ou la passerelle qui leur permet de se connecter à Internet.
Le protocole ARP n'a pas été conçu pour la sécurité, il ne vérifie donc pas qu'une réponse à une requête ARP provient réellement d'une partie autorisée. Il permet également aux hôtes d'accepter des réponses ARP même s'ils n'ont jamais envoyé de demande. Il s'agit d'un point faible du protocole ARP, qui ouvre la porte aux attaques de type "ARP spoofing".
Qu'est-ce que le spoofing ARP ?
Le spoofing ARP est un type d'attaque dans lequel un acteur malveillant envoie des messages ARP (Address Resolution Protocol) falsifiés sur un réseau local. Cela permet d'associer l'adresse MAC d'un attaquant à l'adresse IP d'un ordinateur ou d'un serveur légitime sur le réseau. Une fois l'adresse MAC de l'attaquant connectée à une adresse IP authentique, l'attaquant commence à recevoir toutes les données destinées à cette adresse IP. L'usurpation ARP peut permettre à des parties malveillantes d'intercepter, de modifier ou même d'arrêter des données en transit. Les attaques par usurpation ARP ne peuvent se produire que sur les réseaux locaux qui utilisent le protocole de résolution d'adresse.
Les effets des attaques de type ARP spoofing peuvent avoir de graves conséquences pour les entreprises. Dans leur application la plus basique, les attaques ARP spoofing sont utilisées pour voler des informations sensibles. Au-delà de cela, les attaques ARP spoofing sont souvent utilisées pour faciliter d'autres attaques telles que :
- Les attaques par déni de service : Les attaques DDoS s'appuient souvent sur l'usurpation ARP pour relier plusieurs adresses IP à l'adresse MAC d'une seule cible. En conséquence, le trafic destiné à de nombreuses adresses IP différentes sera redirigé vers l'adresse MAC de la cible, la surchargeant ainsi de trafic.
- Détournement de session : Les attaques de détournement de session peuvent utiliser l'usurpation ARP pour voler les identifiants de session, permettant aux attaquants d'accéder à des systèmes et des données privés.
- Les attaques de type "Man-in-the-middle" : Les attaques MITM peuvent s'appuyer sur l'usurpation du protocole ARP pour intercepter et modifier le trafic entre les victimes.
Quels sont les effets d’une attaque de spoofing ARP ?
L'usurpation ARP a des effets similaires à d'autres formes d'usurpation, comme l'usurpation de courrier électronique. Les effets visibles de l'usurpation ARP peuvent aller jusqu’à la perte totale de connexion au réseau si le pirate met en œuvre une attaque par déni de service. Les effets visibles de l'attaque dépendent des objectifs du hacker. S'il cherche uniquement à espionner ou à modifier les informations entre les hôtes, il peut passer inaperçu. S'il cherche à lancer une autre attaque, comme c'est souvent le cas avec les attaques de type ARP spoofing, il voudra également passer inaperçu. Cependant, ces attaques deviendront évidentes une fois que leur objectif final sera atteint. Par exemple, votre système peut être surchargé par des communications de logiciels malveillants ou votre machine peut être infectée par un ransomware.
Pourquoi le spoofing ARP est-il dangereux ?
L'usurpation ARP peut être dangereuse pour de nombreuses raisons:
- Elle permet aux pirates d'accéder sans autorisation à des informations privées.
- Les hackers peuvent ensuite utiliser cet accès à des fins malveillantes, par exemple pour accéder à des mots de passe, des informations d'identification ou des informations relatives à des cartes de crédit.
- Ces attaques peuvent également être utilisées pour introduire des logiciels malveillants tels que les ransomwares.
Comment les attaquants tentent de rester cachés ?
Les auteurs d'attaques ARP spoofing veulent souvent passer inaperçus. De cette façon, ils peuvent recueillir des informations ou s'infiltrer davantage dans le réseau sur lequel ils se trouvent pour lancer une attaque plus importante. Si les hôtes du réseau se rendaient compte que les requêtes ARP qu'ils reçoivent sont fausses, l'usurpation serait atténuée.
Les victimes ne détectent normalement pas un cache ARP empoisonné ; elles continueront à recevoir leurs communications comme d'habitude. Cependant, l'attaquant interceptera ces communications envoyées par le protocole ARP, comme les noms d'utilisateur et les mots de passe des victimes.
Comment détecter, prévenir et se protéger d’un spoofing ARP ?
Les méthodes suivantes sont des mesures recommandées pour la détection, la prévention et la protection contre les attaques ARP spoofing :
- Filtrage des paquets : Les filtres de paquets inspectent les paquets lorsqu'ils sont transmis sur un réseau. Les filtres de paquets sont utiles dans la prévention de l'usurpation ARP car ils sont capables de filtrer et de bloquer les paquets avec des informations d'adresse source contradictoires (paquets provenant de l'extérieur du réseau qui présentent des adresses source de l'intérieur du réseau et vice-versa).
- Évitez les relations de confiance : Les organisations doivent développer des protocoles qui reposent le moins possible sur des relations de confiance. Les relations de confiance s'appuient uniquement sur les adresses IP pour l'authentification, ce qui facilite considérablement les attaques par usurpation ARP lorsqu'elles sont en place.
- Utilisez un logiciel de détection de l'usurpation ARP : Il existe de nombreux programmes qui aident les organisations à détecter les attaques par usurpation ARP. Ces programmes fonctionnent en inspectant et en certifiant les données avant qu'elles ne soient transmises et en bloquant les données qui semblent être usurpées.
- Utilisez des protocoles de réseau cryptographiques : Transport Layer Security (TLS), Secure Shell (SSH), HTTP Secure (HTTPS) et d'autres protocoles de communication sécurisés renforcent la prévention des attaques ARP spoofing en chiffrant les données avant leur transmission et en les authentifiant à leur réception.
Comment savoir si quelqu'un usurpe votre ARP ?
Pour savoir si vous êtes victime d'une usurpation, consultez votre programme d'automatisation des tâches et de gestion de la configuration. Vous pourrez y trouver votre cache ARP. S'il y a deux adresses IP avec la même adresse MAC, vous pourriez être victime d'une attaque. Les pirates utilisent généralement un logiciel d'usurpation qui envoie des messages indiquant que son adresse est celle de la passerelle par défaut.
Cependant, il est également possible que ce logiciel trompe sa victime en écrasant l'adresse MAC de la passerelle par défaut par la sienne. Dans ce cas, vous allez devoir examiner le trafic ARP à la recherche de tout élément inhabituel. La forme inhabituelle de trafic est généralement constituée de messages non sollicités qui prétendent posséder l'adresse IP ou MAC du routeur. Ainsi, les messages non sollicités peuvent être le signe d'une attaque ARP spoofing.