Définition ARP Spoofing
L’ARP Spoofing revêt plusieurs noms : usurpation du protocole ARP ou empoisonnement ARP. Quelle que soit la dénomination utilisée, il s’agit d’une cyberattaque particulièrement efficace. L’attaquant intercepte des données en détournant la communication des appareils entre eux, connectés sur un réseau LAN (Local Area Network). Le pirate informatique exploite une faille de sécurité : une fois introduit dans le système, il peut générer d’autres types d’attaques. Voici le décryptage de cette cyberattaque et comment vous en protéger.
Qu’est-ce que le protocole ARP ?
Pour comprendre ce qu’est l’ARP Spoofing, il est nécessaire de faire le point sur le protocole ARP (Protocole de résolution d’adresse) exclusif aux communications entre les hôtes présents dans un réseau local.
Le fonctionnement du protocole ARP entre les hôtes d’un réseau local
Une entreprise possède un réseau local (LAN) où se connectent de nombreux terminaux. Chaque terminal dispose d’une adresse MAC (Media Access Control) et d’une adresse IP (Internet Protocol). Le couple IP-MAC forme la trame Ethernet. Le rôle du protocole ARP est de fournir, à partir d’une adresse IP, l’adresse MAC de l’appareil. Pour communiquer entre eux dans le réseau, les hôtes doivent connaître les adresses IP et MAC, qui représentent les coordonnées de chaque terminal.
Imaginons un ordinateur souhaitant se connecter à une imprimante. L’ordinateur envoie une requête ARP à tous les appareils du réseau. Tous apportent une réponse ARP contenant l’adresse MAC demandée. Ces adresses MAC sont stockées sur chaque terminal dans un cache ARP, soit une liste de contacts des autres terminaux présents dans le réseau. L’ordinateur prend en considération la première réponse qu’il obtient.
Les failles de sécurité du protocole ARP
Le protocole ARP ne possède pas de vérifications de sécurité. Il ne sait pas détecter un hôte malveillant, puisqu’il ne dispose pas d’un système de gestion d’adresses MAC autorisées ou non. Aussi, toutes les requêtes et réponses sont, pour lui, légitimes.
Cette absence de vérification, couplée à une intrusion non détectée d’un pirate sur le réseau local, entraîne le détournement et le vol de données. Vous êtes alors en présence d’une attaque de type MITM (Man in the Middle).
Qu’est-ce que l’ARP Spoofing ?
L’ARP Spoofing est une cyberattaque dont l’objectif est d’intercepter des communications réseau en envoyant des paquets ARP malveillants. Le but de cette intrusion est de voler des données sensibles d’une organisation ou d’une entreprise. L’attaquant utilise à son avantage le protocole ARP. Cette méthode repose sur l’usurpation ARP. Le pirate vole une adresse IP d’un terminal pour prendre sa place. Il intègre ainsi un réseau local en se faisant passer pour un hôte légitime.
Une attaque ARP Spoofing peut se contenter de voler des données. Cependant, elle sert généralement de support à d’autres types d’attaques, plus impactantes pour une entreprise. Elle facilite l’attaque par déni de service (attaque DDoS) et l’attaque MITM. L’ARP Spoofing contribue au détournement de session, pour voler des identifiants et donc accéder à d’autres systèmes et d’autres données.
Comment un pirate réalise-t-il une attaque ARP Spoofing ?
La première étape d’une attaque par ARP consiste, pour l’attaquant, à accéder au réseau. Il le scanne ensuite, à l’aide d’un outil spécifique, pour identifier des adresses IP d’appareils connectés et définir sa cible. Cette cible peut être un routeur, un ordinateur ou encore un groupe de terminaux.
Une fois positionné dans le réseau, le pirate n’a plus qu’à attendre une requête ARP. L’attaquant l’intercepte et devance toutes les autres réponses des hôtes. Il envoie une réponse erronée afin de créer une erreur dans la table ARP. Le cache ARP contenant toutes les informations des hôtes est ainsi contaminé : il s’agit alors de l’ARP Poisoning.
Le paquet de réponses envoyé par le pirate contient l’adresse MAC d’un hôte contrôlé par l’attaquant. L’IP de sortie des données envoie les informations à la source matérielle corrompue. Le hacker peut alors avoir accès au trafic des données et en faire ce qu’il souhaite : les voler, les supprimer, les enregistrer, etc. Notez que l’ARP Spoofing n’est pas exclusif au réseau local. Il peut également impacter un réseau sans fil Wifi (WLAN).
Quels sont les outils couramment utilisés par un pirate pour l’ARP Spoofing ?
Une fois la cible définie, l’attaquant utilise un outil de spoofing. Parmi les plus fréquents, citons ARP0c/WCI, Cain&Abel, Arpoison, Dsniff, etc. Ces outils servent à envoyer des paquets ARP contenant de fausses informations. La majorité de ces outils sont accessibles gratuitement sur le web. Ces programmes ne sont pas présentés comme des outils de cyberattaques, mais bien comme des outils de cybersécurité.
Ces outils peuvent également servir aux administrateurs réseau. Ils s’utilisent pour effectuer des tests et repérer les vulnérabilités ARP.
Quels sont les risques associés à une attaque ARP Spoofing ?
L’ARP Spoofing fait courir de nombreux risques à une entreprise. Outre le vol de données et l’impact que cela peut avoir, le réseau local peut arrêter de fonctionner. L’activité même de l’organisation peut alors être mise en difficulté. L’intrusion du cybercriminel dans le réseau par l’ARP Spoofing le laisse libre de ses agissements. Il peut déposer des logiciels malveillants, crypter les données afin de demander une rançon, etc.
Les données bancaires ou les identifiants représentent de la data en or pour les cyberattaquants. La détection d’une attaque par ARP Spoofing étant assez longue, l’attaquant peut prendre le temps d’exploiter et de construire ses attaques sur l’ensemble de l’infrastructure d’une entreprise, cloud compris.
Comment détecter une attaque d’ARP Spoofing sur son réseau ?
L’administrateur réseau peut détecter une attaque ARP Spoofing seulement s’il en prend l’initiative. Ouvrez l’invite de commandes en tant qu’administrateur. Tapez ensuite la commande « arp-a ». Cette commande affiche les adresses IP et les adresses MAC associées. Si vous constatez que deux adresses IP disposent de la même adresse MAC, alors il se peut que vous soyez la victime d’une attaque ARP Spoofing.
Cette méthode n’est pas infaillible et ne détecte pas l’attaque ARP à tous les coups. Vous devez également procéder à l’analyse du trafic ARP. Vous pouvez constater par ce biais des messages indésirables provenant de l’adresse IP ou Mac du routeur.
Comment protéger son réseau et prévenir une attaque ARP Spoofing ?
Si la détection d’une attaque ARP Spoofing est difficile, il existe des solutions de protection pour les éviter. Ces procédures sont à mettre en place dans le cadre d’une stratégie de réponse à un incident.
Le filtrage des paquets ARP et DAI (Dynamic ARP Protection)
Les pare-feu de filtrage des paquets ARP se montrent utiles pour prévenir toute usurpation ARP. L’outil filtre les paquets dont les informations sont contradictoires (paquets provenant de l’extérieur du réseau avec des adresses situées à l’intérieur du réseau ou le contraire). Le filtrage des paquets ARP peut également détecter une adresse en double sur le réseau.
Le DAI est un outil utilisé pour assurer la protection d’un réseau contre une attaque ARP. Le DAI valide les paquets ARP en analysant les adresses MAC et IP validées et stockées dans une base de données DHCP. Si un paquet ARP est authentifié comme fiable, le commutateur le transmet normalement. S’il ne l’est pas, le commutateur interrompt la connexion.
Outil de chiffrement des données pour la sécurité des communications réseau
La solution efficace contre les attaques ARP consiste à chiffrer les données. Les protocoles de chiffrement des données (comme HTTPS pour les sites web, SSH ou TLS) rendent plus compliqué le travail des attaquants. Les données sont chiffrées avant leur circulation et authentifiées à la réception.
Les protocoles de communication sécurisés représentent des outils de prévention efficaces au même titre que l’utilisation d’un VPN (réseau virtuel privé). Les données transitent d’une source à l’autre via un tunnel chiffré, empêchant ainsi toute attaque de l’homme du milieu (MITM).
Système de surveillance des réseaux et outil de détection d’intrusion pour assurer la sécurité du réseau
Les vulnérabilités ARP sont contrebalancées par des outils de sécurité assurant la protection de vos réseaux. Parmi les outils les plus fiables, citons Arpwatch (pour les réseaux dotés d’IP statiques exclusivement) et ARP-Guard. Ce dernier outil très complet analyse les paquets ARP, détecte et neutralise les attaques ARP. Il décèle aussi les appareils indésirables connectés au réseau.
Il revient aux administrateurs réseau de choisir les outils et protocoles les plus adaptés à leurs besoins et contraintes, tant en matière de budget, mais aussi de compétences. Parmi les bonnes pratiques de sécurité informatique, la mise en place d’une stratégie Zero Trust autour d’un réseau local implique de ne faire confiance à aucune source matérielle. Les systèmes d’identification, de chiffrement et d’accès sont plus exigeants et limitent les intrusions.
L’usurpation ARP est l’une des plus anciennes attaques. L’augmentation des appareils connectés à un réseau local doit pousser les administrateurs à améliorer les stratégies d’accès aux données. L’IoT (l’internet des objets) engendre de nouveaux points d’entrée aux réseaux des entreprises et lance de nouveaux défis en matière de menaces et d’attaques.
À la Cyber Management School, nous formons les experts de la cybersécurité de demain. Nous leur apportons les compétences pratiques et théoriques pour répondre aux enjeux de la sécurité de demain. Si les cyberattaques sont de plus en plus innovantes, les attaques les plus anciennes restent toujours efficaces.