By: adminPosted on

L’empoisonnement ARP est un type de cyberattaque qui abuse des faiblesses du protocole de résolution d’adresses (ARP) largement utilisé pour perturber, rediriger ou espionner le trafic réseau. Dans cet article, nous examinerons rapidement la nécessité de l’ARP, les faiblesses qui permettent l’empoisonnement par l’ARP et ce que vous pouvez faire pour assurer la sécurité de votre organisation.

Qu’est-ce que l’ARP ?

Le protocole ARP (Address Resolution Protocol) existe pour prendre en charge l’approche en couches utilisée depuis les premiers jours de la mise en réseau informatique. Les fonctions de chaque couche, des signaux électriques qui traversent un câble Ethernet au code HTML utilisé pour rendre une page Web, fonctionnent en grande partie indépendamment les unes des autres. C’est ainsi que nous pouvons utiliser IPv4 – une technologie de couche réseau datant du début des années 1980 – avec des technologies plus récentes telles que le Wi-Fi et le Bluetooth: Les couches physiques et de liaison de données inférieures gèrent les spécificités du transfert de données sur un support spécifique comme les ondes radio.

Le but de l’ARP est de traduire entre les adresses de la couche de liaison de données – appelées adresses MAC – et les adresses de la couche réseau, qui sont généralement des adresses IP. Il permet aux périphériques en réseau de  » demander  » à quel périphérique une adresse IP donnée est actuellement attribuée. Les périphériques peuvent également annoncer ce mappage au reste du réseau sans être invités. Par souci d’efficacité, les périphériques mettent généralement en cache ces réponses et créent une liste des mappages MAC-IP actuels.

Qu’est-ce qu’un empoisonnement à l’ARP?

L’empoisonnement par ARP consiste à abuser des faiblesses de l’ARP pour corrompre les mappages MAC-IP d’autres périphériques du réseau. La sécurité n’était pas une préoccupation primordiale lorsque l’ARP a été introduit en 1982, de sorte que les concepteurs du protocole n’ont jamais inclus de mécanismes d’authentification pour valider les messages ARP. Tout périphérique du réseau peut répondre à une demande ARP, que le message d’origine lui soit destiné ou non. Par exemple, si l’ordinateur A « demande » l’adresse MAC de l’ordinateur B, un attaquant de l’ordinateur C peut répondre et l’ordinateur A acceptera cette réponse comme authentique. Cette surveillance a rendu possibles diverses attaques. En exploitant des outils facilement disponibles, un acteur de la menace peut « empoisonner » le cache ARP d’autres hôtes sur un réseau local, remplissant le cache ARP d’entrées inexactes.

Étapes de l’Attaque par Empoisonnement par ARP

Les étapes exactes d’une attaque par Empoisonnement par ARP peuvent varier, mais consistent généralement en au moins les éléments suivants:

L’attaquant Sélectionne une Machine Victime ou des Machines

La première étape de la planification et de la conduite d’une attaque par empoisonnement par ARP consiste à sélectionner une Cible. Il peut s’agir d’un point de terminaison spécifique sur le réseau, d’un groupe de points de terminaison ou d’un périphérique réseau tel qu’un routeur. Les routeurs sont des cibles attrayantes car une attaque d’empoisonnement ARP réussie contre un routeur peut perturber le trafic d’un sous-réseau entier.

L’attaquant Lance des outils et commence l’attaque

Une grande variété d’outils sont facilement disponibles pour quiconque cherche à mener une attaque par empoisonnement ARP. Après avoir lancé l’outil de son choix et configuré les paramètres applicables, l’attaquant commencera l’attaque. Ils peuvent immédiatement commencer à diffuser des messages ARP ou attendre qu’une demande soit reçue.

L’attaquant Fait quelque chose avec le trafic mal dirigé

Une fois que le cache ARP sur une machine victime ou des machines a été corrompu, l’attaquant effectuera généralement un type d’action avec le trafic mal dirigé. Ils peuvent l’inspecter, le modifier ou le faire « trou noir » et ne jamais atteindre sa destination prévue. L’action exacte dépend des motivations de l’attaquant.

Types d’attaques par empoisonnement ARP

Une attaque par empoisonnement ARP peut se produire de deux manières générales : l’attaquant peut soit attendre de voir les demandes ARP pour une cible particulière et émettre une réponse, soit envoyer un message de diffusion non sollicité appelé « ARP gratuit ». La première approche est moins visible sur le réseau, mais ses impacts sont potentiellement moins importants. Un ARP gratuit peut être plus immédiat et avoir un impact sur un plus grand nombre de victimes, mais présente l’inconvénient de générer beaucoup de trafic réseau. Dans l’une ou l’autre approche, le ou les caches ARP corrompus sur les machines victimes peuvent être exploités à d’autres fins :

Attaque de l’homme du milieu (MiTM)

Les attaques MiTM sont probablement l’objectif le plus courant et potentiellement le plus dangereux de l’empoisonnement par ARP. L’attaquant envoie des réponses ARP falsifiées pour une adresse IP donnée, généralement la passerelle par défaut pour un sous-réseau particulier. Cela amène les machines victimes à remplir leur cache ARP avec l’adresse MAC de la machine de l’attaquant, au lieu de l’adresse MAC du routeur local. Les machines victimes transmettront alors de manière incorrecte le trafic réseau à l’attaquant. Des outils tels que Ettercap permettent à l’attaquant d’agir en tant que proxy, de visualiser ou de modifier des informations avant d’envoyer le trafic à sa destination prévue. Pour la victime, tout peut sembler normal.

Marier l’empoisonnement ARP avec l’empoisonnement DNS peut augmenter considérablement l’efficacité d’une attaque MiTM. Dans ce scénario, un utilisateur victime peut saisir un site légitime tel que google.com et recevoir l’adresse IP de la machine de l’attaquant, plutôt que l’adresse légitime.

Attaque par déni de service (DoS)

Une attaque DoS vise à refuser à une ou plusieurs victimes l’accès aux ressources du réseau. Dans le cas d’ARP, un attaquant peut envoyer des messages de réponse ARP qui mappent faussement des centaines, voire des milliers d’adresses IP à une seule adresse MAC, ce qui peut submerger la machine cible. Ce type d’attaque, parfois connu sous le nom d’inondation ARP, peut également être utilisé pour cibler des commutateurs, ce qui peut avoir un impact sur les performances de l’ensemble du réseau.

Détournement de session

Les attaques de détournement de session sont de nature similaire à l’Homme du milieu, sauf que l’attaquant ne transmettra pas directement le trafic de la machine victime à sa destination prévue. Au lieu de cela, l’attaquant capturera un véritable numéro de séquence TCP ou un cookie Web de la victime et l’utilisera pour assumer l’identité de la victime. Cela pourrait être utilisé, par exemple, pour accéder au compte de médias sociaux d’un utilisateur cible s’il est connecté.

Quel est le But d’une Attaque d’empoisonnement à l’ARP?

Les pirates informatiques ont une grande variété de motifs, et l’empoisonnement par ARP ne fait pas exception. Un attaquant peut mener une attaque par empoisonnement ARP pour un certain nombre de raisons, allant de l’espionnage de haut niveau au frisson de créer le chaos sur le réseau. Dans un scénario potentiel, un attaquant utilisera des messages ARP falsifiés pour assumer le rôle de passerelle par défaut pour un sous-réseau donné, dirigeant efficacement tout le trafic vers la machine de l’attaquant au lieu du routeur local. Ils peuvent alors espionner, modifier ou supprimer le trafic. Ces attaques sont « bruyantes » dans le sens où elles laissent des preuves, mais elles n’ont pas besoin d’interférer avec le fonctionnement réel du réseau. Si l’espionnage est l’objectif, la machine attaquante acheminera simplement le trafic vers sa destination d’origine, ne donnant à l’utilisateur final aucune indication que quelque chose a changé.

D’autre part, le but d’une attaque DoS peut être de créer une perturbation très notable du fonctionnement du réseau. Bien que cela puisse viser à priver une entreprise de sa capacité à fonctionner, les attaques DoS sont souvent menées par des attaquants moins qualifiés pour le simple plaisir de créer des problèmes.

Les attaques d’initiés sont particulièrement préoccupantes lorsqu’on pense à l’empoisonnement par ARP. Les messages ARP usurpés n’atteindront pas les limites d’un réseau local, l’attaque doit donc provenir d’un périphérique connecté localement. Il n’est pas impossible pour un étranger de lancer une attaque ARP, mais il devrait d’abord compromettre à distance un système local par d’autres moyens. Un initié, quant à lui, n’aurait besoin que d’un accès au réseau et de certains outils facilement disponibles.

Spoofing ARP vs Empoisonnement ARP

illustration de l'empoisonnement arp vs spoofing arp

Les termes Spoofing ARP et Empoisonnement ARP sont généralement utilisés de manière interchangeable. Techniquement, l’usurpation d’identité fait référence à un attaquant se faisant passer pour l’adresse MAC d’une autre machine, tandis que l’empoisonnement désigne l’acte de corrompre les tables ARP sur une ou plusieurs machines victimes. Dans la pratique, cependant, ce sont les deux sous-éléments d’une même attaque, et dans le langage général, les deux termes sont utilisés pour désigner l’attaque dans son ensemble. D’autres termes similaires peuvent inclure l’empoisonnement du cache ARP ou la corruption de la table ARP.

Quels sont les effets d’une attaque d’empoisonnement à l’ARP ?

L’impact le plus direct d’une attaque par empoisonnement ARP est que le trafic destiné à un ou plusieurs hôtes sur le réseau local sera plutôt dirigé vers une destination choisie par l’attaquant. L’effet exact que cela aura dépend des spécificités de l’attaque. Le trafic pourrait être envoyé à la machine de l’attaquant ou envoyé à un emplacement inexistant. Dans le premier cas, il peut n’y avoir aucun effet observable, tandis que le second peut inhiber l’accès au réseau.

L’empoisonnement du cache ARP lui-même n’aura pas d’impact durable. Les entrées ARP sont mises en cache de quelques minutes sur les périphériques finaux à plusieurs heures pour les commutateurs. Dès qu’un attaquant cesse d’empoisonner activement les tables, les entrées corrompues vieilliront tout simplement et le flux de trafic approprié reprendra bientôt. L’empoisonnement par l’ARP à lui seul ne laissera pas une infection permanente ou un pied sur les machines victimes. Cependant, les pirates informatiques enchaînent souvent de nombreux types d’attaques, et l’empoisonnement par ARP peut être utilisé dans une partie d’une campagne plus vaste.

Comment détecter une attaque d’empoisonnement de cache ARP

Une variété de logiciels commerciaux et open-source existe pour détecter l’empoisonnement du cache ARP, mais vous pouvez facilement vérifier les tables ARP sur votre propre ordinateur sans rien installer. Sur la plupart des systèmes Windows, Mac et Linux, l’émission de la commande « arp-a » à partir d’un terminal ou d’une ligne de commande affichera les mappages d’adresses IP vers MAC actuels de la machine.

Des outils comme arpwatch et X-ARP sont utiles pour la surveillance continue du réseau et peuvent alerter un administrateur si des signes d’une attaque d’empoisonnement du cache ARP sont visibles. Cependant, les faux positifs sont une préoccupation et peuvent créer un grand nombre d’alertes indésirables.

Comment prévenir les attaques d’empoisonnement ARP

illustration des conseils de prévention d'empoisonnement ARP

Il existe plusieurs approches pour prévenir les attaques d’empoisonnement ARP:

Tables ARP statiques

Il est possible de mapper statiquement toutes les adresses MAC d’un réseau à leurs adresses IP légitimes. Ceci est très efficace pour prévenir les attaques d’empoisonnement par ARP, mais ajoute un fardeau administratif énorme. Toute modification du réseau nécessitera des mises à jour manuelles des tables ARP sur tous les hôtes, rendant les tables ARP statiques impossibles à réaliser pour la plupart des grandes organisations. Néanmoins, dans des situations où la sécurité est cruciale, la création d’un segment de réseau distinct où des tables ARP statiques sont utilisées peut aider à protéger les informations critiques.

Sécurité des commutateurs

La plupart des commutateurs Ethernet gérés comportent des fonctionnalités conçues pour atténuer les attaques d’empoisonnement par ARP. Généralement connues sous le nom d’inspection ARP dynamique (DAI), ces fonctionnalités évaluent la validité de chaque message ARP et déposent des paquets qui semblent suspects ou malveillants. DAI peut également généralement être configuré pour limiter la vitesse à laquelle les messages ARP peuvent passer par le commutateur, empêchant efficacement les attaques DoS.

Le DAI et les fonctionnalités similaires étaient autrefois exclusifs aux équipements réseau haut de gamme, mais sont maintenant courants sur presque tous les commutateurs professionnels, y compris ceux que l’on trouve dans les petites entreprises. Il est généralement considéré comme une meilleure pratique d’activer DAI sur tous les ports, à l’exception de ceux connectés à d’autres commutateurs. La fonctionnalité n’a pas d’impact significatif sur les performances, mais elle peut devoir être activée en conjonction avec d’autres fonctionnalités telles que la surveillance DHCP.

L’activation de la sécurité des ports sur un commutateur peut également aider à atténuer les attaques d’empoisonnement du cache ARP. La sécurité des ports peut être configurée pour n’autoriser qu’une seule adresse MAC sur un port de commutateur, privant un attaquant de la possibilité d’assumer de manière malveillante plusieurs identités de réseau.

Sécurité physique

Contrôler correctement l’accès physique à votre établissement peut aider à atténuer les attaques d’empoisonnement par ARP. Les messages ARP ne sont pas acheminés au-delà des limites du réseau local, de sorte que les attaquants potentiels doivent se trouver à proximité physique du réseau victime ou avoir déjà le contrôle d’une machine sur le réseau. Notez que dans le cas des réseaux sans fil, la proximité ne signifie pas nécessairement que l’attaquant a besoin d’un accès physique direct; un signal s’étend à une rue ou à un parking peut suffire. Qu’il soit filaire ou sans fil, l’utilisation de technologies comme 802.1x peut s’assurer que seuls les appareils de confiance et / ou gérés peuvent se connecter au réseau.

Isolation réseau

Comme indiqué précédemment, les messages ARP ne voyagent pas au-delà du sous-réseau local. Cela signifie qu’un réseau bien segmenté peut être globalement moins sensible à l’empoisonnement du cache ARP, car une attaque dans un sous-réseau ne peut pas affecter les périphériques dans un autre. La concentration de ressources importantes dans un segment de réseau dédié où une sécurité renforcée est présente peut considérablement diminuer l’impact potentiel d’une attaque par empoisonnement par ARP.

Cryptage

Bien que le cryptage n’empêche pas une attaque ARP de se produire, il peut atténuer les dommages potentiels. Une utilisation populaire des attaques MiTM consistait à capturer les informations de connexion qui étaient autrefois couramment transmises en texte brut. Avec l’utilisation généralisée du cryptage SSL / TLS sur le Web, ce type d’attaque est devenu plus difficile. L’acteur de la menace peut toujours intercepter le trafic, mais ne peut rien y faire sous sa forme cryptée.

Une menace parmi d’autres

Bien qu’elle existe depuis bien plus longtemps que les menaces modernes telles que les ransomwares, l’empoisonnement par ARP est toujours une menace à laquelle les organisations doivent faire face. Comme toutes les cybermenaces, il est préférable de les traiter grâce à un programme complet de sécurité de l’information. Une solution comme Varonis Threat Detection and Response peut vous aider à vous faire une idée de la posture de sécurité globale de votre organisation. Varonis Edge peut aider à repérer les signes d’exfiltration de données qui peuvent survenir après une attaque d’empoisonnement par ARP.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.