Open in app

Sign in

Write

Sign in

Attaque d’usurpation ARP

Mathilda Legeay
INSA TC
Published in
6 min readOct 29, 2020

Prérequis: Connaître approximativement le protocole ARP

Une usurpation ARP, également connue sous le nom d’empoisonnement ARP, ou d’ARP Spoofing en anglais, est une attaque de type “Man in the Middle” (MitM) qui permet aux attaquants d’intercepter les communications entre les dispositifs du réseau. Dans cet article, vous découvrirez ce qu’est une attaque de type MitM et plus précisément ce qu’est une attaque d’usurpation ARP. Puis vous découvrirez rapidement comment la mettre en place afin de mieux l’appréhender, et quelles en sont les menaces dans le domaine de l’Internet des Objets (IoT).

I. Présentation de l’attaque

L’attaque de l’homme du milieu (MITM) est un terme général désignant le fait pour un attaquant de se positionner dans une conversation entre un utilisateur et une application, ou bien entre deux utilisateurs, soit pour écouter, soit pour se faire passer pour l’une des parties, en donnant l’impression qu’un échange normal d’informations est en cours.

Attaque Man In The Middle (MitM) : principe général

Parmi les différents types d’attaques MITM (Usurpation DNS, usurpation HTTPs, détournement SSL…), nous allons dans cet article nous focaliser sur l’attaque d’usurpation ARP qui repose sur le protocole de résolution d’adresses mac/ip.

Dans le protocole ARP, la première réponse à une demande ARP est toujours acceptée et stockée. Dans une attaque d’usurpation ARP, l’attaquant essaie de devancer l’ordinateur cible réel afin d’envoyer un paquet de réponse contenant des informations incorrectes et de manipuler le tableau ARP de l’ordinateur demandeur: on parle d’empoisonnement ARP ou de “contamination” des caches ARP. Ces paquets contiennent généralement l’adresse MAC d’un périphérique réseau contrôlé et accessible par l’attaquant. Le système visé relie alors l’IP de sortie à la mauvaise adresse matérielle et envoie tous les paquets de données futurs au système contrôlé par l’attaquant. Ce système a maintenant la possibilité d’enregistrer ou de manipuler tout le trafic de données.

Pour ne pas être détecté, le trafic de données intercepté est généralement transmis au système cible réel, c’est la raison pour laquelle on parle bien d’une attaque MitM. Si les paquets de données interceptés ne sont pas transmis, mais rejetés, l’usurpation ARP peut entraîner un déni de service (DoS).

Table ARP si l’attaquant réussi son attaque

II. Comment une attaque de type ARP Spoofing est-elle mise en place, comment l’appréhender ?

L’attaque ARP Spoofing se déroule en 4 principales étapes [3]:

  1. L’attaquant doit préalablement avoir accès au réseau. Une fois sur le même réseau que sa cible, il scanne le réseau pour déterminer les adresses IP d’au moins deux appareils. Pour cela, il est possible d’utiliser des outils de scan tel que nmap. Nmap est un outil conçu pour détecter les ports ouverts, identifier les services hébergés et obtenir des informations sur le système d’exploitation d’un ordinateur distant.
  2. L’attaquant choisit sa cible puis utilise un outil de spoofing, tel que Arpspoof, Ettercap ou Driftnet [6], pour envoyer de fausses réponses ARP : il envoie des paquets ARP à travers le réseau local qui contiennent l’adresse MAC de l’attaquant et l’adresse IP de la cible.
  3. Les réponses falsifiées annoncent que l’adresse MAC correcte pour les deux adresses IP, appartenant au routeur et à la station de travail, est l’adresse MAC de l’attaquant. Cela trompe le routeur et la station de travail pour qu’ils se connectent à la machine de l’attaquant, plutôt que l’un à l’autre.
  4. Comme les autres hôtes du réseau local mettent en cache les paquets ARP usurpés, les données que ces hôtes envoient à la victime seront plutôt transmises à l’attaquant. À partir de là, l’attaquant peut voler des données ou lancer une attaque de suivi plus sophistiquée.

Maintenant que l’on sait comment se déroule l’attaque, voici différentes mesures qui permettent d’anticiper une attaque ARP Spoofing [5]:

  1. Filtrage des paquets : Les filtres inspectent les paquets lorsqu’ils sont transmis sur un réseau. Ils sont utiles dans la prévention des attaques par usurpation d’adresse IP car ils sont capables de filtrer et de bloquer les paquets contenant des informations contradictoires (paquets provenant de l’extérieur du réseau qui montrent des adresses sources de l’intérieur du réseau et vice-versa par exemple).
  2. Éviter les relations de confiance : Les organisations doivent élaborer des protocoles qui reposent le moins possible sur des relations de confiance. Il est beaucoup plus facile pour les attaquants d’exécuter des attaques par usurpation lorsque des relations de confiance sont en place, car ces dernières n’utilisent les adresses IP que pour l’authentification.
  3. Utiliser un logiciel de détection de l’usurpation d’identité : Il existe de nombreux programmes qui aident les organisations à détecter les attaques de spoofing, en particulier l’ARP Spoofing. Ces programmes fonctionnent en inspectant et en certifiant les données avant qu’elles ne soient transmises et en bloquant les données qui semblent être usurpées.
  4. Utiliser les protocoles de réseau cryptographique : Transport Layer Security (TLS), Secure Shell (SSH), HTTP Secure (HTTPS) et d’autres protocoles de communication sécurisés renforcent les efforts de prévention des attaques par usurpation d’identité en chiffrant les données avant leur envoi et en les authentifiant à leur réception.
  5. Utiliser un réseau privé virtuel (VPN) : Un VPN permet à des appareils de se connecter à Internet par un tunnel chiffré. Ainsi, toutes les communications sont chiffrées et n’ont aucune valeur pour un attaquant qui intercepterait les paquets.
  6. DAI : Dynamic ARP Protection : Le DAI, ou “Dynamic ARP Protection” est une solution employée dans les éléments actifs (commutateurs par exemple) dans le but de protéger le réseau des attaques par ARP spoofing. Le DAI détermine la validité d’un paquet ARP en se basant sur les liaisons d’adresses IP à MAC valides stockées dans une base de données fiable, la base de données DHCP. Si le paquet ARP est reçu sur une interface de confiance, le commutateur transmet le paquet sans aucun contrôle. Sur les interfaces non fiables, le commutateur ne transmet le paquet que s’il est valide.

III. Les attaques ARP mettent en danger les objets connectés

Les attaques de type MITM ont profité et profiteront encore plus de l’utilisation explosive des objets connectés, d’autant plus que les appareils IoT introduisent de nombreuses failles de sécurité potentielles. Un appareil IoT par exemple, peut être connecté à différents réseaux ( cellulaire, GPS, Wi-Fi, Bluetooth, Ethernet… ) ce qui présente un véritable risque.

Ainsi, par le biais d’une attaque MITM, un pirate pourrait exploiter un bug dans l’appairage Dual-Mode de Bluetooth[1], qui lui permettrait de s’insérer entre deux appareils et accéder à tous les échanges en clair. L’attaque n’est plus possible avec l’apparition de Bluetooth 5.1 en 2019, pourtant le problème est encore important pour les objets connectés dont une grande partie n’est pas mise à jour régulièrement et fonctionne encore avec les anciennes versions Bluetooth.

De manière générale, le protocole ARP contient plusieurs failles potentielles car il est fondé sur la confiance entre les nœuds du réseau IoT, ce qui permet au pirate de procéder à des appairages erronés entre les nœuds de communication et par conséquent intercepter le trafic du réseau IoT en question.

L’attaque ARP spoofing peut permettre à un hacker d’utiliser son appareil comme un intermédiaire entre le capteur IoT et la passerelle. Souvent l’appareil du hacker joue le rôle d’un smartphone ou d’un routeur et contrôle les capteurs IoT dans les voitures, les prises électriques, les réfrigérateurs et de nombreux autres appareils. En juillet 2015, deux chercheurs américains sont parvenus à manipuler une JeeP[2] qui roulait sur une autoroute, ce qui montre à quel point une telle attaque peut être grave. D’autres attaques sont moins critiques, tel que l’intrusion dans un réfrigérateur, mais peuvent servir de bot pour amplifier l’attaque.

Les attaques de types MITM, notamment ARP spoofing, font parties des plus anciennes formes de cyberattaques, et pourtant l’internet des objets ouvre une nouvelle frontière pour ce type d’attaques. La détection des attaques ARP spoofing étant compliquée, les constructeurs d’objets connectés doivent renforcer leurs méthodes de chiffrement et assurer l’intégrité par le biais des certificats numériques afin de se protéger.

Conclusion

Dans cet article, nous avons présenté le principe d’une usurpation ARP, l’exécution, et les pistes de protections contre cette attaque. Ceci met en évidence les vulnérabilités inhérentes du protocole ARP, encore exploitées par les attaquants, en particulier pour les nouvelles technologies qui ne sont pas encore matures tel que l’IoT, ce qui cause de nouveaux problèmes et ouvre des pistes d’attaques imprévues.

Saad ELMSELLEK, Mathilda LEGEAY

[1] https://www.01net.com/actualites/une-faille-dans-bluetooth-permet-d-intercepter-les-communications-1974919.html ,septembre 2020

[2] https://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/ , juillet 2015

[3] https://medium.com/secjuice/man-in-the-middle-attack-using-arp-spoofing-fa13af4f4633 , Décembre 2017

[4] https://www.journaldunet.com/solutions/dsi/1179860-les-attaques-de-l-homme-du-milieu-a-l-ere-de-l-internet-des-objets/ , juin 2016

[5] https://www.csoonline.com/article/3340117/what-is-a-man-in-the-middle-attack-how-mitm-attacks-work-and-how-to-prevent-them.html , Février 2019

[6] https://www.ionos.fr/digitalguide/serveur/securite/arp-spoofing-attaques-du-reseau-interne/ , Mai 2020

[7] https://arxiv.org/ftp/arxiv/papers/1708/1708.01302.pdf , 2017

Arp Protocol
Arp Spoofing
Cyberattack
IoT
Secu2020

--

--

Mathilda Legeay
INSA TC

Written by Mathilda Legeay

1 Follower
Writer for

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams