L'usurpation du protocole ARP (Address Resolution Protocol, ou protocole de résolution d'adresse), également appelée empoisonnement ARP, est une forme d'attaque par usurpation utilisée par les cyberpirates pour intercepter des données. Dans ce type d'attaque, le cyberattaquant détourne un terminal et le force à lui envoyer les messages plutôt qu'au destinataire prévu. Il accède ainsi aux communications du terminal, notamment aux données sensibles telles que les mots de passe et les données de cartes de crédit. Heureusement, il existe différentes manières de se protéger contre ce type d'attaque.
Protocole ARP et usurpation du protocole ARP : de quoi s'agit-il ?
L'usurpation du protocole ARP est une attaque consistant à utiliser un protocole de résolution d'adresse sur un réseau local (LAN). Un protocole de résolution d'adresse est un protocole de communication qui connecte une adresse IP (Internet Protocol, ou protocole Internet) dynamique à l'adresse d'une machine physique, ou adresse MAC (Media Access Control). Le protocole ARP dirige la communication vers le réseau local.
Tout terminal du réseau possède une adresse IP et une adresse MAC. Pour envoyer et recevoir des messages, les hôtes d'un réseau doivent connaître les adresses des autres hôtes du réseau. Un hôte peut ainsi relier une adresse IP généralement dynamique à une adresse MAC physique.
Par exemple, l'hôte A d'un réseau informatique souhaite connecter son adresse IP à l'adresse MAC de l'hôte B. Pour ce faire, il envoie une requête ARP à tous les autres hôtes du réseau local. En retour, il reçoit une réponse ARP de l'hôte B contenant son adresse MAC. L'hôte A stocke cette adresse dans son cache ARP, qui s'apparente à une liste de contacts. Le cache est parfois appelé table ARP, car les adresses y sont stockées sous la forme d'une table.
On parle d'usurpation du protocole ARP lorsqu'un cyberattaquant ayant accès au réseau local se fait passer pour l'hôte B. Le cyberpirate envoie des messages à l'hôte A dans le but de leurrer ce dernier et de lui faire enregistrer son adresse comme étant celle de l'hôte B. De ce fait, l'hôte A enverra les communications destinées à l'hôte B directement au cyberattaquant. Dans ce type d'attaque appelé « man-in-the-middle », toute communication de l'hôte A vers l'hôte B est d'abord interceptée par le cyberattaquant avant de parvenir au destinataire prévu, l'hôte B servant généralement de passerelle par défaut, ou de routeur.
Objectif d'une attaque par usurpation du protocole ARP
Une attaque par usurpation du protocole ARP poursuit plusieurs objectifs. Les cyberadversaires recourent à l'usurpation du protocole ARP à différentes fins : attaques de cyberespionnage, attaques de type man-in-the-middle ou autres types de cyberattaques, telles que les attaques par déni de service.
En quoi consistent les attaques de cyberespionnage et par déni de service ?
On parle d'attaques de cyberespionnage lorsque le cyberattaquant ne modifie pas les communications entre les hôtes A et B et se contente de les lire avant de les envoyer à l'hôte prévu. Dans le cas d'une attaque de type man-in-the-middle, le cyberattaquant modifie les informations avant de les envoyer à l'hôte prévu.
Ces actes d'espionnage et de modification des messages font généralement partie d'une cyberattaque plus élaborée impliquant un déplacement latéral. Un exemple de ce type de cyberattaque est l'attaque par déni de service, où l'attaquant empêche le transfert des communications entre deux hôtes ou plus. Les cyberattaquants peuvent également envoyer des fichiers malveillants entre les hôtes.
Qui utilise l'usurpation du protocole ARP?
L'usurpation du protocole ARP est utilisée par les cyberpirates depuis les années 1980. Ce type d'attaque est tantôt planifié, tantôt opportuniste. Les attaques planifiées incluent, par exemple, les attaques par déni de service, tandis que le vol de données à partir d'un réseau Wi-Fi public serait plutôt considéré comme une attaque opportuniste. Bien que ces attaques puissent être évitées, elles restent fréquemment utilisées, car elles sont faciles à exécuter d'un point de vue tant technique que financier.
L'usurpation du protocole ARP peut également être exploitée à des fins utiles. Ainsi, les développeurs recourent à cette méthode pour déboguer le trafic sur le réseau en introduisant intentionnellement un intermédiaire entre deux hôtes. Par ailleurs, les cyberpirates éthiques peuvent simuler des attaques par empoisonnement du cache ARP pour vérifier que les réseaux sont protégés contre ce type d'attaque.
Conséquences d'une attaque par usurpation du protocole ARP
Les conséquences d'une attaque par usurpation du protocole ARP sont similaires aux autres formes d'usurpation, telles que l'usurpation d'adresse e-mail. Ces effets peuvent aller de l'impossibilité de se connecter au réseau à la perte totale de connectivité au réseau en cas d'attaque par déni de service. Selon les objectifs poursuivis par le cyberattaquant, les effets de l'attaque seront visibles ou non. Une attaque d'espionnage ou visant à modifier les informations transmises entre les hôtes peut tout à fait passer inaperçue. Si l'attaque est menée dans le but d'en lancer une autre, comme c'est souvent le cas avec les attaques par usurpation du protocole ARP, l'auteur voudra également passer incognito. Ces attaques sont généralement mises au jour une fois que leur objectif final est atteint, par exemple, lorsque votre système se retrouve submergé par les communications de logiciels malveillants ou que votre terminal est infecté par un ransomware.
En quoi l'usurpation du protocole ARP est-elle dangereuse ?
L'usurpation du protocole ARP peut être dangereuse à de nombreux égards. Tout d'abord, elle octroie au cybercriminel un accès non autorisé à des informations confidentielles. Le cybercriminel peut alors utiliser cet accès à diverses fins malveillantes, par exemple pour accéder à des mots de passe et collecter des informations personnelles ou de carte de crédit. Ce type d'attaque peut également être utilisé pour introduire des logiciels malveillants tels que des ransomwares.
Comment savoir si une attaque par usurpation du protocole ARP est en cours ?
Pour savoir si vous êtes actuellement victime d'une attaque par usurpation du protocole ARP, vérifiez votre programme d'automatisation des tâches et de gestion de la configuration. C'est là que se trouve votre cache ARP. Si deux adresses IP correspondent à une même adresse MAC, il y a de fortes chances que vous soyez victime d'une attaque. Les cybercriminels utilisent généralement un logiciel d'usurpation qui envoie des messages indiquant que son adresse est la passerelle par défaut.
Cependant, il est également possible que le logiciel piège la victime en remplaçant l'adresse MAC de la passerelle par défaut par la sienne. Dans ce cas, vous devrez analyser le trafic ARP pour détecter toute activité anormale. Un trafic inhabituel prend généralement la forme de messages indésirables transmis sous le couvert de l'adresse IP ou MAC du routeur. Ces messages peuvent indiquer qu'une attaque par usurpation du protocole ARP est en cours.
Comment les cyberadversaires font-ils pour passer incognito ?
Les auteurs d'attaques par usurpation du protocole ARP cherchent généralement à passer inaperçus. Ils peuvent ainsi collecter des informations ou infiltrer le réseau pour lancer une attaque de plus grande envergure. Si les hôtes du réseau venaient à s'apercevoir que les requêtes ARP qu'ils reçoivent sont fausses, l'usurpation serait limitée.
Les victimes ne détectent généralement pas que leur cache ARP a été empoisonné et continuent de recevoir leurs communications comme d'habitude. Cependant, les cyberattaquants interceptent les communications transmises par le protocole ARP, notamment les noms d'utilisateur et les mots de passe des victimes.
Comment protéger vos systèmes contre une attaque par usurpation du protocole ARP ?
Heureusement, il existe toute une série de procédures et d'outils que vous pouvez implémenter dans le cadre de votre plan de réponse à incident pour prévenir l'usurpation du protocole ARP. Ces méthodes incluent notamment la certification des requêtes ARP, le filtrage des paquets, les logiciels anti-usurpation de protocole ARP et le chiffrement.
Outils de validation des requêtes ARP
Les entrées ARP statiques représentent la manière la plus simple de valider les adresses IP et MAC. Une entrée ARP statique est saisie ou acceptée manuellement, ce qui élimine la possibilité qu'un terminal modifie automatiquement le cache ARP en fonction du protocole ARP. Cela n'est toutefois possible que pour certaines entrées (adresses de la passerelle par défaut, par exemple), les autres entrées étant dynamiques. La plupart des adresses devront vraisemblablement rester dynamiques, car la maintenance du cache sur plusieurs réseaux demanderait trop d'efforts.
Il existe également des logiciels de validation des requêtes ARP qui peuvent vous aider à vous protéger contre les attaques par usurpation du protocole ARP. Ces logiciels certifient les adresses IP et MAC et bloquent activement les réponses non certifiées. D'autres logiciels permettent de prévenir un hôte lorsqu'une entrée de la table ARP est modifiée. De nombreuses options logicielles sont également disponibles, certaines opérant au niveau du noyau, tandis que d'autres font partie du protocole dynamique de configuration de l'hôte du réseau ou du commutateur réseau.
Outils de prévention de l'usurpation du protocole ARP
Vous pouvez très facilement vous protéger contre l'usurpation du protocole ARP en utilisant des pare-feux de filtrage des paquets. Ces pare-feux signalent les paquets de données provenant d'une adresse détectée en double sur le réseau, car la présence de ce doublon suggère la présence d'un individu se faisant passer pour un autre hôte.
Cependant, le chiffrement demeure probablement la technique la plus efficace pour se protéger d'une attaque par usurpation du protocole ARP. Avec la généralisation des protocoles de communication chiffrés, il est devenu beaucoup plus difficile de lancer des attaques par usurpation du protocole ARP. Par exemple, la majorité du trafic des sites web est chiffré à l'aide du protocole HTTPS, ce qui empêche les cybercriminels de lire les messages qu'ils interceptent. La solution la plus efficace pour se protéger contre ces attaques est donc d'éviter d'envoyer des données non chiffrées.
Des solutions logicielles peuvent également vous aider à rester protégé. Ainsi, de nombreux logiciels de cybersécurité préviennent les utilisateurs lorsqu'ils consultent un site sur lequel les données ne sont pas chiffrées.
Un autre outil de chiffrement qui vaut la peine d'être mentionné est le réseau privé virtuel (VPN). Lorsque vous êtes connecté à un VPN, toutes vos données transitent par un tunnel chiffré.
Pour terminer, bien qu'il ne s'agisse pas à proprement parler d'un outil, vous pouvez effectuer une simulation d'usurpation du protocole ARP sur votre propre réseau afin d'identifier les failles éventuelles de votre système de cybersécurité. En fait, la plupart des outils utilisés pour lancer ces attaques sont aisément accessibles et faciles à utiliser, ce qui fait du cyberpiratage éthique une stratégie plausible de protection contre ces attaques.