L’ARP poisoning ou empoisonnement ARP est un type de cyberattaque qui exploite les faiblesses du protocole ARP (Address Resolution Protocol) très largement utilisé, pour interrompre, rediriger ou espionner le trafic réseau. Dans cet article, nous verrons en quoi ce protocole est nécessaire, les faiblesses qui rendent l’empoisonnement ARP possible et les mesures que vous pouvez prendre pour protéger votre entreprise.
Découvrez vos points faibles et renforcez votre résilience : Effectuez un Test de Préparation à la Ransomware Gratuit
Qu’est-ce que l’ARP ?
Le protocole ARP a été conçu pour soutenir l’approche en couches utilisée depuis le tout début des réseaux informatiques. Chaque couche, des signaux électriques qui voyagent le long d’un câble Ethernet au code HTML utilisé pour afficher une page Web, fonctionne en grande partie indépendamment des autres. C’est pour cela que nous pouvons aujourd’hui utiliser l’IPv4, une technologie de couche réseau qui remonte au début des années 1980, en même temps que des technologies récentes comme le Wi-Fi et le Bluetooth. Les couches plus basses, physiques et de liaison de données, s’occupent de transférer les données via un canal spécifique comme les ondes radio.
Le but de l’ARP est de faire en sorte que les adresses de la couche liaison de données – appelées adresses MAC – et les adresses de la couche réseau, typiquement les adresses IP, puissent dialoguer entre elles. Il permet aux appareils sur le réseau de « demander » quel appareil correspond à une adresse IP donnée. Les appareils peuvent également annoncer ce mappage au reste du réseau, sans qu’on le leur demande. Pour être plus efficaces, les appareils mettent généralement en cache ces réponses et enregistrent une liste actualisée de correspondances « adresses IP-adresses MAC ».
Qu’est-ce que l’empoisonnement ARP ?
L’empoisonnement ARP ou ARP poisoning consiste à exploiter les faiblesses de l’ARP pour corrompre les correspondances adresses IP-adresses MAC des autres appareils sur le réseau. Quand l’ARP a fait ses débuts en 1982, la sécurité ne faisait pas partie des préoccupations premières et les créateurs de ce protocole n’ont pas inclus de mécanismes d’authentification pour valider les messages ARP. Tout appareil sur le réseau peut répondre à une requête ARP, que le message d’origine lui soit destiné ou non. Par exemple, si l’ordinateur A « demande » l’adresse MAC de l’ordinateur B, un attaquant sur l’ordinateur C peut répondre et l’ordinateur A traitera cette réponse comme une réponse authentique. Cet oubli a ouvert la voie à une variété d’attaques. Grâce à des outils facilement accessibles, un acteur malveillant peut « empoisonner » le cache ARP des autres hôtes sur un réseau local, en remplissant le cache ARP d’entrées inexactes.
Les phases d’un empoisonnement ARP
Les phases exactes d’un empoisonnement ARP peuvent varier, mais elles incluent généralement les étapes suivantes :
1. L’attaquant choisit une ou plusieurs machines victimes
La première étape dans la planification et l’exécution d’un empoisonnement ARP est de choisir sa cible. Il peut s’agir d’un terminal spécifique sur le réseau, d’un groupe de terminaux ou d’un appareil réseau comme un routeur. Les routeurs sont des cibles prisées car une attaque réussie sur l’ARP contre un routeur peut interrompre le trafic d’un subnet tout entier.
2. L’attaquant lance des outils et commence l’attaque
Une grande variété d’outils sont facilement accessibles à quiconque cherche à exécuter un empoisonnement ARP. Après avoir lancé l’outil de son choix et configuré les paramètres applicables, l’attaquant passe à l’attaque. Il commencera peut-être immédiatement à diffuser des messages ARP ou attendra de recevoir une requête de l’un des appareils.
3. L’attaquant utilise le trafic qu’il a détourné
Une fois le cache ARP corrompu sur une ou plusieurs machines victimes, l’attaquant agira d’une manière ou d’une autre sur le trafic détourné. Il peut alors l’inspecter, le modifier ou le faire disparaître dans un « blackhole » (trou noir) pour qu’il n’atteigne jamais la destination prévue. L’action entreprise par l’attaquant dépend de ses motivations.
Types d’empoisonnements ARP
Un empoisonnement ARP survient généralement de deux façons : soit l’attaquant attend de voir une requête ARP qui vise une cible en particulier et émet une réponse à sa place, soit il envoie un message non sollicité à tout le réseau, qu’on appelle aussi « gratuitous ARP ». La première approche est moins détectable sur le réseau et son impact moins grave également. Un « gratuitous ARP » en revanche, est plus immédiat et peut affecter davantage de machines, mais il a l’inconvénient de générer beaucoup d’activité sur le réseau. Quelle que soit l’approche, le ou les caches ARP corrompus sur les machines victimes peuvent être davantage exploités par la suite :
Attaque de l’homme du milieu (man-in-the-middle)
Les attaques de l’homme du milieu sont probablement le but le plus courant, et potentiellement le plus dangereux, d’un empoisonnement ARP. L’attaquant envoie des réponses ARP falsifiées pour une adresse IP donnée, en général la passerelle par défaut d’un subnet. Suite à cela, les machines victimes remplissent leur cache ARP avec l’adresse MAC de la machine de l’attaquant, au lieu de l’adresse MAC du routeur local. Les machines victimes redirigeront alors leur trafic réseau vers l’attaquant, sans le savoir. Des outils comme Ettercap permettent à l’attaquant d’agir comme proxy et de voir ou de modifier les informations avant d’envoyer le trafic vers sa destination voulue. Pour la victime, tout paraît normal.
Conjuguer l’empoisonnement ARP et l’empoisonnement DNS peut radicalement augmenter l’efficacité d’une attaque de l’homme du milieu. Dans ce scénario, l’utilisateur victime peut saisir le nom d’un vrai site comme google.com et recevoir l’adresse IP de la machine de l’attaquant, au lieu de la bonne adresse.
Attaque DoS (déni de service)
Une attaque DoS vise à refuser à une ou plusieurs victimes l’accès à des ressources réseau. Dans le cas de l’ARP, l’attaquant enverra peut-être des messages de réponse ARP qui mappent incorrectement des centaines voire des milliers d’adresses IP à une seule adresse MAC, surchargeant potentiellement la machine ciblée. Ce type d’attaque, parfois appelée « ARP flooding » ou inondation ARP, peut également viser les commutateurs, pour affecter la performance du réseau dans son ensemble.
Piratage de session
Le piratage de session est similaire par sa nature aux attaques de l’homme du milieu, à l’exception du fait que l’attaquant ne redirige pas dans ce cas le trafic de la machine victime vers sa destination voulue. Au lieu de cela, l’attaquant capture une séquence TCP authentique ou un cookie Web de la victime et l’utilise pour se faire passer pour elle. Cette tactique peut servir par exemple à accéder aux comptes de réseaux sociaux d’un utilisateur s’il y est connecté.
Quel est le but d’un empoisonnement ARP ?
Les pirates ne manquent pas de motivations et l’empoisonnement ARP ne fait pas exception. Un attaquant peut lancer ce genre d’attaque pour de nombreuses raisons, qui vont de l’espionnage de haut vol à l’exaltation d’avoir perturbé un réseau. Dans un scénario potentiel, un attaquant utilise des messages ARP falsifiés pour remplacer la passerelle par défaut d’un subnet donné et réussira à rediriger l’ensemble du trafic sur sa machine, au lieu du routeur local. Il pourra alors espionner, modifier ou éliminer le trafic. Ces attaques génèrent du « bruit » car elles laissent des traces mais elles n’interfèrent pas avec le fonctionnement du réseau. Si le but ultime est l’espionnage, la machine de l’attaquant transfèrera simplement le trafic vers sa destination d’origine et l’utilisateur final ne saura jamais que quelque chose s’est passé.
En revanche, une attaque DoS peut chercher à créer des perturbations suffisamment visibles dans le fonctionnement du réseau. Bien que les motivations ici pourraient être d’empêcher simplement une entreprise de fonctionner à la normale, les attaques DoS sont souvent exécutées par des attaquants moins compétents qui prennent du plaisir à créer des problèmes.
Les attaques en interne sont particulièrement inquiétantes quand il s’agit d’un empoisonnement ARP. Les messages ARP piratés n’iront pas au-delà des limites du réseau local, l’attaque doit donc être lancée à partir d’un appareil connecté au réseau local. Il n’est pas impossible pour quelqu’un d’externe de lancer une attaque sur l’ARP, mais il devra d’abord compromettre à distance un système local via d’autres moyens. Une personne interne, en revanche, aura seulement besoin d’un accès au réseau et de quelques outils facilement disponibles.
Usurpation ARP vs empoisonnement ARP
Les termes usurpation ARP et empoisonnement ARP sont généralement utilisés de manière interchangeable. Techniquement, l’usurpation (ou « spoofing ») fait référence à l’usurpation d’une adresse MAC par un attaquant, tandis que l’empoisonnement consiste à corrompre les tables ARP sur une ou plusieurs machines victimes. En pratique cependant, ce sont des sous-parties d’une même attaque, et de manière générale, ces deux termes sont utilisés pour désigner l’attaque dans son ensemble. Vous entendrez peut-être aussi parler d’empoisonnement du cache ARP ou de corruption des tables ARP.
Quels sont les effets d’un empoisonnement ARP ?
L’impact le plus direct d’un empoisonnement ARP est que le trafic destiné à un ou plusieurs hôtes sur le réseau local sera redirigé vers la destination choisie par l’attaquant. Les effets précis de cette redirection dépendent des paramètres spécifiques de l’attaque. Le trafic pourrait être redirigé sur la machine de l’attaquant ou envoyé vers un lieu qui n’existe pas. Dans le premier cas, on ne remarquerait rien du tout, tandis que le second cas pourrait interdire l’accès au réseau.
L’empoisonnement du cache ARP lui-même ne dure pas dans le temps. Les entrées ARP sont mises en cache pendant quelques minutes pour les appareils finaux ou quelques heures pour les commutateurs. Dès qu’un attaquant met fin à l’empoisonnement des tables, les entrées corrompues deviennent obsolètes et le flux correct du trafic reprend. L’empoisonnement ARP seul ne laisse pas de traces permanentes d’infection ni de présence sur les machines victimes. Cependant, les pirates combinent souvent plusieurs types d’attaques et l’empoisonnement ARP peut être une partie seulement d’une campagne plus vaste.
Comment détecter un empoisonnement du cache ARP
De nombreux logiciels commerciaux et open source existent pour détecter un empoisonnement du cache ARP, mais vous pouvez facilement vérifier les tables ARP sur votre ordinateur sans installer quoi que ce soit. Sur la plupart des systèmes Windows, Mac et Linux, la commande « arp-a » sur un terminal ou dans l’invite de commande affichera les mappages actuels IP-MAC de la machine.
Les outils comme arpwatch et X-ARP sont utiles pour surveiller le réseau en continu et peuvent alerter un admin si des signes d’empoisonnement du cache ARP sont détectés. Toutefois, attention aux faux positifs qui peuvent créer beaucoup d’alertes indésirables.
Comment empêcher l’empoisonnement ARP
Il existe différentes approches pour empêcher une attaque par empoisonnement ARP :
Tables ARP statiques
Il est possible de mapper de manière statique toutes les adresses MAC d’un réseau à leur adresse IP correcte. Cette méthode est très efficace dans la prévention de ce type d’attaque, mais elle ajoute une charge importante de travail aux admin. Tout changement effectué sur le réseau devra être répercuté manuellement dans les tables ARP sur tous les hôtes. Cette technique n’est donc pas réalisable pour la plupart des grandes entreprises. Pourtant, dans les situations où la sécurité est cruciale, élaborer un segment réseau séparé, dans lequel seront utilisées des tables ARP statiques, est un bon moyen de protéger les informations critiques.
Sécurité du commutateur
La plupart des commutateurs Ethernet gérés sont dotés de fonctionnalités conçues pour atténuer les attaques d’empoisonnement ARP. Généralement connues sous le nom de Dynamic ARP Inspection (DAI) ou inspection dynamique de l’ARP, ces fonctionnalités évaluent la validité de chaque message ARP et éliminent les paquets qui ont l’air suspects ou malveillants. La DAI peut aussi être configurée pour limiter le débit de transfert des messages ARP via le commutateur et ainsi empêcher efficacement les attaques DoS.
La DAI et autres fonctionnalités similaires étaient auparavant l’apanage des équipements réseau haut de gamme, mais elles sont aujourd’hui fournies de série sur quasiment tous les commutateurs professionnels, même ceux des petites entreprises. Une bonne pratique consiste à activer la DAI sur tous les ports excepté ceux connectés à d’autres commutateurs. Cette fonctionnalité n’a pas beaucoup d’impact sur les performances mais devra possiblement être activée avec d’autres fonctionnalités comme le DHCP Snooping.
Appliquer une sécurité au niveau du port sur un commutateur peut également atténuer les attaques d’empoisonnement du cache ARP. La sécurité des ports peut être configurée pour n’autoriser qu’une seule adresse MAC sur un port du commutateur, empêchant les attaquants potentiels de prendre plusieurs identités sur le réseau.
Sécurité physique
Pour atténuer les attaques d’empoisonnement ARP, vous pouvez aussi contrôler l’accès physique des personnes aux locaux de votre entreprise. Les messages ARP ne sont pas redirigés hors du réseau local, les attaquants potentiels doivent donc se trouver à proximité du réseau ciblé ou avoir déjà accès à l’une des machines du réseau. Notez que dans le cas des réseaux sans fil, la proximité ne signifie pas forcément que l’attaquant doit se trouver physiquement dans les locaux, un signal qui capterait jusqu’à la rue ou sur le parking peut être suffisant. Que le réseau soit filaire ou sans fil, l’utilisation d’une technologie de type 802.1x peut garantir que seuls les appareils autorisés et/ou gérés puissent se connecter au réseau.
Isolation du réseau
Comme nous l’avons déjà dit, les messages ARP ne voyagent pas au-delà du subnet local. Cela signifie qu’un réseau bien segmenté est potentiellement moins vulnérable à un empoisonnement du cache ARP. En effet, une attaque sur l’un des subnets ne pourrait pas se propager aux autres appareils. Concentrer les ressources importantes dans un segment dédié du réseau derrière une sécurité renforcée peut considérablement diminuer l’impact potentiel d’un empoisonnement ARP.
Chiffrement
Bien que le chiffrement ne soit pas capable d’empêcher les attaques ARP, il peut atténuer les dégâts potentiels qu’elles causeraient. Les attaques de l’homme du milieu étaient souvent utilisées pour capturer des identifiants de connexion, qui étaient auparavant transmis en texte brut. Avec l’utilisation plus répandue du chiffrement SSL/TLS sur Internet, ce type d’attaque est devenu plus difficile à exécuter. L’acteur malveillant peut encore intercepter le trafic, mais il ne peut rien en faire sous sa forme chiffrée.
Une menace parmi tant d’autres
Bien qu’il soit pratiqué depuis plus longtemps que les menaces modernes comme les ransomwares, l’empoisonnement ARP reste un danger pour les entreprises. Comme toutes les cybermenaces, la meilleure solution constitue à mettre en place un programme complet de sécurité de l’information. Les solutions Varonis de détection et de réponse peuvent vous aider à déterminer où se situe votre entreprise en matière de sécurité. Varonis Edge peut vous permettre de détecter les signes d’exfiltration de données pouvant survenir après un empoisonnement ARP.
Empoisonnement ARP : qu’est-ce c’est et comment éviter l’usurpation ARP
Contenu
L’ARP poisoning ou empoisonnement ARP est un type de cyberattaque qui exploite les faiblesses du protocole ARP (Address Resolution Protocol) très largement utilisé, pour interrompre, rediriger ou espionner le trafic réseau. Dans cet article, nous verrons en quoi ce protocole est nécessaire, les faiblesses qui rendent l’empoisonnement ARP possible et les mesures que vous pouvez prendre pour protéger votre entreprise.
Découvrez vos points faibles et renforcez votre résilience : Effectuez un Test de Préparation à la Ransomware Gratuit
Qu’est-ce que l’ARP ?
Le protocole ARP a été conçu pour soutenir l’approche en couches utilisée depuis le tout début des réseaux informatiques. Chaque couche, des signaux électriques qui voyagent le long d’un câble Ethernet au code HTML utilisé pour afficher une page Web, fonctionne en grande partie indépendamment des autres. C’est pour cela que nous pouvons aujourd’hui utiliser l’IPv4, une technologie de couche réseau qui remonte au début des années 1980, en même temps que des technologies récentes comme le Wi-Fi et le Bluetooth. Les couches plus basses, physiques et de liaison de données, s’occupent de transférer les données via un canal spécifique comme les ondes radio.
Le but de l’ARP est de faire en sorte que les adresses de la couche liaison de données – appelées adresses MAC – et les adresses de la couche réseau, typiquement les adresses IP, puissent dialoguer entre elles. Il permet aux appareils sur le réseau de « demander » quel appareil correspond à une adresse IP donnée. Les appareils peuvent également annoncer ce mappage au reste du réseau, sans qu’on le leur demande. Pour être plus efficaces, les appareils mettent généralement en cache ces réponses et enregistrent une liste actualisée de correspondances « adresses IP-adresses MAC ».
Qu’est-ce que l’empoisonnement ARP ?
L’empoisonnement ARP ou ARP poisoning consiste à exploiter les faiblesses de l’ARP pour corrompre les correspondances adresses IP-adresses MAC des autres appareils sur le réseau. Quand l’ARP a fait ses débuts en 1982, la sécurité ne faisait pas partie des préoccupations premières et les créateurs de ce protocole n’ont pas inclus de mécanismes d’authentification pour valider les messages ARP. Tout appareil sur le réseau peut répondre à une requête ARP, que le message d’origine lui soit destiné ou non. Par exemple, si l’ordinateur A « demande » l’adresse MAC de l’ordinateur B, un attaquant sur l’ordinateur C peut répondre et l’ordinateur A traitera cette réponse comme une réponse authentique. Cet oubli a ouvert la voie à une variété d’attaques. Grâce à des outils facilement accessibles, un acteur malveillant peut « empoisonner » le cache ARP des autres hôtes sur un réseau local, en remplissant le cache ARP d’entrées inexactes.
Les phases d’un empoisonnement ARP
Les phases exactes d’un empoisonnement ARP peuvent varier, mais elles incluent généralement les étapes suivantes :
1. L’attaquant choisit une ou plusieurs machines victimes
La première étape dans la planification et l’exécution d’un empoisonnement ARP est de choisir sa cible. Il peut s’agir d’un terminal spécifique sur le réseau, d’un groupe de terminaux ou d’un appareil réseau comme un routeur. Les routeurs sont des cibles prisées car une attaque réussie sur l’ARP contre un routeur peut interrompre le trafic d’un subnet tout entier.
2. L’attaquant lance des outils et commence l’attaque
Une grande variété d’outils sont facilement accessibles à quiconque cherche à exécuter un empoisonnement ARP. Après avoir lancé l’outil de son choix et configuré les paramètres applicables, l’attaquant passe à l’attaque. Il commencera peut-être immédiatement à diffuser des messages ARP ou attendra de recevoir une requête de l’un des appareils.
3. L’attaquant utilise le trafic qu’il a détourné
Une fois le cache ARP corrompu sur une ou plusieurs machines victimes, l’attaquant agira d’une manière ou d’une autre sur le trafic détourné. Il peut alors l’inspecter, le modifier ou le faire disparaître dans un « blackhole » (trou noir) pour qu’il n’atteigne jamais la destination prévue. L’action entreprise par l’attaquant dépend de ses motivations.
Types d’empoisonnements ARP
Un empoisonnement ARP survient généralement de deux façons : soit l’attaquant attend de voir une requête ARP qui vise une cible en particulier et émet une réponse à sa place, soit il envoie un message non sollicité à tout le réseau, qu’on appelle aussi « gratuitous ARP ». La première approche est moins détectable sur le réseau et son impact moins grave également. Un « gratuitous ARP » en revanche, est plus immédiat et peut affecter davantage de machines, mais il a l’inconvénient de générer beaucoup d’activité sur le réseau. Quelle que soit l’approche, le ou les caches ARP corrompus sur les machines victimes peuvent être davantage exploités par la suite :
Attaque de l’homme du milieu (man-in-the-middle)
Les attaques de l’homme du milieu sont probablement le but le plus courant, et potentiellement le plus dangereux, d’un empoisonnement ARP. L’attaquant envoie des réponses ARP falsifiées pour une adresse IP donnée, en général la passerelle par défaut d’un subnet. Suite à cela, les machines victimes remplissent leur cache ARP avec l’adresse MAC de la machine de l’attaquant, au lieu de l’adresse MAC du routeur local. Les machines victimes redirigeront alors leur trafic réseau vers l’attaquant, sans le savoir. Des outils comme Ettercap permettent à l’attaquant d’agir comme proxy et de voir ou de modifier les informations avant d’envoyer le trafic vers sa destination voulue. Pour la victime, tout paraît normal.
Conjuguer l’empoisonnement ARP et l’empoisonnement DNS peut radicalement augmenter l’efficacité d’une attaque de l’homme du milieu. Dans ce scénario, l’utilisateur victime peut saisir le nom d’un vrai site comme google.com et recevoir l’adresse IP de la machine de l’attaquant, au lieu de la bonne adresse.
Attaque DoS (déni de service)
Une attaque DoS vise à refuser à une ou plusieurs victimes l’accès à des ressources réseau. Dans le cas de l’ARP, l’attaquant enverra peut-être des messages de réponse ARP qui mappent incorrectement des centaines voire des milliers d’adresses IP à une seule adresse MAC, surchargeant potentiellement la machine ciblée. Ce type d’attaque, parfois appelée « ARP flooding » ou inondation ARP, peut également viser les commutateurs, pour affecter la performance du réseau dans son ensemble.
Piratage de session
Le piratage de session est similaire par sa nature aux attaques de l’homme du milieu, à l’exception du fait que l’attaquant ne redirige pas dans ce cas le trafic de la machine victime vers sa destination voulue. Au lieu de cela, l’attaquant capture une séquence TCP authentique ou un cookie Web de la victime et l’utilise pour se faire passer pour elle. Cette tactique peut servir par exemple à accéder aux comptes de réseaux sociaux d’un utilisateur s’il y est connecté.
Quel est le but d’un empoisonnement ARP ?
Les pirates ne manquent pas de motivations et l’empoisonnement ARP ne fait pas exception. Un attaquant peut lancer ce genre d’attaque pour de nombreuses raisons, qui vont de l’espionnage de haut vol à l’exaltation d’avoir perturbé un réseau. Dans un scénario potentiel, un attaquant utilise des messages ARP falsifiés pour remplacer la passerelle par défaut d’un subnet donné et réussira à rediriger l’ensemble du trafic sur sa machine, au lieu du routeur local. Il pourra alors espionner, modifier ou éliminer le trafic. Ces attaques génèrent du « bruit » car elles laissent des traces mais elles n’interfèrent pas avec le fonctionnement du réseau. Si le but ultime est l’espionnage, la machine de l’attaquant transfèrera simplement le trafic vers sa destination d’origine et l’utilisateur final ne saura jamais que quelque chose s’est passé.
En revanche, une attaque DoS peut chercher à créer des perturbations suffisamment visibles dans le fonctionnement du réseau. Bien que les motivations ici pourraient être d’empêcher simplement une entreprise de fonctionner à la normale, les attaques DoS sont souvent exécutées par des attaquants moins compétents qui prennent du plaisir à créer des problèmes.
Les attaques en interne sont particulièrement inquiétantes quand il s’agit d’un empoisonnement ARP. Les messages ARP piratés n’iront pas au-delà des limites du réseau local, l’attaque doit donc être lancée à partir d’un appareil connecté au réseau local. Il n’est pas impossible pour quelqu’un d’externe de lancer une attaque sur l’ARP, mais il devra d’abord compromettre à distance un système local via d’autres moyens. Une personne interne, en revanche, aura seulement besoin d’un accès au réseau et de quelques outils facilement disponibles.
Usurpation ARP vs empoisonnement ARP
Les termes usurpation ARP et empoisonnement ARP sont généralement utilisés de manière interchangeable. Techniquement, l’usurpation (ou « spoofing ») fait référence à l’usurpation d’une adresse MAC par un attaquant, tandis que l’empoisonnement consiste à corrompre les tables ARP sur une ou plusieurs machines victimes. En pratique cependant, ce sont des sous-parties d’une même attaque, et de manière générale, ces deux termes sont utilisés pour désigner l’attaque dans son ensemble. Vous entendrez peut-être aussi parler d’empoisonnement du cache ARP ou de corruption des tables ARP.
Quels sont les effets d’un empoisonnement ARP ?
L’impact le plus direct d’un empoisonnement ARP est que le trafic destiné à un ou plusieurs hôtes sur le réseau local sera redirigé vers la destination choisie par l’attaquant. Les effets précis de cette redirection dépendent des paramètres spécifiques de l’attaque. Le trafic pourrait être redirigé sur la machine de l’attaquant ou envoyé vers un lieu qui n’existe pas. Dans le premier cas, on ne remarquerait rien du tout, tandis que le second cas pourrait interdire l’accès au réseau.
L’empoisonnement du cache ARP lui-même ne dure pas dans le temps. Les entrées ARP sont mises en cache pendant quelques minutes pour les appareils finaux ou quelques heures pour les commutateurs. Dès qu’un attaquant met fin à l’empoisonnement des tables, les entrées corrompues deviennent obsolètes et le flux correct du trafic reprend. L’empoisonnement ARP seul ne laisse pas de traces permanentes d’infection ni de présence sur les machines victimes. Cependant, les pirates combinent souvent plusieurs types d’attaques et l’empoisonnement ARP peut être une partie seulement d’une campagne plus vaste.
Comment détecter un empoisonnement du cache ARP
De nombreux logiciels commerciaux et open source existent pour détecter un empoisonnement du cache ARP, mais vous pouvez facilement vérifier les tables ARP sur votre ordinateur sans installer quoi que ce soit. Sur la plupart des systèmes Windows, Mac et Linux, la commande « arp-a » sur un terminal ou dans l’invite de commande affichera les mappages actuels IP-MAC de la machine.
Les outils comme arpwatch et X-ARP sont utiles pour surveiller le réseau en continu et peuvent alerter un admin si des signes d’empoisonnement du cache ARP sont détectés. Toutefois, attention aux faux positifs qui peuvent créer beaucoup d’alertes indésirables.
Comment empêcher l’empoisonnement ARP
Il existe différentes approches pour empêcher une attaque par empoisonnement ARP :
Tables ARP statiques
Il est possible de mapper de manière statique toutes les adresses MAC d’un réseau à leur adresse IP correcte. Cette méthode est très efficace dans la prévention de ce type d’attaque, mais elle ajoute une charge importante de travail aux admin. Tout changement effectué sur le réseau devra être répercuté manuellement dans les tables ARP sur tous les hôtes. Cette technique n’est donc pas réalisable pour la plupart des grandes entreprises. Pourtant, dans les situations où la sécurité est cruciale, élaborer un segment réseau séparé, dans lequel seront utilisées des tables ARP statiques, est un bon moyen de protéger les informations critiques.
Sécurité du commutateur
La plupart des commutateurs Ethernet gérés sont dotés de fonctionnalités conçues pour atténuer les attaques d’empoisonnement ARP. Généralement connues sous le nom de Dynamic ARP Inspection (DAI) ou inspection dynamique de l’ARP, ces fonctionnalités évaluent la validité de chaque message ARP et éliminent les paquets qui ont l’air suspects ou malveillants. La DAI peut aussi être configurée pour limiter le débit de transfert des messages ARP via le commutateur et ainsi empêcher efficacement les attaques DoS.
La DAI et autres fonctionnalités similaires étaient auparavant l’apanage des équipements réseau haut de gamme, mais elles sont aujourd’hui fournies de série sur quasiment tous les commutateurs professionnels, même ceux des petites entreprises. Une bonne pratique consiste à activer la DAI sur tous les ports excepté ceux connectés à d’autres commutateurs. Cette fonctionnalité n’a pas beaucoup d’impact sur les performances mais devra possiblement être activée avec d’autres fonctionnalités comme le DHCP Snooping.
Appliquer une sécurité au niveau du port sur un commutateur peut également atténuer les attaques d’empoisonnement du cache ARP. La sécurité des ports peut être configurée pour n’autoriser qu’une seule adresse MAC sur un port du commutateur, empêchant les attaquants potentiels de prendre plusieurs identités sur le réseau.
Sécurité physique
Pour atténuer les attaques d’empoisonnement ARP, vous pouvez aussi contrôler l’accès physique des personnes aux locaux de votre entreprise. Les messages ARP ne sont pas redirigés hors du réseau local, les attaquants potentiels doivent donc se trouver à proximité du réseau ciblé ou avoir déjà accès à l’une des machines du réseau. Notez que dans le cas des réseaux sans fil, la proximité ne signifie pas forcément que l’attaquant doit se trouver physiquement dans les locaux, un signal qui capterait jusqu’à la rue ou sur le parking peut être suffisant. Que le réseau soit filaire ou sans fil, l’utilisation d’une technologie de type 802.1x peut garantir que seuls les appareils autorisés et/ou gérés puissent se connecter au réseau.
Isolation du réseau
Comme nous l’avons déjà dit, les messages ARP ne voyagent pas au-delà du subnet local. Cela signifie qu’un réseau bien segmenté est potentiellement moins vulnérable à un empoisonnement du cache ARP. En effet, une attaque sur l’un des subnets ne pourrait pas se propager aux autres appareils. Concentrer les ressources importantes dans un segment dédié du réseau derrière une sécurité renforcée peut considérablement diminuer l’impact potentiel d’un empoisonnement ARP.
Chiffrement
Bien que le chiffrement ne soit pas capable d’empêcher les attaques ARP, il peut atténuer les dégâts potentiels qu’elles causeraient. Les attaques de l’homme du milieu étaient souvent utilisées pour capturer des identifiants de connexion, qui étaient auparavant transmis en texte brut. Avec l’utilisation plus répandue du chiffrement SSL/TLS sur Internet, ce type d’attaque est devenu plus difficile à exécuter. L’acteur malveillant peut encore intercepter le trafic, mais il ne peut rien en faire sous sa forme chiffrée.
Une menace parmi tant d’autres
Bien qu’il soit pratiqué depuis plus longtemps que les menaces modernes comme les ransomwares, l’empoisonnement ARP reste un danger pour les entreprises. Comme toutes les cybermenaces, la meilleure solution constitue à mettre en place un programme complet de sécurité de l’information. Les solutions Varonis de détection et de réponse peuvent vous aider à déterminer où se situe votre entreprise en matière de sécurité. Varonis Edge peut vous permettre de détecter les signes d’exfiltration de données pouvant survenir après un empoisonnement ARP.
What you should do now
Below are three ways we can help you begin your journey to reducing data risk at your company:
Robert Grimmick
Robert est un consultant en informatique et en cybersécurité basé dans le sud de la Californie. Il aime s'informer sur les dernières menaces qui pèsent sur la sécurité informatique.