Qu’est-ce que l’ARP Poisoning ? Définition, déroulement et conséquences

Qu'est-ce qu'une attaque par empoisonnement ARP ?

Qu'est-ce qu'un protocole ARP ?

L’ARP (Address Resolution Protocol) est un processus qui a pour vocation de permettre à des hôtes émetteurs de se connecter de manière sécurisée et fluide à leur destinataire.

Ce protocole permet d’obtenir la correspondance entre l’adresse IP d’un équipement et son adresse réseau unique MAC (Media Access Control), donnée indispensable pour permettre à des machines de communiquer entre elles via un réseau.

Concrètement, lorsqu'un ordinateur ou un smartphone (appelé "terminal") veut se connecter à un autre appareil sur un réseau, comme un serveur ou une imprimante (appelé "destinataire"), il envoie une requête indiquant son adresse IP et son adresse MAC. Pour sécuriser la communication, il demande ensuite à l'appareil destinataire son adresse MAC associée à son adresse IP. Ce processus est appelé une requête ARP.

Le destinataire (par exemple, un serveur web que vous visitez) répond avec son adresse IP et son adresse MAC. Ces échanges peuvent ralentir les communications, donc les adresses sont stockées dans une table ARP (ou cache ARP), qui garde en mémoire les correspondances entre adresses IP et MAC déjà connues sur le réseau.

Grâce au protocole ARP, les échanges sont plus rapides et les administrateurs réseau n'ont pas besoin de valider manuellement chaque connexion.

Qu'est-ce qu'une attaque ARP Poisoning ?

Une cyberattaque de type ARP Poisoning (traduite par Empoisonnement ARP) consiste à associer une adresse MAC frauduleuse à l’adresse IP du destinataire souhaité en falsifiant les correspondances entre adresses MAC et IP dans la table ARP.

Cette technique permet alors au pirate de s’immiscer entre l’émetteur et le destinataire pour réaliser différentes actions malveillantes.

Ce type d’attaque fait donc partie des célèbres techniques d’attaques Man in the Middle (MitM).

Comment se déroule une attaque ARP Poisoning ?

Le process d’une attaque par empoisonnement ARP peut différer selon les hackers et leur objectif. Néanmoins, elles suivent le plus souvent les étapes suivantes :

ARP Spoofing

1. Après avoir défini sa cible (ordinateur, groupe de terminaux, routeur...), le hacker commence par accéder au réseau de sa cible.
2. Il sélectionne alors l’outil pour réaliser son ARP Poisoning, sachant qu’il en existe un large panel.
3. Une fois la solution choisie, l’assaillant n’a plus qu’à la configurer et à lancer son hacking pour scanner le réseau et identifier les adresses IP des équipements connectés.
4. Selon sa stratégie, soit il attend de recevoir une requête ARP pour diffuser son adresse MAC frauduleuse, soit il diffuse des messages ARP pour corrompre les tables (ou caches) ARP de plusieurs machines.

‍

Interception des communications

Grâce à son outil, le hacker associe alors son adresse MAC à l’adresse IP de l’ordinateur ou du serveur légitime. Cette opération lui permet de détourner le trafic de sa ou ses victime(s)et d’intercepter ses/leurs données.

Manipulation des données

Le cybercriminel peut alors, selon ses intentions, se contenter d’espionner les données, les enregistrer, les modifier ou les supprimer.

Quel est le but d'une attaque par empoisonnement ARP ?

S’il réussit son attaque ARP et compromet le réseau, le pirate a le champ libre. Il peut ainsi :

• Accéder à des données et compromettre leur confidentialité (e-mails, messages instantanés, conversations)
• Modifier des données (contenu d’un mail, adresse de destination...)
• Perturber ou interrompre le trafic : supprimer les données permettant la communication entre deux systèmes pour les empêcher d’échanger.
• Voler des données
• Détourner des transactions
• Faire un déni de service (et exiger le paiement d’une rançon pour rétablir le trafic normal).

Comment détecter et éviter une attaque ARP Poisoning ?

Quels sont les signes d'une attaque par empoisonnement ARP ?

Une attaque ARP passe fréquemment inaperçue. Toutefois, certains indices peuvent permettre la détection des attaques de ce type comme :

• un ralentissement du réseau
• des alertes de certificats SSL
• des anomalies dans les tables ARP avec la présence inexpliquée d’un grand nombre de paquets ARP-reply ou des associations fluctuantes d’adresses MAC et IP.

Quelles sont les bonnes pratiques pour éviter une attaque ARP Poisoning ?

Au vu des dégâts que peuvent causer des attaques par usurpation du protocole ARP, il importe de se protéger activement. Et bonne nouvelle, plusieurs méthodes et outils peuvent réussir à prévenir une telle attaque :

• des logiciels de validation des requêtes ARP : ces outils permettent de certifier les adresses IP et MAC, et de bloquer les réponses non validées.
• des outils d’inspection ARP dynamique : des solutions qui permettent de comparer les paquets ARP avec des entrées de table ARP et qui alertent en cas de modification.
• la segmentation du réseau qui facilite la création de sous-réseaux disposant chacun de leur propre table ARP.
• des pare-feux de filtrage de paquets de données alertant en cas d’adresses en doublon sur le réseau
• l’utilisation de protocoles de communication chiffrés
• le recours à un VPN (réseau privé virtuel) permettant de faire transiter ses données via un tunnel chiffré et de sécuriser les réseaux.

Conclusion : Comment se former contre les attaques ARP Poisoning ?

Se sensibiliser à la cybersécurité, que ce soit dans votre quotidien ou au sein de votre entreprise, est une étape essentielle pour se protéger des cybermenaces.

Pour cela, Jedha propose une formation en cybersécurité pour débutants, idéale pour adopter les bons réflexes dans votre vie personnelle et professionnelle.

Si vous cherchez une formation complète pour vos équipes internes ou une reconversion dans les métiers de la cyber, notre formation avancée en cybersécurité vous permet d'acquérir des compétences solides pour défendre efficacement les infrastructures informatiques. Le tout en seulement quelques mois. 

Protéger ces infrastructures est désormais primordial pour les entreprises, et pour ceux en reconversion, la cybersécurité représente une opportunité incontournable sur le marché du travail. 

Questions fréquentes sur l’ARP Poisoning ? 

Qu’est-ce que le Spoofing ?

C’est une méthode de cyberattaque qui consiste à usurper l’identité électronique d’une cible en usurpant son adresse mail (e-mail spoofing), en usurpant son adresse IP pour envoyer des paquets IP (IP spoofing) ou pour accéder à des applications (smart-spoofing).

Comment réaliser des tests d'intrusion ARP Poisoning avec Linux ?

Un des moyens les plus simples est d’installer Bettercap sur Kali Linux. Une fois intégré, lancez le logiciel, scannez les réseaux, activez l’attaque ARP Poisoning ou ARP Spoofing en utilisant quelques commandes. Vous pouvez cibler une adresse IP précise. Usurpez alors les identifiants de connexion et activez le Sniffer pour capturer le trafic réseau.

Quel exemple d'attaque ARP Poisoning est le plus connu ?

Parmi les formes d’ARP Poisoning, les attaques de type Man in the Middle (attaques de l’Homme du Milieu) constituent les plus répandues et les plus dangereuses. En effet, elles peuvent passer inaperçues et permettent de falsifier des données transmises au destinataire.