Qu’est-ce qu’une attaque par empoisonnement ARP et comment la prévenir ?

Disposer d’une défense unique en matière de cybersécurité ne garantit pas une sécurité totale, car les pirates informatiques continuent de concevoir de nouveaux moyens de s’infiltrer. Ils ont compris que lancer des attaques directes n’est plus aussi efficace car les mécanismes de sécurité avancés peuvent les détecter facilement. Se cacher derrière des réseaux légitimes grâce à des techniques telles que les attaques par empoisonnement ARP leur facilite la tâche.

Avec l’empoisonnement ARP, un cybercriminel peut rediriger votre adresse IP et intercepter vos communications en transit à votre insu. Voici comment fonctionne cette méthode d’attaque et comment vous pouvez l’éviter.

Qu’est-ce qu’une attaque par empoisonnement ARP ?

Le protocole de résolution d’adresses (ARP) est une procédure de connectivité qui relie une adresse IP (Internet Protocol) à l’adresse physique statique d’un MAC (Media Access Control) sur un réseau local (LAN). Les adresses IP et MAC étant de composition différente, elles ne sont pas compatibles. Le protocole ARP permet de concilier cette différence et de s’assurer que les deux éléments sont synchronisés. Dans le cas contraire, ils ne se reconnaîtraient pas.

Une attaque par empoisonnement ARP est un processus par lequel un intrus envoie un contenu malveillant via un réseau local (LAN) pour rediriger la connexion d’une adresse IP légitime vers son adresse MAC. Au cours de ce processus, l’attaquant déplace l’adresse MAC originale qui devrait se connecter à l’adresse IP, ce qui lui permet d’accéder aux messages que les gens envoient à l’adresse MAC authentique.

Comment fonctionne une attaque par empoisonnement ARP ?

Plusieurs réseaux peuvent fonctionner simultanément sur un réseau local (LAN). Chaque réseau actif obtient une adresse IP particulière qui lui sert de moyen d’identification et le différencie des autres. Lorsque les données des différents réseaux parviennent à la passerelle, l’ARP les trie en conséquence, de sorte que chacune d’entre elles se rende directement à la destination prévue.

L’attaquant crée et envoie un faux message ARP au système profilé. Il ajoute son adresse MAC et l’adresse IP de la cible dans le message. Lors de la réception et du traitement du faux message ARP, le système synchronise l’adresse MAC de l’attaquant avec l’adresse IP.

Une fois que le réseau local relie l’adresse IP à l’adresse MAC de l’intrus, ce dernier commence à recevoir tous les messages destinés à l’adresse MAC légitime. Il peut écouter la communication pour récupérer des données sensibles en échange, modifier la communication en insérant un contenu malveillant pour servir ses intentions, ou même supprimer les données en transit, de sorte que le destinataire ne les reçoive pas.

Types d’attaques par empoisonnement ARP

Les cybercriminels peuvent lancer des attaques ARP de deux manières : L’usurpation d’identité et l’empoisonnement du cache.

L’usurpation d’adresse ARP

L’usurpation d’adresse ARP est un processus par lequel un acteur de la menace falsifie et envoie une réponse ARP au système qu’il vise. Il suffit à l’intrus d’envoyer une réponse falsifiée pour que le système en question ajoute son adresse MAC à la liste blanche. L’usurpation d’adresse ARP est donc facile à exécuter.

Les pirates utilisent également l’usurpation d’adresse ARP pour mener d’autres types d’attaques, telles que le détournement de session, où ils prennent le contrôle de vos sessions de navigation, et les attaques Man-in-the-Middle, où ils interceptent les communications entre deux appareils connectés à un réseau.

Empoisonnement du cache ARP

L’empoisonnement dans ce type d’attaque ARP provient du fait que l’attaquant crée et envoie plusieurs réponses ARP falsifiées à son système cible. Il le fait au point que le système est submergé d’entrées invalides et ne peut pas identifier ses réseaux légitimes.

Le cybercriminel à l’origine de l’agitation du trafic saisira l’occasion de rediriger les adresses IP vers ses propres systèmes et d’intercepter les communications qui y transitent. Les acteurs de la menace utilisent cette méthode d’attaque ARP pour faciliter d’autres formes d’attaques comme le déni de service (DoS) où ils inondent le système cible de messages non pertinents pour provoquer un embouteillage et rediriger ensuite les adresses IP.

Comment prévenir une attaque par empoisonnement ARP ?

Les attaques par empoisonnement ARP ont des répercussions négatives sur votre système, telles que la perte de données critiques, une atteinte à votre réputation en raison de l’exposition de vos données sensibles, et même des temps d’arrêt si l’attaquant manipule des éléments qui pilotent votre réseau.

Si vous ne voulez pas subir les conséquences ci-dessus, voici des moyens de prévenir les attaques par empoisonnement ARP.

1. Créez des tables ARP statiques

La technologie ARP ne peut pas valider automatiquement les adresses IP légitimes avec leurs adresses MAC. Les cybercriminels ont donc la possibilité de falsifier les réponses ARP. Vous pouvez combler cette lacune en créant une table ARP statique dans laquelle vous associez toutes les adresses MAC authentiques de votre réseau à leurs adresses IP légitimes. Les deux composants ne se connecteront et ne traiteront que les adresses correspondantes, ce qui élimine la possibilité pour les attaquants de connecter leurs adresses MAC au réseau.

La création de tables statiques ARP implique un travail manuel important qui prend du temps. Mais si vous y mettez du vôtre, vous éviterez plusieurs attaques par empoisonnement ARP.

2. Mettre en œuvre l’inspection ARP dynamique (DAI)

L’inspection ARP dynamique (DAI) est un système de sécurité réseau qui vérifie les composants ARP présents sur un réseau. Il identifie les connexions avec des adresses MAC illégitimes qui tentent de rediriger ou d’intercepter des adresses IP valides.

L’inspection DAI vérifie toutes les demandes d’adresses ARP MAC vers IP sur le système et confirme qu’elles sont légitimes avant de mettre à jour leurs informations sur le cache ARP et de les transmettre aux bons canaux.

3. Segmentez votre réseau

Les attaquants effectuent des attaques par empoisonnement ARP, en particulier lorsqu’ils ont accès à toutes les zones d’un réseau. La segmentation de votre réseau signifie que les différents composants se trouvent dans des zones différentes. Même lorsqu’un intrus accède à une partie du réseau, le contrôle qu’il peut exercer est limité, car certains éléments ne sont pas présents.

Vous pouvez renforcer votre sécurité en créant une table ARP statique pour chaque segment de votre réseau. De cette façon, il est plus difficile pour les pirates de s’introduire dans une seule zone, et encore plus dans toutes les zones.

4. Cryptez vos données

Le cryptage n’a peut-être pas beaucoup d’impact pour empêcher les pirates d’infiltrer votre réseau avec des attaques d’empoisonnement ARP, mais il les empêchera de modifier vos données s’ils parviennent à s’en emparer. En effet, le cryptage des données empêche les intrus de les lire sans disposer de la clé de décryptage valide.

Si les données que les attaquants dérobent lors d’une attaque par empoisonnement ARP leur sont inutiles en raison du chiffrement, ils ne peuvent pas dire que leur attaque a été couronnée de succès.

Prévenir les attaques par empoisonnement ARP grâce à l’authentification

Les attaques par empoisonnement ARP se développent lorsqu’il n’y a pas de paramètres pour sécuriser la connectivité de votre réseau contre les intrusions. Lorsque vous créez une liste blanche de réseaux et d’appareils à approuver, les éléments qui ne figurent pas sur la liste échoueront au contrôle d’authentification et ne pourront pas pénétrer dans votre système.

Il est préférable d’empêcher les acteurs de la menace de pénétrer dans votre système plutôt que de s’en occuper lorsqu’ils y sont déjà. Ils peuvent causer de graves dommages avant que vous ne puissiez les contenir.