Le document traite de l'arp poisoning, une technique d'attaque exploitant les faiblesses du protocole ARP pour détourner les communications entre machines sur un réseau local. Il souligne l'augmentation alarmante des cyber-attaques et propose des stratégies de prévention, incluant la sécurité passive et active. La conclusion rappelle la nécessité pour les services informatiques de sécuriser leurs réseaux face à ces menaces croissantes.

1. L’ARP POISONING

2. http://blog.aston-ecole cursus ESD ? - date - page
2
AUTEUR
Nom : Gyorgy Joseph
Société :EasyVista
Rôle : Pen Tester
Nom : Houssem Chebbi
Société :AMF
Rôle : Administrateur Système et Réseau
Nom : Gillard Benjamin
Société : SID EXPERT
Rôle : Security Manager

3. http://blog.aston-ecole cursus ESD ? - date - page
3
A. Sommaire :
Contenu
A. Sommaire :........................................................................................................................................3
II. Présentation............................................................................................................................................4
A. La Cybercriminalité ou en est-on ? ....................................................................................................4
Entre 2014 et 2015 le nombre de cyber-attaques recensées a progressé de 38% dans le monde, les
budgets Sécurité des entreprises ont, eux augmenté de 24%.La France par exemple a été en 2015 l’une
des plus toucher, on récence dans les entreprises Française une moyenne de 21 incident/jour. Afin de
contrer un maximum cette évolution, les entreprises et leurs services informatiques doivent pouvoir se
défendre. La première défense étant la communication et la formation, beaucoup d’attaque peuvent être
ainsi évité comme le type d’attaque que nous vous présentons aujourd’hui .............................................4
B. Rappel sur l’ARP...............................................................................................................................5
III. l’ARP Poisoning : ................................................................................................................................5
A. Scenario d’attaque..............................................................................................................................7
1. Sur la partie attaquant : ..................................................................................................................7
2. Sur la partie client :........................................................................................................................8
3. En résumé : ....................................................................................................................................8
IV. Comment se protéger de L’ARP poisoning .......................................................................................9
A. Sécurité passive..................................................................................................................................9
B. Sécurité active....................................................................................................................................9
V. CONCLUSION........................................................................................................................................10

4. http://blog.aston-ecole cursus ESD ? - date - page
4
II. Présentation
A. La Cybercriminalité ou en est-on ?
Entre 2014 et 2015 le nombre de cyber-attaques recensées a progressé de 38% dans le monde, les
budgets Sécurité des entreprises ont, eux augmenté de 24%.La France par exemple a été en 2015
l’une des plus toucher, on récence dans les entreprises Française une moyenne de 21
incident/jour. Afin de contrer un maximum cette évolution, les entreprises et leurs services
informatiques doivent pouvoir se défendre. La première défense étant la communication et la
formation, beaucoup d’attaque peuvent être ainsi évité comme le type d’attaque que nous vous
présentons aujourd’hui
On parle souvent des failles applicatives, celles liées à l'erreur humaine, etc. Ici, nous allons voir
que des problèmes de sécurité peuvent aussi venir des protocoles réseaux. L’ARP cache
poisoning (ou l'empoisonnement de cache Arp), qui est une attaque qui consiste à exploiter la
faille du protocole ARP. Le but est de détourner les communications entre deux machines
distantes.

5. http://blog.aston-ecole cursus ESD ? - date - page
5
B. Rappel sur l’ARP
L’ARP ou l’Adress Resolution protocole est un protocole qui se situe sur la couche 3 du modèle
OSI. On l’assimile parfois à un protocole de couche 2 et demi car il assure la liaison entre le
protocole IP qui utilise les adresses IP pour construire ses paquets et les trames Ethernet qui elles
utilisent les adresse MAC. Ainsi l’adresse résolution protocole permet de faire correspondre les
adresses physiques aux adresses logiques, le protocole interroge les machines du réseau pour
connaitre leurs adresses physiques, puis créer une table de correspondance entre les adresses
logique et les adresses physiques dans une mémoire cache.
Figure 1 Fonctionnement du réseau normal
III. l’ARP Poisoning :
Les faiblesses du protocole ARP
L’ARP ne présente aucun mécanisme de chiffrement et encore moins de moyens d’authentification. Il ne
présente pas non plus de mode connecté. Il est possible de faire correspondre une réponse à une requête. La pile
protocolaire enregistre toutes les réponses qu’elle reçoit dans sa table. Même si elles ne correspondent à aucune
requête.
Le Spoofing ARP exploite cette faiblesse. L’ARP Poisoning est une méthode d’attaque sur un réseau local
utilisant le protocole de résolution d’adresse ARP, cette technique d’attaque permet à l’attaquant de détourner

6. http://blog.aston-ecole cursus ESD ? - date - page
6
les flux de communications transitant entre la machine cible et une passerelle (exemple : routeur, Switch... voir
schéma de référence Figure 2).
Figure 2 ATTAQUE EN ARP POISONING ICI LE HACKER A REUSSI A DEVENIR LE MAN IN THE MIDLE
Un attaquant va envoyer un paquet à une machine cible en indiquant l’adresse IP à détourner et en l’associant à
l’adresse Ethernet de l’attaquant. Cette dernière enregistrera la réponse dans sa table sans même avoir émis le
souhait de s’y connecter.
Si la machine cible a déjà réalisé une connexion auprès de l’adresse détournée, c’est-à-dire qu’il existe déjà une
entrée dans la table correspondant à l’adresse IP, cette dernière sera tout de même mise à jour après le temps de
mise en cache fixé par défaut. Afin d’exploiter ce défaut de configuration, nous allons envoyer des
informations très régulièrement sur le réseau
Une fois la table Arp polluée, la cible aura l’impression d’établir une connexion IP sur la machine détournée,
mais les trames Ethernet seront adressées à la machine de l’attaquant.
Maintenant que nous avons abordé tous ces points nous allons passer sur la partie technique.

7. http://blog.aston-ecole cursus ESD ? - date - page
7 A. Scenario d’attaque
Nous allons simuler une attaque en ARP poisoning en entreprise. Le but étant d’observer un attaquant usurper
l’identité de la Gateway. Pour se faire nous avons créé 2 machines ayant accès à internet, sur la machine du
hacker nous avons monté une machine virtuelle sous Kali.
1. Sur la partie attaquant :
Sur notre OS nous nous sommes renseigné sur les postes connectés au réseau en lancent une requête ARP –A
ainsi nous avons eu une vision d’ensemble du segment réseau sur lequel nous nous trouvons (Voir figure 3).
Figure 3 Table ARP
Nous réalisons un IP config qui nous permet de récupérer des information comme la Gateway qui nous
permettrons d’effectuer notre ARP spoofing.
Nous avons créé un script en Python qui nous permet de pouvoir effectuer cette ARP spoofing il est tout à
fait possible aussi d’utiliser des logiciels comme Ettercap.
Dans ce script nous avons rentré différents paramètres, il nous a fallu tout d’abord importer des fonctions
pour construire et envoyer des paquets ARP, puis crée des entrés afin d’indiqué la victime a ciblé, la
passerelle du réseau sur lequel nous nous trouvons et l’interface réseau à utiliser.
Une fois le script lancé l’attaque commence, notre script va donc générer des paquets erroné et va les
envoyer à notre victime afin de saturer la table ARP, ainsi le client va nous confondre avec la Gateway
(voir figure 2) et nous permettre de devenir le Man In The Midle cette technique nous permet de voir ce
qui transite entre l’utilisateur et le réseau « grosso modo nous remplaçons le switch ». Avec cette attaque
nous pouvons ainsi effectuer diverse opération, comme la réccupération d’information (TType mot de
passe…) de rediriger l’utilisateur sur un randsomware, voir même de pousser l’utilisateur à ouvrir un
Keylogger.

8. http://blog.aston-ecole cursus ESD ? - date - page
8
2. Sur la partie client :
Le client quand à lui ne remarquera absolument rien, la seul façon de voir les risques pour celui-
ci serai d’effectuer un ARP –A constant afin de s’assuré que la Gateway ne change absolument
pas. Dans notre attaque l’adresse de la Gateway est devenue la notre sur le client (Figure 5)
Figure 4 ARP - A effectué sur le client avant et après attaque
3. En résumé :
Dans notre présentation nous avons utilisé un script Python qui nous permet de pouvoir filtré et contrôlé
les flux entre le client et le réseau. Ce Filtre contrôle le flux http/Telnet/IRC/NTLM2/NTM3… Et nous
permet d’obtenir les informations en claire comme dans notre présentation le client va se connecter au site
du PSG et sur notre interface nous réccupérerons ces informations.
Il est possible d’utiliser simplement les filtres avec Wireshark

9. http://blog.aston-ecole cursus ESD ? - date - page
9
IV. Comment se protéger de L’ARP poisoning
Il existe Différentes méthodes pour se protégé de cette attaque.
A. Sécurité passive
Il s'agit de mesures visant à empêcher l'ARP cache poisoning, en figeant l'association IP/MAC sur les
OS (utilisation des entrées statiques des tables ARP). Ceci est lourd et pratiquement inexploitable à
grande échelle. Qui plus est, certains OS gèrent mal ces entrées statiques qui peuvent être alors
corrompues. C'est le cas des Windows 9x, NT et 2000 (XP a corrigé le problème). Ces OS sont donc
fondamentalement vulnérables à ce type d'attaque et font profiter de leur faiblesse les logiciels
(firewall,proxy,serveurs,web...)qui leur sont dédiés.
Le verrouillage IP/MAC peut également être pris en charge au niveau applicatif. Par exemple, certains
firewalls (dont iptables) sont capables de contrôler l'association IP/MAC des paquets entrants.
L'utilisation de commutateurs de niveau 3, capables de gérer l'association MAC/IP/port est également
une solution au problème.
B. Sécurité active
Lorsqu'il n'est pas réaliste de verrouiller les entrées ARP de chaque machine, il est possible de mettre
en œuvre une solution de détection centralisée, qui agit comme une sonde de détection. Certaines
sondes sont d'ailleurs capables de détecter des paquets ARP anormaux, susceptibles de signifier un
ARP cache poisoning. Cependant, cette attaque étant réalisable avec des paquets normaux, la sonde
n'a que peu d'intérêt. L'utilisation de logiciels comme arpwatch permet de centraliser les associations
MAC/IP, et de contrôler en temps réel les messages ARP pour vérifier qu'un poisoning n'est pas en
cours. Des alertes sont alors générées en cas de divergence. Il pourrait même être envisagé un système
de contre mesure consistant à repositionner la bonne association MAC/IP sur une machine venant de
se faire poisoner. Ce repositionnement pourrait s'effectuer par le même processus que celui qui a
permis l'attaque : par ARP cache poisoning

10. http://blog.aston-ecole cursus ESD ? - date - page
10 V. CONCLUSION
L’ARP spoofing est une technique de piratage rependu contenue la facilité de la mise en place,
des scripts avec des tutoriels fleurissent sur internet. Le service informatique doit en cas de
risque recourir aux possibilités existantes afin de sécuriser leur réseau.
Il est aussi conseillé de se tenir informer des évolutions en terme de sécurité, afin d’adopter les
bonne pratique du moment sans pour cela mettre en péril le Business