ARP Spoofing (Empoisonnement ARP)
hackingDéfinition
L'ARP spoofing, ou empoisonnement de cache ARP (Address Resolution Protocol), est une technique d'attaque réseau dans laquelle un attaquant envoie des messages ARP falsifiés sur un réseau local. L'objectif est d'associer l'adresse MAC de l'attaquant à l'adresse IP d'un hôte légitime, comme la passerelle par défaut. Une fois en place, tout le trafic destiné à cette IP transite par la machine de l'attaquant, qui peut alors l'intercepter, le modifier ou le bloquer — c'est la base d'une attaque Man-in-the-Middle (MITM). Des outils comme Arpspoof (dsniff), Ettercap ou Bettercap automatisent cette technique. Sur les réseaux switché modernes, le Dynamic ARP Inspection (DAI) disponible dans les switches managés constitue la principale contre-mesure, complétée par le chiffrement TLS/VPN pour protéger le contenu des communications même en cas d'interception.
Description
L'ARP spoofing envoie des messages ARP falsifiés sur un réseau local pour associer l'adresse MAC de l'attaquant à l'adresse IP d'un hôte légitime. Tout le trafic destiné à cette IP transite alors par la machine de l'attaquant.
Exploitation
Des outils comme Arpspoof, Ettercap ou Bettercap automatisent l'attaque. L'attaquant positionné en MITM peut intercepter, modifier ou bloquer les communications, réaliser du SSL stripping ou capturer des credentials.
Défense
- Activer le Dynamic ARP Inspection (DAI) sur les switches managés
- Utiliser le chiffrement TLS/VPN pour protéger le contenu même intercepté
- Mettre en place une surveillance ARP anormale via SIEM ou IDS réseau
Besoin d'un expert sur ce sujet ?
Audit, pentest, conformité ISO 27001, développement IA sécurisé — demandez un devis gratuit.
Demander un devis