TARGET DECK: Sécurité des réseaux et de leurs protocoles::Attaques et sécurisation des couches OSI::Couche 2 - Liaison::Mac Address Spoofing # Contexte Chaque appareil connecté à un réseau possède un numéro d'identification physique unique : l’adresse _media access control,_ abrégée MAC. Cette _burned-in address_ (BIA) est apposée sur le matériel par le fabricant. Les utilisateurs n'ont aucun moyen de réécrire l'adresse MAC. Cependant, il est possible d'utiliser un logiciel de masquage. Il s'agit dans ce cas de MAC spoofing. <!--ID: 1698485389465--> ## **Adresses MAC** Les adresses uniques matérielles identifient les contrôleurs d'interface réseau (NIC) tels que les cartes LAN ou les adaptateurs WLAN, ainsi que les périphériques terminaux dans les réseaux locaux. Chaque adresse MAC comprend 48 bits, soit 6 octets, et est représentée comme suit : `00:81:41:fe:ad:7e`. Les 24 premiers bits correspondent au code du fabricant assigné par l'*Institute of Electrical and Electronics Engineers* (IEEE), et les 24 bits suivants au numéro de dispositif défini par le fabricant. # Les bonnes raisons de masquer une adresse MAC  En théorie, chaque périphérique réseau dans le monde peut être identifié par son adresse MAC. Mais tous les utilisateurs ne veulent pas forcément bénéficier de cette transparence sur Internet. L'une des raisons pour lesquelles on peut masquer une adresse MAC est la **protection de la vie privée,** par exemple dans les réseaux wifi publics. Cette utilisation légitime du MAC spoofing connaît aussi un pendant plus sombre, dans lequel les utilisateurs modifient des adresse MAC pour **contourner les restrictions d'accès et les mesures de sécurité**, ou pour imiter l'identité d'un autre périphérique réseaux à des fins illégales.  <!--ID: 1698485389469--> ### L’anonymisation  Certains internautes préfèrent cacher l'identité de leur appareil derrière une fausse adresse MAC pour protéger leur **vie privée**. L’une des raisons, c’est que les adresses MAC sont généralement envoyées en clair dans les réseaux publics LAN ou WLAN. Chaque personne connectée sur le réseau peut ainsi tracer tous les appareils connectés, lire les adresses matérielles correspondantes, et les utiliser pour des **activités illégales.** Les pirates informatiques utilisent cette possibilité pour surfer anonymement. En général, on imite l'adresse MAC d'un autre périphérique réseau afin de tirer parti de ses autorisations, et de transférer la responsabilité des activités illégales à d'autres utilisateurs. <!--ID: 1698485389473--> ### Le vol d'identité  Pour protéger les systèmes informatiques contre les menaces internes et externes, les administrateurs mettent parfois en œuvre des mécanismes de sécurité qui limitent l'accès au réseau local aux périphériques autorisés. Au niveau du réseau, des éléments de couplage, par exemple commutateurs Ethernet via la sécurité des ports permettent de filtrer le trafic réseau sur le [[Modèle OSI]] 2. Les grands réseaux sont divisés en segments plus petits par des commutateurs. <!--ID: 1698485389476--> Si une connexion est établie d'un segment à un autre, l'élément de couplage intermédiaire vérifie l'adresse MAC du périphérique émetteur, et la compare à une liste blanche créée par l'administrateur. Si l'adresse est inconnue, le commutateur verrouille le port en question, et empêche la tentative de communication. Les réseaux WLAN peuvent également être limités aux périphériques réseau connus par des filtres MAC. Le MAC spoofing, cependant, permet aux pirates informatiques de contourner les mesures de sécurité de ce type. En fait, les listes blanches MAC ne constituent qu’une faible protection. Pour masquer l'adresse matérielle de votre propre ordinateur derrière celle d'un périphérique réseau autorisé, il vous suffit de configurer manuellement les paramètres réseau du système d'exploitation correspondant. Linux, Mac OS X et Microsoft Windows permettent aux utilisateurs d'établir des connexions LAN avec n'importe quelle adresse MAC. Les adresses matérielles des cartes WLAN, en revanche, ne peuvent pas être manipulées facilement sous Windows. ### Conditions de licence  Parfois, les applications logicielles sont limitées à un certain nombre d'appareils. Ceux-ci ne peuvent être exécutés que sur des systèmes dont **les adresses MAC sont spécifiées dans le contrat de licence**. Si l'un de ces appareils doit être remplacé en raison d'erreurs matérielles, il n’est en général plus possible d’utiliser le logiciel avec le nouvel appareil. Certains utilisateurs contournent cette restriction en réécrivant la nouvelle adresse matérielle du côté logiciel, de sorte qu'elle corresponde à celle du contrat de licence. Toutefois, cette technique n'est pas recommandée.  <!--ID: 1698485389480--> Du point de vue du fournisseur, il est possible de considérer ce type de MAC spoofing comme une **obtention frauduleuse d’une prestation** et d’intenter une action en justice. Il est recommandé aux titulaires de licence de plutôt communiquer avec le fournisseur, et lui demander s'il est possible de remplacer le matériel. Si le MAC spoofing est utilisé pour accéder à des applications logicielles payantes ou à des services en ligne via l'imitation d'un terminal autorisé, il s'agit dans tous les cas d'une violation de la loi. Pour effectuer une usurpation d’identité MAC, l’attaquant doit d’abord trouver l’adresse MAC de l’appareil cible dont il veut se faire passer pour un autre. Il peut le faire en analysant le réseau à la recherche d’adresses MAC admissibles. Une fois que l’attaquant a l’adresse MAC de la cible, il peut changer l’adresse MAC de son appareil pour qu’elle corresponde à l’adresse MAC de la cible. Cela peut se faire dans les paramètres réseau de l’appareil, où l’adresse MAC peut être saisie ou modifiée manuellement. Comme l’appareil de l’attaquant a la même adresse MAC que l’appareil cible, le réseau le traitera comme s’il s’agissait de l’appareil cible. Cela permettra à l’attaquant d’accéder à des ressources réservées à l’appareil cible, et le réseau ne sera pas en mesure de faire la distinction entre les deux appareils. Une attaque de MAC spoofing peut conduire à d’autres attaques, notamment : - Détournement de session : Prendre le contrôle d’une session réseau active en imitant l’adresse MAC du dispositif en cours d’utilisation. - [[ARP (Address Resolution Protocol) Spoofing]] : Corruption du cache [[ARP]] des appareils du réseau pour rediriger le trafic vers l’appareil de l’attaquant. - Écoute du réseau : En imitant l’adresse MAC d’un périphérique de confiance, les pirates peuvent surveiller le trafic réseau à la recherche d’informations sensibles. - Contournement de l’authentification : En usurpant une adresse MAC de confiance, un pirate peut obtenir un accès non autorisé à un réseau. - [[Attaque Man in the Middle (MITM)]] : En interceptant la communication entre deux appareils, un pirate peut modifier ou voler des données.