comment cela se produit-il et comment le prévenir

comment cela se produit-il et comment le prévenir

décembre 17, 2022 0 Par Stephane Normons

Récemment, le nombre d’attaques ARP sur les chaînes BSC et ETH a dépassé respectivement 290 000 et 40 000. Plus de 186 000 adresses indépendantes ont perdu plus de 1,64 million de dollars à cause des attaquants ARP. Dans cette courte lecture, nous aimerions présenter une analyse complète de la scène des attaques par empoisonnement ARP et des informations détaillées sur la façon de prévenir et de gérer ces attaques si et quand elles se produisent.

Les utilisateurs de crypto perdent des fonds massifs au profit des attaquants ARP

Depuis son invention, les comptes et transactions cryptographiques sont vulnérables aux attaques. Particulièrement cette année, nous avons vu un nombre croissant de plusieurs types et formes d’attaques. Ce taux d’attaque élevé a été une préoccupation pour les communautés crypto et blockchain dans leur ensemble. La principale d’entre elles est l’attaque d’empoisonnement d’adresse, également appelée attaque d’empoisonnement ARP.

Fait troublant, il y a eu une augmentation des attaques ARP ces derniers temps. Concernant les tendances, la chaîne BSC explose depuis le 22 novembre, tandis que la chaîne ETH explose depuis novembre La chaîne ETH explose depuis le 27 novembre, l’ampleur des attaques sur les deux chaînes s’intensifiant. De plus, le nombre d’adresses indépendantes touchées par les attaques a dépassé respectivement 150 000 et 36 000. À ce jour, plus de 340 000 adresses ont été empoisonnées sur la chaîne, totalisant 99 adresses victimes, et plus de 1,64 million USD ont été volés.

Attaque d’empoisonnement ARP expliquée

Le protocole de résolution d’adresse (ARP) prend en charge l’approche en couches utilisée depuis les premiers jours des réseaux informatiques. L’empoisonnement ARP est un type de cyberattaque qui exploite les faiblesses du protocole de résolution d’adresse (ARP) largement utilisé pour perturber, rediriger ou espionner le trafic réseau.

Étant donné que la sécurité n’était pas une préoccupation primordiale lors de l’introduction d’ARP en 1982, les concepteurs de protocoles n’ont jamais inclus de mécanismes d’authentification pour valider les messages ARP. Tout appareil sur le réseau peut répondre à une requête ARP, que le message d’origine lui soit destiné ou non. Par exemple, si l’ordinateur A « demande » l’adresse MAC de l’ordinateur B, un attaquant de l’ordinateur C peut répondre et l’ordinateur A acceptera cette réponse comme authentique. Cet oubli a rendu possibles diverses attaques. En tirant parti des outils facilement disponibles, un acteur malveillant peut « empoisonner » le cache ARP d’autres hôtes sur un réseau local, remplissant le cache ARP avec des entrées inexactes.

Comment ça fonctionne

L’empoisonnement du protocole de résolution d’adresse (ARP) se produit lorsqu’un attaquant envoie des messages ARP falsifiés sur un réseau local (LAN) pour lier l’adresse MAC d’un attaquant à l’adresse IP d’un ordinateur ou d’un serveur légitime sur le réseau. Une fois que l’adresse MAC de l’attaquant est liée à une adresse IP authentique, l’attaquant peut recevoir tous les messages dirigés vers l’adresse MAC légitime. Par conséquent, l’attaquant peut intercepter, modifier ou bloquer la communication avec l’adresse MAC légitime.

À lire  Les actions Robinhood contestées peuvent être transférées sur un compte séquestre

Une récente enquête BSC par X-explore a révélé que les pirates affectent l’attaque ARP en lançant plusieurs transferts de 0 USD. Après que la VICTIME A ait envoyé une transaction typique de 452 BSC-USD à l’UTILISATEUR B, l’UTILISATEUR B recevra immédiatement 0 BSC-USD de l’ATTAQUANT C. En même temps, dans le même hachage de transaction, l’UTILISATEUR A lui-même transférera de manière incontrôlable 0 BSC-USD à l’ATTAQUANT C (réalisant une opération de transfert « aller-retour » 0 BSC-USD).

Pourquoi vous devriez vous inquiéter

En tant qu’utilisateur de la blockchain, l’attaque d’empoisonnement ARP peut être fatale à votre compte. L’impact le plus direct d’une attaque d’empoisonnement ARP est que le trafic destiné à un ou plusieurs hôtes sur le réseau local sera plutôt dirigé vers une destination choisie par l’attaquant. L’effet exact que cela aura dépendra des spécificités de l’attaque. Le trafic pourrait être envoyé à la machine de l’attaquant ou redirigé vers un emplacement inexistant. Dans le premier cas, il peut n’y avoir aucun effet observable, tandis que le second peut empêcher l’accès au réseau.

Vendredi, 94 adresses uniques ont été escroquées, les attaquants emportant un total cumulé de 1 640 000 USD. Malheureusement, avec l’augmentation des cibles des attaquants, on s’attend à ce qu’un grand nombre d’utilisateurs continuent de se faire arnaquer sous peu.

Types de transactions d’empoisonnement ARP

Il existe généralement deux façons dont une attaque d’empoisonnement ARP peut se produire. Ceux-ci inclus:

Attaque de l’homme du milieu (MiTM)

Les attaques MiTM sont les plus courantes et aussi les plus dangereuses. Avec le MiTM, l’attaquant envoie des réponses ARP falsifiées pour une adresse IP donnée, généralement la passerelle par défaut d’un sous-réseau particulier. Cela amène les machines victimes à remplir leur cache ARP avec l’adresse MAC de la machine de l’attaquant au lieu de l’adresse MAC du routeur local. Les machines victimes transmettront alors de manière incorrecte le trafic réseau à l’attaquant.

Attaque par déni de service (DoS)

Une attaque DoS refuse à une ou plusieurs victimes l’accès aux ressources du réseau. Dans le cas d’ARP, un attaquant peut envoyer des messages de réponse ARP qui associent à tort des centaines, voire des milliers d’adresses IP à une seule adresse MAC, ce qui pourrait submerger la machine cible. Cette attaque peut également cibler des commutateurs, impactant potentiellement les performances de l’ensemble du réseau.

Détournement de session

Les attaques de détournement de session sont similaires à Man-in-the-Middle, sauf que l’attaquant ne transmettra pas directement le trafic de la machine victime à sa destination prévue. Au lieu de cela, l’attaquant capturera un véritable numéro de séquence TCP ou un cookie Web de la victime et l’utilisera pour assumer l’identité de la victime.

À lire  Grayscale rachètera 20% des actions si la conversion de l'ETF échoue, promet le PDG

Prévenir les attaques ARP

Il existe plusieurs façons de protéger votre adresse contre les attaques d’empoisonnement ARP. Certains d’entre eux incluent:

Tables ARP statiques

Vous pouvez empêcher les attaques ARP en mappant de manière statique toutes les adresses MAC d’un réseau à leurs adresses IP légitimes. Bien que cela soit très efficace, cela ajoute un énorme fardeau administratif.

Basculer la sécurité

La plupart des commutateurs Ethernet gérés ont des fonctionnalités conçues pour atténuer les attaques d’empoisonnement ARP. Généralement connues sous le nom d’inspection dynamique ARP (DAI), ces fonctionnalités évaluent la validité de chaque message ARP et suppriment les paquets qui semblent suspects ou malveillants.

Sécurité physique

De plus, contrôler correctement l’accès physique à votre espace de travail peut aider à atténuer les attaques d’empoisonnement ARP. Les messages ARP ne sont pas acheminés au-delà des limites du réseau local, de sorte que les attaquants potentiels doivent se trouver à proximité physique du réseau victime ou avoir déjà le contrôle d’une machine sur le réseau.

Isolement du réseau

La concentration de ressources importantes dans un segment de réseau dédié où une sécurité renforcée est présente peut également réduire considérablement l’impact potentiel d’une attaque d’empoisonnement ARP.

Chiffrement

Bien que le chiffrement n’empêche pas réellement une attaque ARP de se produire, il peut atténuer les dommages potentiels.

Conclusion

L’empoisonnement ARP reste une menace pour les utilisateurs de crypto, et en tant que tel, il doit être traité immédiatement. Comme toutes les cybermenaces, il vaut mieux y faire face par le biais d’un programme complet de sécurité de l’information.

La première étape dans la lutte contre la menace d’empoisonnement ARP est la sensibilisation. D’où la nécessité pour les applications de portefeuille d’intensifier les alertes de risque afin que les utilisateurs ordinaires puissent être au courant de ces attaques lors du transfert de jetons.

Suivez-nous sur Google Actualités