Attaque d'empoisonnement ARP : comment cela se produit et comment l'éviter

Récemment, le nombre d'attaques ARP sur les chaînes BSC et ETH a dépassé respectivement 290 000 et 40 000. Plus de 186 000 adresses indépendantes ont perdu plus de 1,64 million de dollars à cause des attaquants ARP. Dans cette courte lecture, nous aimerions présenter une analyse complète de la scène des attaques par empoisonnement ARP et des informations détaillées sur la manière de prévenir et de gérer ces attaques si et quand elles se produisent. 
Les utilisateurs de crypto perdent des fonds massifs face aux attaquants ARP
Depuis son invention, les comptes et transactions cryptographiques sont vulnérables aux attaques. Cette année en particulier, nous avons assisté à un nombre croissant d’attaques de plusieurs types et formes. Ce taux d’attaque élevé préoccupe les communautés crypto et blockchain dans leur ensemble. La principale d’entre elles est l’attaque par empoisonnement d’adresse, également appelée attaque par empoisonnement ARP.
Il est inquiétant de constater une augmentation des attaques ARP ces derniers temps. Concernant les tendances, la chaîne BSC explose depuis le 22 novembre, tandis que la chaîne ETH explose depuis novembre. La chaîne ETH explose depuis le 27 novembre, l'ampleur des attaques sur les deux chaînes s'intensifiant. En outre, le nombre d'adresses indépendantes touchées par les attaques a dépassé respectivement 150 000 et 36 000. À ce jour, plus de 340 000 adresses ont été empoisonnées sur la chaîne, totalisant 99 adresses de victimes, et plus de 1,64 million de dollars ont été volés.
Attaque d'empoisonnement ARP expliquée
Le protocole ARP (Address Resolution Protocol) prend en charge l'approche en couches utilisée depuis les premiers jours des réseaux informatiques. L'empoisonnement ARP est un type de cyberattaque qui exploite les faiblesses du protocole ARP (Address Resolution Protocol) largement utilisé pour perturber, rediriger ou espionner le trafic réseau. 
La sécurité n'étant pas une préoccupation majeure lors de l'introduction de l'ARP en 1982, les concepteurs du protocole n'ont jamais inclus de mécanismes d'authentification pour valider les messages ARP. N'importe quel appareil du réseau peut répondre à une requête ARP, que le message d'origine lui soit destiné ou non. Par exemple, si l'ordinateur A « demande » l'adresse MAC de l'ordinateur B, un attaquant sur l'ordinateur C peut répondre et l'ordinateur A acceptera cette réponse comme authentique. Cet oubli a rendu possibles diverses attaques. En exploitant les outils facilement disponibles, un acteur malveillant peut « empoisonner » le cache ARP d’autres hôtes sur un réseau local, remplissant le cache ARP d’entrées inexactes. 
Comment ça fonctionne
L'empoisonnement du protocole de résolution d'adresse (ARP) se produit lorsqu'un attaquant envoie des messages ARP falsifiés sur un réseau local (LAN) pour lier l'adresse MAC d'un attaquant à l'adresse IP d'un ordinateur ou d'un serveur légitime sur le réseau. Une fois que l’adresse MAC de l’attaquant est liée à une adresse IP authentique, l’attaquant peut recevoir tous les messages dirigés vers l’adresse MAC légitime. En conséquence, l'attaquant peut intercepter, modifier ou bloquer la communication avec l'adresse MAC légitime.
Une récente enquête BSC réalisée par X-explore a révélé que les pirates informatiques affectent l'attaque ARP en initiant plusieurs transferts de 0 USD. Après que la VICTIME A ait envoyé une transaction typique de 452 BSC-USD à l'UTILISATEUR B, l'UTILISATEUR B recevra immédiatement 0 BSC-USD de l'ATTAQUANT C. Dans le même temps, dans le même hachage de transaction, l'UTILISATEUR A lui-même transférera de manière incontrôlable 0 BSC-USD. vers l’ATTACKER C (réalisant une opération de transfert « va-et-vient » 0 BSC-USD).
Pourquoi devriez-vous vous inquiéter
En tant qu'utilisateur de blockchain, l'attaque d'empoisonnement ARP peut être fatale à votre compte. L’impact le plus direct d’une attaque d’empoisonnement ARP est que le trafic destiné à un ou plusieurs hôtes du réseau local sera plutôt dirigé vers une destination choisie par l’attaquant. L’effet exact que cela aura dépend des spécificités de l’attaque. Le trafic pourrait être envoyé vers la machine de l’attaquant ou transféré vers un emplacement inexistant. Dans le premier cas, il se peut qu’il n’y ait aucun effet observable, tandis que dans le second, il peut s’agir d’un obstacle à l’accès au réseau.
Vendredi, 94 adresses uniques ont été escroquées, les attaquants ayant emporté un total cumulé de 1 640 000 USD. Malheureusement, avec l’augmentation des cibles des attaquants, on s’attend à ce qu’un grand nombre d’utilisateurs continuent d’être victimes d’arnaques à court terme.
Types de transactions d'empoisonnement ARP
Il existe généralement deux manières par lesquelles une attaque d’empoisonnement ARP peut se produire. Ceux-ci inclus:
Attaque de l'homme du milieu (MiTM)
Les attaques MiTM sont les plus courantes et aussi les plus dangereuses. Avec le MiTM, l'attaquant envoie des réponses ARP falsifiées pour une adresse IP donnée, généralement la passerelle par défaut pour un sous-réseau particulier. Cela amène les machines victimes à remplir leur cache ARP avec l’adresse MAC de la machine de l’attaquant au lieu de l’adresse MAC du routeur local. Les machines victimes transmettront alors de manière incorrecte le trafic réseau à l’attaquant.  
Attaque par déni de service (DoS)
Une attaque DoS refuse à une ou plusieurs victimes l’accès aux ressources réseau. Dans le cas d'ARP, un attaquant pourrait envoyer des messages de réponse ARP mappant faussement des centaines, voire des milliers d'adresses IP à une seule adresse MAC, ce qui pourrait surcharger la machine cible. Cette attaque peut également cibler les commutateurs, ce qui pourrait avoir un impact sur les performances de l’ensemble du réseau. 
Détournement de session
Les attaques de détournement de session sont similaires à celles de type Man-in-the-Middle, sauf que l'attaquant ne transmettra pas directement le trafic de la machine victime vers sa destination prévue. Au lieu de cela, l’attaquant capturera un véritable numéro de séquence TCP ou un cookie Web de la victime et l’utilisera pour usurper l’identité de la victime. 
Prévenir les attaques ARP
Il existe plusieurs façons de protéger votre adresse contre les attaques d’empoisonnement ARP. Certains d'entre eux incluent :
Tableaux ARP statiques
Vous pouvez empêcher les attaques ARP en mappant statiquement toutes les adresses MAC d'un réseau sur leurs adresses IP légitimes. Bien que cela soit très efficace, cela ajoute une énorme charge administrative. 
Sécurité du commutateur
La plupart des commutateurs Ethernet gérés disposent de fonctionnalités conçues pour atténuer les attaques d’empoisonnement ARP. Généralement connues sous le nom d'inspection dynamique ARP (DAI), ces fonctionnalités évaluent la validité de chaque message ARP et suppriment les paquets qui semblent suspects ou malveillants. 
Sécurité physique
De plus, contrôler correctement l’accès physique à votre espace de travail peut aider à atténuer les attaques d’empoisonnement ARP. Les messages ARP ne sont pas acheminés au-delà des limites du réseau local, les attaquants potentiels doivent donc se trouver à proximité physique du réseau victime ou déjà contrôler une machine sur le réseau. 
Isolation du réseau
La concentration de ressources importantes dans un segment de réseau dédié où une sécurité renforcée est présente peut également réduire considérablement l'impact potentiel d'une attaque d'empoisonnement ARP.
Chiffrement
Bien que le chiffrement n’empêche pas réellement une attaque ARP de se produire, il peut atténuer les dommages potentiels. 
Conclusion
L’empoisonnement ARP reste une menace pour les utilisateurs de crypto et, en tant que tel, il doit être traité immédiatement. Comme toutes les cybermenaces, il est préférable d’y faire face grâce à un programme complet de sécurité des informations. 
La première étape dans la lutte contre la menace d’empoisonnement à l’ARP consiste à sensibiliser l’opinion. D’où la nécessité pour les applications de portefeuille d’intensifier les alertes de risque afin que les utilisateurs ordinaires puissent être conscients de telles attaques lors du transfert de jetons.