Salut,
Je suis nouveau sur ce forum, mais je voudrais malgres tout intervenir sur ce sujet. En effet, cela fait maintenant quelques jours que je vois trainer un peu partout des sujets disant que le filtrage MAC n'est nullement efficace et que n'importe qui peut modifier son adresse MAC comme il veux (un peu comme modifier son adresse IP, quoi !?!)
Et juste pour être complet, le filtrage sur adresse MAC ne sert pas vraiment à grand chose
(ça ne rajoute de la sécurité que de façon très marginale) car quelqu'un capable de s'attaquer à un réseau Wifi
sera également capable de spoofer (usurper) une adresse MAC.
La seule vraie sécurité en Wifi à l'heure actuelle est d'utiliser du cryptage WPA.
Bienque je ne soit pas un specialiste de la securite reseau, ni reellement en informatique (OS, pilote...), je le suis malgres tout en electronique et principalement un SOC, IP (pas comme TCP/IP mais comme Intellectual Property)...
Donc a la reponse peut-on usurper une adresse MAC ? la reponse est oui. Mais l'effort necessaire a cet exploi technique n'est pas a la portee de n'importe quel clampain.
En effet, ce que je n'ai jamais vu dans les discussions sur ce sujet, c'est l'explication de ce qu'est reellement une adresse MAC et ou elle se situe dans le systeme (et biensur sous quel forme).
Donc voici ma version de ce qu'il vaut savoir et comment peux etre realise le dit exploi.
Une adresse MAC est une adresse unique au monde (et en principe dans le temps, sauf en cas de destruction averee d'un autre exemplaire) qui designe le composant (la puce) qui gere l'interface physique (couche 1 du model OSI) avec le reseau (independament des protocols et de sa structure).
En principe, cette adresse designe le constructeur/fournisseur du dit composant (dans le cas d'un bloc IP, le fournisseur du modele, si je me souviens bien).
Il s'agit biensur d'une convention internationale, mais il y a telement de personne impliquee et cela a de tels impacts financiers que l'on peut croire que cette regle est assez bien suivie ; bienqu'un constructeur mal avise puisse decider de ne pas applique cette regle
D'une maniere general, cette adresse est gravee physiquement dans le composant pour partie, une derniere partie etant configurable par le "logiciel" embarque pour la production en serie (par exemple via une PROM). Or ce logiciel n'est pas necessairement modifiable hors usine (ou possession de machine tres specifique et tres chere), car ce n'est pas le firmware mais une sous-couche encore plus enfouie.
Donc pour modifier "reellement" une adresse MAC, il faudrait etre capable soit d'atteindre ce logiciel enfouie, soit etre capable de changer le ou les composants contenant l'adresse MAC, soit etre capable de maniere logicielle de modifier une configuration de transistors sur une couche sillicium.
En terme d'electronique, je souhaite bien du plaisir a quelqu'un qui desire dessouder un composant de type cms pour le remplacer par sa version customisee. Outre le temps pour customiser le composant, il a de grande chance de griller sa carte reseau dans l'operation donc sur le plan financier...Aie ! Aie !
Quand a la derniere possibilite citee, la dite personne ferais mieux de deposer un brevet puis de proposer sa methode aux industriels. Il se fera milles fois plus d'argent qu'il ne pourra en depenser.
Maintenant, il existe une methode plus "soft" de regler le probleme. Il s'agit de modifier le pilote "bas niveau" utiliser par le systeme pour une version qui modifie les requetes a la couche 1 du model OSI pour fournir une version eronee de l'adresse MAC.
Je ne me souviens plus exactement de la maniere donc un systeme de communication est sensee travailler a ce niveau, mais si je me souviens bien aussi bien au niveau de la passerelle (qui peut etre aussi bien un serveur DHCP, qu'un routeur, qu'un switch...) que du poste de l'utilisateur, lors de l'etablissement de la communication il y a une transaction au niveau des couches 1 des deux systemes et pas necessairement (ni exclusivement) en protocole IP. C'est a ce niveau qu'il faut intervenir, car si les systemes sont bien faits (et sures), la requete d'identification de l'adresse MAC n'est pas sensee remonter aux niveaux applicatifs du model OSI (niveau 6 et ulterieurs) du "client" qui est l'endroit ou le processeur du poste utilisateur entre en jeu.
En resume, il faut donc partiellement (voir integralement) modifier la pile de traitement ethernet/wifi/fddi/tolken ring... Et surtout suffisament tester sa nouvelle implementation pour s'assurer que toutes les normes sont correctement respecter (a la modification de l'adresse MAC pres, et de tous les supplements ainsi entraines). Pour avoir travailler sur des systemes equivalents, je peux vous dire que la simple obtention des normes est deja en elle-meme un probleme, et cela uniquement pour des raisons budgetaires.
Maintenant si le "rigolot" qui veut faire cela a les normes, il lui faut soit etre aussi un specialiste de la conception des systemes electroniques pour creer sa propre carte reseau, la tester et la produire, soit avoir un compere qui peut le faire pour lui ; sachant que de toute facon le prix de la creation d'un exemplaire unique est hors de prix pour le niveau de qualite necessaire (surtout pour un particulier). La derniere possibilitee etant qu'il est un reseau d'information suffisant pour obtenir toutes les informations (plans, caracteristiques, pcb, layout, data sheets constructeur, voir specifications techniques, manuel developper...) d'une carte grand public ; or toutes ces informations etant des secrets industriels, elles ne sont certainement trouvable comme cela en faisant une simple recherche internet.
Sinon il y aurait pas tant de probleme que cela pour creer des pilotes gratuits pour certains composants.
Apres, il lui reste la chance. En effet, aucun logiciel n'etant exempt de bug, il peut peut-etre en trouver un dans l'implantation d'un constructeur qui lui permette d'arriver a ses fins. Maintenant, il ne faut pas oublier que les constructeurs eux-meme sont controles, et controlent eux-memes leurs produits donc ce bug risque d'etre rapidement trouve et corrige. En effet, si le constructeur veux continuer a vendre ses produits aux clients veritablements interessants pour lui (c'est son but ;-) malgres tout), alors il ne peut pas se permettre de laisser passer une telle erreur. Il y a trop de concurrence sur son marche.
Quand a la remarque sur la soit disant seule securite avec du WPA, c'est un peu risible. Excusez moi.
Tous les "vrais" programmeurs pourront vous le confirmer, aucune protection purement logicielle est infaillible.
D'accord l'effort necessaire a casse un systeme WPA est loin d'etre negligeable, surtout en necessite de connaissance et de temps de calcul. Si bien que le temps que la personne decouvre la dite cle, alors l'information risque d'etre obsolete. Deplus, son effort risque d'etre detecte si la cible est reelement administre par un professionnel et donc la cle pourra avoir changer entre temps d'ou le besoin de recommencer.
Prenons un exemple : disont qu'il faut a une personne 10 jr pour casse une cle WAP 128-bits d'un systeme ; l'administrateur du systeme cible detecte une requete inconnue dans son journal de log le 2e jour, apres enquete (5 jrs) il dit que cette requete est anormale, voir une tentative d'intrusion. Il decide alors de rafraichir toute ses cles WAP de son systeme par precaution, cela lui prend 2 jours pour diffuser les nouvelles cles.
Donc au bout de 9 jours, tous les efforts d'intrusions sont a recommencer mais avec le risque toujours d'etre repere.
Non la seule veritable protection ne pourrait etre que purement materiel, mais cela poserait de trop gros probleme en terme d'evolutivite, de maintenance et de gestion.
En effet, prenez l'exemple d'une porte avec une cle. La serrure a une forme unique et n'accepte qu'un seul model de cle. Il est toujours possible de copier la cle, mais l'effort est parfois demesurer par rapport au gain.
Deplus toute modification de la serrure necessite la recreation d'une nouvelle cle.
C'est un peu sur ce principe que le principe de l'adresse MAC doit etre envisage. Son but etant de pouvoir identifier l'origine, et les responsabilites, d'une faiblesse dans le reseau.
Donc a moins d'avoir un reseau particulierement mal configure, les adresses MAC ne sont pas sensees transitees sur le WAN, mais uniquement sur un LAN (jusqu'a la passerelle avec le WAN a la rigueur).
JaI