Antoine Mamcarz

BTS SIO

Bloc 3 : Cybersécurité des

services informatique.
01 - La couche accès réseau -
adressage
Compétences abordées :
B3.1 Protéger les données à caractère personnel.
B3.2 Préserver l'identité numérique de l'organisation.
B3.3 Sécuriser les équipements et les usages des utilisateurs.
B3.4 Garantir la disponibilité, l'intégralité et la confidentialité des services informatiques et
des données de l'organisation face à des cyberattaques.
B3.5 Assurer la cybersécurité d'une infrastructure réseau, d'un système, d'un service.
 La couche accès réseau
Identifier un ordinateur sur un réseau
Vous avez peut-être choisi le nom de votre ordinateur, mais pour le reste du monde, il est surtout
connu par le biais de deux adresses : son adresse IP et son adresse MAC (Media Access Control).

Une adresse IP est codée sur 32 bits que l’on décomposera en 4 nombres compris entre 0 et 255. Par
exemple : 192.168.0.1 ou encore 8.8.8.8 . Nous parlerons plus en détail des adresses IP par la suite.

Convertissez en binaire les adresses IP suivantes :

192.168.0.1

10.25.4.251

Une adresse mac est codée sur 48 bits que l’on découpe habituellement en 12 chiffres
hexadécimaux. Par exemple : 01-00-5e-00-00-16 ou encore

b4-f1-da-ea-51-63. Chaque carte réseau a sa propre adresse mac initialement attribuée par le
fabricant du matériel. Il est possible de la changer.

Convertissez en hexadécimal les adresses mac suivantes :

0001 0001 0000 1101 0010 0100 1010 1011 1100 1110 0100 1100

0001 0110 1001 1101 1011 1111 0001 0101 0100 0001 1011 0110

Structure d’une adresse MAC

Sur les réseaux qui nous intéressent (Ethernet, Wifi, et à la limite Bluetooth), chaque carte réseau
dispose d’une adresse MAC. L’IEEE (Institute of Electrical and Electronics Engineers) est en charge de
la gestion de ces adresses. Ce sont eux qui ont défini le standard, et ce sont eux qui les répartissent
entre les différents constructeurs. Comme déjà dit, une adresse MAC est codée sur 48 bits. Ces bits
sont répartis de la façon suivante :

1 bit I/G : indique si l'adresse est individuelle, auquel cas le bit sera à 0 (pour une machine
unique, unicast) ou de groupe (multicast ou broadcast), en passant le bit à 1.

1 bit U/L : 0 indique que l'adresse est universelle (conforme au format de l'IEEE), et 1 que l’adresse
est administrée localement (c’est-à-dire que quelqu’un d’autre a décidé de changer l’adresse MAC du
périphérique pour une raison qui lui appartient).

22 bits réservés : tous les bits sont à zéro pour une adresse locale, mais la plupart du temps, ils
contiennent l'adresse du constructeur.
24 bits : adresse unique (pour différencier les différentes cartes réseaux d'un même constructeur).

Le protocole Ethernet
Le protocole Ethernet s’occupait à l’origine de la détection et de la gestion des collisions (CSMA/CD
Carrier Sense Multiple Access with Collision Detection), mais depuis l’invention du switch, ce n’est
plus nécessaire bien que cette fonctionnalité soit toujours implémentée en cas de besoin. Depuis
qu’un ordinateur est seul sur son câble réseau, les communications peuvent se faire en mode full
duplex (possible d’émettre et de recevoir simultanément).

Une trame Ethernet respecte le format suivant :

En octets
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 … 1513 1514 1515 1516 1517
Adresse MAC Type de
Adresse MAC source Données FCS/CRC
destination protocole

Le champ type de protocole peut prendre les valeurs suivantes :

 0x0800 : IPv4
 0x86DD : IPv6
 0x0806 : ARP
 0x8035 : RARP
 0x809B : AppleTalk
 0x88CD : SERCOS III
 0x0600 : XNS
 0x8100 : VLAN

Le champ CRC contient un moyen de vérifier que la transmission s’est faite sans problème.
Formellement, il contient le reste de la division de la trame par le nombre appelé CRC32 : 1 0000
0100 1100 0001 0001 1101 1011 0111 . Le récepteur recalcule le reste de cette division et
redemande la transmission s’il ne trouve pas le même résultat.

Le protocole ARP (Address Resolution Protocol)

Le protocole ARP sert à traduire une adresse réseau IP en une adresse physique. Si un poste désire
envoyer un paquet IP à un poste appartenant au même réseau physique que lui, il doit connaître
l'adresse physique du destinataire. Or, il ne connait que son adresse IP. Le protocole ARP va lui
permettre de trouver l'adresse physique du poste destinataire.
Ce mécanisme est transparent pour l'utilisateur.

Une table de conversion est générée dynamiquement sur chaque hôte dans ce qu'on appelle l'« ARP
cache ». Quand ARP reçoit une demande de conversion, il consulte sa table. Si l’adresse physique s’y
trouve, il la renvoie. Sinon, il envoie un paquet spécial « ARP Request Packet » à tous les hôtes du
même réseau physique en y incluant l’adresse IP à rechercher. Il utilise pour cela l'adresse broadcast
MAC :
FF-FF-FF-FF-FF-FF. La machine possédant l'adresse réseau IP demandée répond en lui renvoyant donc
son adresse physique qui est alors placée dans la table ARP. Si aucune réponse n'est reçue dans un
délai imparti, la requête est envoyée à nouveau. Le contenu de l'ARP Cache est généralement
conservé jusqu'à l'extinction de la machine hôte. Lors du démarrage de la machine, l'ARP Cache est
vide.
 Remarques:
•Routeurs et requêtes ARP

Les requêtes ARP ne passent pas les routeurs, qui relaient des informations au niveau de la
couche réseau mais pas du trafic broadcast MAC.

•ARP Spoofing (ou ARP Redirect)

Si une machine non fiable a accès au réseau physique et émet de faux messages ARP pour
corrompre le cache ARP d'une machine cible et d'en détourner tout le trafic vers elle-même
afin d'en d'écouter et/ou modifier les données (attaque par ARP spoofing). La machine pirate
se rend transparente en reroutant le trafic en ayant activé l'IP Forwarding. Il existe donc un
certain risque lié à l'utilisation du protocole ARP, même sur des réseaux segmentés par des
switchs.

Trames ARP
Un paquet ARP respecte le format suivant :

1 2
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 7 18 19 20 21 22 23 24 5 26 27 28
Type de Type de
opération MAC émetteur IP émetteur MAC destinataire IP destinataire
réseau protocole

Les octets 5 et 6 contiennent respectivement la longueur (en octet) d’une adresse mac et d’une
adresse IP.

Le type de réseau sera généralement 0x0001 pour Ethernet, le type de protocole sera en général
0x0800 pour IP.

Le champ opération contiendra 0x0001 pour une question et 0x0002 pour une réponse.

Exercice :

Décodez cette trame Ethernet :

octet 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22
valeur FF FF FF FF FF FF 01 00 5E 00 00 16 08 06 00 01 08 00 6 4 00 01

octet 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46
valeur 01 00 5E 00 00 16 C0 A8 00 01 00 00 00 00 00 00 C0 A8 00 02 02 1C 4E 33
Puis celle-là :

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22
01 00 5E 00 00 16 1E 06 4C 21 2A 16 08 06 00 01 08 00 6 4 00 02

23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46
A
1E 06 4C 21 2A 16 C0 A8 00 02 01 00 5E 00 00 16 C0 A8 00 01 B 1C 3F 2B

La commande ARP :

1. Consultez l’aide de la commande ARP en tapant arp -help

2. Supprimez votre cache ARP en tapant la commande arp –d *
3. Afficher le cache ARP en tapant la commande arp -a
4. Faire un ping vers l’ordinateur d’un de vos camarades.
5. Revérifier le contenu de votre cache ARP.