Qu'est-ce que le MAC spoofing ?

Chaque appareil connecté à un réseau possède un numéro d'iden­ti­fi­ca­tion physique unique : l’adresse media access control, abrégée MAC. Cette burned-in address (BIA) est apposée sur le matériel par le fabricant. Les uti­li­sa­teurs n'ont aucun moyen de réécrire l'adresse MAC. Cependant, il est possible d'uti­li­ser un logiciel de masquage. Il s'agit dans ce cas de MAC spoofing.

• Adresses MAC : Les adresses uniques ma­té­rielles iden­ti­fient les con­trô­leurs d'in­ter­face réseau (NIC) tels que les cartes LAN ou les adap­ta­teurs WLAN, ainsi que les pé­ri­phé­riques terminaux dans les réseaux locaux. Chaque adresse MAC comprend 48 bits, soit 6 octets, et est re­pré­sen­tée comme suit : 00:81:41: fe: ad: 7e. Les 24 premiers bits cor­res­pon­dent au code du fabricant assigné par l'Ins­ti­tute of Elec­tri­cal and Elec­tro­nics Engineers (IEEE), et les 24 bits suivants au numéro de dis­po­si­tif défini par le fabricant.

• Spoofing : dans la ter­mi­no­lo­gie de réseau, le spoofing se réfère à diverses méthodes utilisées pour manipuler les systèmes d'adres­sage de base dans les réseaux in­for­ma­tiques. Les pirates in­for­ma­tiques utilisent ce schéma d'attaque pour dis­si­mu­ler leur propre identité ou en imiter une autre. Les cibles les plus po­pu­laires pour les attaques de spoofing sont le protocole Internet (IP), le Domain Name System (DNS) et l'adresse MAC de ré­so­lu­tion d'adresse via le protocole Address Re­so­lu­tion Protocol (ARP). Le spoofing, à l’origine, peut être utilisé comme une stratégie de ré­so­lu­tion en cas de problèmes et pour le dépannage. Toutefois, dans la pratique, cette technique est le plus souvent utilisée pour l'in­fil­tra­tion de systèmes étrangers dans le cadre d'ac­ti­vi­tés illégales.

En théorie, chaque pé­ri­phé­rique réseau dans le monde peut être identifié par son adresse MAC. Mais tous les uti­li­sa­teurs ne veulent pas forcément bé­né­fi­cier de cette trans­pa­rence sur Internet. L'une des raisons pour les­quelles on peut masquer une adresse MAC est la pro­tec­tion de la vie privée, par exemple dans les réseaux wifi publics. Cette uti­li­sa­tion légitime du MAC spoofing connaît aussi un pendant plus sombre, dans lequel les uti­li­sa­teurs modifient des adresse MAC pour con­tour­ner les res­tric­tions d'accès et les mesures de sécurité, ou pour imiter l'iden­tité d'un autre pé­ri­phé­rique réseaux à des fins illégales.

Certains in­ter­nautes préfèrent cacher l'iden­tité de leur appareil derrière une fausse adresse MAC pour protéger leur vie privée. L’une des raisons, c’est que les adresses MAC sont gé­né­ra­le­ment envoyées en clair dans les réseaux publics LAN ou WLAN. Chaque personne connectée sur le réseau peut ainsi tracer tous les appareils connectés, lire les adresses ma­té­rielles cor­res­pon­dantes, et les utiliser pour des activités illégales. Les pirates in­for­ma­tiques utilisent cette pos­si­bi­lité pour surfer ano­ny­me­ment. En général, on imite l'adresse MAC d'un autre pé­ri­phé­rique réseau afin de tirer parti de ses au­to­ri­sa­tions, et de trans­fé­rer la res­pon­sa­bi­lité des activités illégales à d'autres uti­li­sa­teurs.

Pour protéger les systèmes in­for­ma­tiques contre les menaces internes et externes, les ad­mi­nis­tra­teurs mettent parfois en œuvre des mé­ca­nismes de sécurité qui limitent l'accès au réseau local aux pé­ri­phé­riques autorisés. Au niveau du réseau, des éléments de couplage, par exemple com­mu­ta­teurs Ethernet via la sécurité des ports per­met­tent de filtrer le trafic réseau sur la couche OSI 2. Les grands réseaux sont divisés en segments plus petits par des com­mu­ta­teurs. Si une connexion est établie d'un segment à un autre, l'élément de couplage in­ter­mé­diaire vérifie l'adresse MAC du pé­ri­phé­rique émetteur, et la compare à une liste blanche créée par l'ad­mi­nis­tra­teur. Si l'adresse est inconnue, le com­mu­ta­teur ver­rouille le port en question, et empêche la tentative de com­mu­ni­ca­tion. Les réseaux WLAN peuvent également être limités aux pé­ri­phé­riques réseau connus par des filtres MAC. Le MAC spoofing, cependant, permet aux pirates in­for­ma­tiques de con­tour­ner les mesures de sécurité de ce type. En fait, les listes blanches MAC ne cons­ti­tuent qu’une faible pro­tec­tion. Pour masquer l'adresse ma­té­rielle de votre propre or­di­na­teur derrière celle d'un pé­ri­phé­rique réseau autorisé, il vous suffit de con­fi­gu­rer ma­nuel­le­ment les pa­ra­mètres réseau du système d'ex­ploi­ta­tion cor­res­pon­dant. Linux, Mac OS X et Microsoft Windows per­met­tent aux uti­li­sa­teurs d'établir des con­nexions LAN avec n'importe quelle adresse MAC. Les adresses ma­té­rielles des cartes WLAN, en revanche, ne peuvent pas être ma­ni­pu­lées fa­ci­le­ment sous Windows.

Parfois, les ap­pli­ca­tions lo­gi­cielles sont limitées à un certain nombre d'ap­pa­reils. Ceux-ci ne peuvent être exécutés que sur des systèmes dont les adresses MAC sont spé­ci­fiées dans le contrat de licence. Si l'un de ces appareils doit être remplacé en raison d'erreurs ma­té­rielles, il n’est en général plus possible d’utiliser le logiciel avec le nouvel appareil. Certains uti­li­sa­teurs con­tour­nent cette res­tric­tion en réé­cri­vant la nouvelle adresse ma­té­rielle du côté logiciel, de sorte qu'elle cor­res­ponde à celle du contrat de licence. Toutefois, cette technique n'est pas re­com­man­dée.

Du point de vue du four­nis­seur, il est possible de con­si­dé­rer ce type de MAC spoofing comme une obtention frau­du­leuse d’une pres­ta­tion et d’intenter une action en justice. Il est re­com­mandé aux ti­tu­laires de licence de plutôt com­mu­ni­quer avec le four­nis­seur, et lui demander s'il est possible de remplacer le matériel. Si le MAC spoofing est utilisé pour accéder à des ap­pli­ca­tions lo­gi­cielles payantes ou à des services en ligne via l'imi­ta­tion d'un terminal autorisé, il s'agit dans tous les cas d'une violation de la loi.

Pour masquer une adresse MAC, il suffit de se rendre dans les pa­ra­mètres réseau via le panneau de con­fi­gu­ra­tion Windows, et de définir un nouveau numéro d'iden­ti­fi­ca­tion côté logiciel. Le système d'ex­ploi­ta­tion envoie ensuite des paquets de données au réseau local avec l'adresse MAC définie par l'uti­li­sa­teur. Les ins­truc­tions suivantes il­lustrent pas à pas comment procéder à un MAC spoofing sous Windows 7. La con­fi­gu­ra­tion sous d'autres versions de Windows suit le même schéma, mais peut différer sur certains détails.

Dès que vous confirmez vos pa­ra­mètres en cliquant sur OK, votre carte réseau dé­con­necte le LAN et en configure un nouveau à l'aide de la LAA per­son­na­li­sée.

En plus du recours aux pa­ra­mètres réseau, les uti­li­sa­teurs Windows peuvent modifier l'adresse MAC dans le registre du côté logiciel. Cette procédure n'est toutefois con­seil­lée qu’aux uti­li­sa­teurs ex­pé­ri­men­tés.

Pour accéder au registre Windows, entrez la commande regedit dans la barre de recherche et lancez l'éditeur de registre. Naviguez ensuite vers l'entrée suivante :

HKEY_LOCAL_MACHINE\SYSTEM\Cur­rent­Con­trol­Set\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}

Vous trouverez ici des sous-dossiers numérotés (0000,0001,0002 etc.) ; il s’agit de trouver celui dont l'entrée Dri­ver­Desc contient le nom de votre carte réseau. Si une entrée Net­wor­kAd­dress est située dans ce dossier, faites un clic droit dessus et sé­lec­tion­nez "Modifier" dans le menu con­tex­tuel. Ensuite, entrez l'adresse MAC de votre choix.

S'il n’y a pas encore d'entrée cor­res­pon­dante, il faut la créer vous-même grâce à un clic droit, "Nouveau" puis "Chaîne".

Au lieu de modifier ma­nuel­le­ment l'adresse MAC via les pa­ra­mètres réseau ou le registre Windows, les uti­li­sa­teurs peuvent utiliser des solutions lo­gi­cielles spé­ci­fiques et gratuites, telles que Tech­ni­tium MAC Address Changer, ou Windows 7 MAC Address Changer.

• Tech­ni­tium MAC Address Changer permet aux uti­li­sa­teurs de gérer très fa­ci­le­ment les cartes réseau à travers une interface uti­li­sa­teur claire. Ce freeware, en plus d’offrir une vue d'en­semble de toutes les con­nexions et des adresses MAC actuelles du matériel utilisé, comporte une fonc­tion­na­lité per­met­tant de les modifier di­rec­te­ment. L'iden­ti­fi­ca­tion d'origine et l'adresse MAC modifiée sont sau­ve­gar­dées dans l'outil. Un gé­né­ra­teur intégré produit des pro­po­si­tions aléa­toires à la demande. Tech­ni­tium MAC Address Changer est dis­po­nible pour Windows 7, 8 et 10, et fonc­tionne sur les versions 32 bits et 64 bits. Dès que l'uti­li­sa­teur effectue des réglages dans l'in­ter­face, le programme entre les valeurs cor­res­pon­dantes dans le registre Windows. Il n’est plus né­ces­saire d’in­ter­ve­nir ma­nuel­le­ment, de sorte qu’il n’y a plus de risque de com­pro­mettre la stabilité du système par des entrées in­cor­rectes dans la base de données. L’ensemble des réglages peut être restauré à tout moment grâce au bouton " Restore Original".
• Win7 MAC Address Changer fonc­tionne également sous Windows Vista et Windows 8. Ce logiciel gratuit offre une gamme de fonc­tion­na­li­tés si­mi­laires à celle du Tech­ni­tium MAC Address Changer. Le MAC spoofing se fait en quatre étapes : sélection de la carte réseau, choix du système d'ex­ploi­ta­tion, sélection de l'adresse MAC souhaitée, con­fir­ma­tion des pa­ra­mètres grâce au bouton « modifier ». Win7 MAC Address Changer facilite également la tâche des uti­li­sa­teurs grâce au bouton Randomize. Enfin, l’option "Réi­ni­tia­li­ser par défaut" permet de restaurer les pa­ra­mètres par défaut.

De même que pour le MAC spoofing manuel, l'adresse physique n'est pas modifiée lorsque l’on utilise les pro­grammes présentés. Le système d'ex­ploi­ta­tion fait sim­ple­ment croire que l'adresse définie par l'uti­li­sa­teur et ad­mi­nis­trée lo­ca­le­ment cor­res­pond à l'adresse uni­ver­sel­le­ment ad­mi­nis­trée.