Problème d'usurpation d'adresse (ARP poisoning)

[cledance]

Bonjour à vous toutes et tous

Je suis toute nouvelle sur ce forum et de plus débutante dans le monde de l'informatique.
J'ai acheté mon Ordi que depuis 2 mois et assez rapidement problème.
En effet, à chaque démarrage de WinXP j'ai un message de mon antivirus (Bullguard) "Usurpation d'adresse".
Comment faire pour le contrer ?
Après mettre renseignée sur le web, j'ai compris que j'ai un "pirate" qui récupère mes données sur mon PC.
Merci de vos solutions

[Florian]

Ca peut être aussi que ton PC est en réseau avec un autre qui a la même adresse IP.

[warwink]

Ton ordinateur est-il situé dans un réseau (LAN ou WAN) ou alors un ordinateur personnel à la maison.

Car l'arp poisoning ne se fait que sur un réseau local donc un ordinateur proche.

EDIT: @Florian Je ne pense pas que ce soit ca, car dans le cas où deux ordi on la même adress IP, windows xp le signal au démarrage avec un popup clair.

[cledance]

Tout d'abord merci de votre réactivité.

En fait c'est un PC perso et c'est vrai que j'en ai un 2ème pour ma fille. On se connecte sur le même boitier internet (je ne sais pas si cela peux vous aider).
Par contre celui de ma fille est sous Windows 2000 et elle s'en sert depuis 2 ans.
Quand elle se connecte, je peux le voir sur mon écran. J'ai un message de Windows Média qui me dit que j'ai une périphérique en connection et me demande si je veux qu'elle se connecte au réseau (enfin je crois!). Je ne valide jamais sa demande.
A l'heure actuelle je suis au boulot et je ne peux pas faire de vérif sur mes dires.

[goldkey]

Tu n'aurai pas une borne Wifi ou une box avec le wifi activé ??

[cledance]

Oui c'est exact Goldkey

[5m0k3]

Petite question:

Tu as entré toi meme l'adresse IP de ton ordinateur (sous les ordres d'un tutoriel fourni avec ton modem par exemple) ou tu le relie à internet tout simplement sans avoir rien eu à configurer?

Comment est tu reliée a internet? WIFI ou Cable USB/Ehernet?

Si c'est par cable, il me semble que l'ARP poisonning parait bien compromis...

Une petite info aussi serait nécessaire: allume en meme temps les 2 pc, puis, sur chaque poste:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
démarrer/executer

tape cmd puis entrée

tape dans la console (le truc tout noir avec écrit en blanc dedans):
ipconfig /all

Fait le bien sur les 2 postes, puis donne nous les réponses à ces commandes, cela pourra peut être aider.

++

[goldkey]

Au vue de la situation, je pencherai plutot vers une attaque venant de ton reseau Wifi.
Je pari que sur ta borne Wifi ou ta box tu utilises la mode de cryptage
Wep pour le Wifi et que tu utilises le filtrage d'adresses MAC.
Ainsi ton voisin (le pirate ), une fois la clé Wep cracké, doit utilisé ton adresse MAC (autorisé dans le filtrage d'adresse MAC) pour se connecter a ta borne ou ta box d'ou ton message.
Car je pense que par "usurpation d'adresse" il faut comprendre "usurpation d'adresse MAC" sinon, en général, si c'etait une "usurpation d'adresse IP" le message serait plutot "doublon d'adresse IP sur le reseau"

Si le scénario est bien celui présenté au-dessus la meilleure solution que tu as et de passer au cryptage WPA (bien plus sur) si ta borne ou ta box le permet.

[vincent magnin]

Citation:

Envoyé par goldkey

Ainsi ton voisin (le pirate ), une fois la clé Wep cracké, doit utilisé ton adresse MAC (autorisé dans le filtrage d'adresse MAC) pour se connecter a ta borne ou ta box d'ou ton message.

Il n'y a aucun problème pour un routeur de transmettre les trames à deux matériels ayant la même adresse MAC mais disposant de deux adresses IP différentes. Et il me parait vraiment étonnant que Bullguard (je ne connais pas :/) arrive à le détecter.
Pour savoir si tu as un intrus sur ton réseau, tu fais au plus rapide : utilise le logiciel Wpingall (petite recherche google ) et si il détecte plus de postes que ce qu'il y en a de connectés... là oui tu seras sûre d'être piratée.

Citation:

Envoyé par goldkey

Si le scénario est bien celui présenté au-dessus la meilleure solution que tu as et de passer au cryptage WPA (bien plus sur) si ta borne ou ta box le permet.

C'est faux...
Si le soit disant pirate est arrivé à sniffer les trames wifi, il cassera aussi facilement le WEP et le WPA que le filtrage MAC... ça lui prendra juste plus de temps ... à bon entendeur salut


Je recommande, comme l'a dit 5mok3, de vérifier la configuration du réseau, plutot que de pencher sur d'hypothétiques intrusions.
La bizzarerie ça serait plutôt ça :

Citation:

Envoyé par cledance

J'ai un message de Windows Média qui me dit que j'ai une périphérique en connection et me demande si je veux qu'elle se connecte au réseau (enfin je crois!). Je ne valide jamais sa demande.

N'y aurait-il pas eu de lecteurs réseaux mis en place entre ton pc et celui de ta fille ? Tout autre matériel partagé ?
Sur le pc de ta fille y a-t-il également des messages d'erreur ?

[goldkey]

Citation:

Envoyé par detzom

C'est faux...
Si le soit disant pirate est arrivé à sniffer les trames wifi, il cassera aussi facilement le WEP et le WPA que le filtrage MAC... ça lui prendra juste plus de temps ... à bon entendeur salut

Avec une passphrase WPA de 15 ou 20 caractères alphanumeriques, je serais curieux de savoir en combien de temps tu arriverai a la cracké

[vincent magnin]

Citation:

Envoyé par goldkey

Avec une passphrase WPA de 15 ou 20 caractères alphanumeriques, je serais curieux de savoir en combien de temps tu arriverai a la cracké

Avec un brute force, je l'ai fait sur une clef de 12 caractères (WPA par passphrase), dans le cadre d'une EPTI administration réseau.
5h ont suffi ( 10min pour le WEP et 5min pour le MAC) La seule vraie sécurité c'est Radius

[goldkey]

Citation:

Envoyé par detzom

Avec un brute force, je l'ai fait sur une clef de 12 caractères (WPA par passphrase), dans le cadre d'une EPTI administration réseau.
5h ont suffi ( 10min pour le WEP et 5min pour le MAC) La seule vraie sécurité c'est Radius

Visiblement on a pas les memes experiences

[5m0k3]

Citation:

Envoyé par goldkey

Au vue de la situation, je pencherai plutot vers une attaque venant de ton reseau Wifi.
Je pari que sur ta borne Wifi ou ta box tu utilises la mode de cryptage
Wep pour le Wifi et que tu utilises le filtrage d'adresses MAC.
Ainsi ton voisin (le pirate ), une fois la clé Wep cracké, doit utilisé ton adresse MAC (autorisé dans le filtrage d'adresse MAC) pour se connecter a ta borne ou ta box d'ou ton message.
Car je pense que par "usurpation d'adresse" il faut comprendre "usurpation d'adresse MAC" sinon, en général, si c'etait une "usurpation d'adresse IP" le message serait plutot "doublon d'adresse IP sur le reseau"


Si le scénario est bien celui présenté au-dessus la meilleure solution que tu as et de passer au cryptage WPA (bien plus sur) si ta borne ou ta box le permet.

Tout à fait d'accord avec toi, mais au cas ou? la config réseau des 2 postes peut aider, je pense.

Citation:

Envoyé par detzom

Il n'y a aucun problème pour un routeur de transmettre les trames à deux matériels ayant la même adresse MAC mais disposant de deux adresses IP différentes. Et il me parait vraiment étonnant que Bullguard (je ne connais pas :/) arrive à le détecter.

C'est sur, cela ne posera pas de soucis, cependant, un logiciel d'audit wifi peut très bien déterminer ce genre d'attaque. Si un pirate à infiltré le wifi, ce qui semble fort probable, il à surement usurpé l'adresse MAC d'un des postes (MAC spoofing). Du coup Bullguard à surement détecé une correspondance de cette adresse MAC avec 2 adresses IP. Une manière d'éssayer de contrer ca serai effectivement de passer à un cryptage WPA, filtrer, si possible les IP (ce qui ne servira peut être à rien). Tirer des cables? << Pour moi, c'est le mieux. Monter un Wifi incassable n'est pas donné à tout le monde, et surement pas à un utilisateur lambda. Si il t'es possible de passer à un réseau cablé, fait le.

Sinon,tente une clef WPA, et éssaye d'activer le maximum de sécurité sur ton routeur WIfi.

Tient nous au courant, nous ferons le maximum pour t'aider.

[cledance]

Bonjour à vous tous

Merci de vous intéresser à mon problème.
Je rentre tout juste de vacances et comme par mal chance je n'est plus de connection à Internet. J'ai un problème de réseaux avec mon fournisseur. Donc pour le moment je ne pourrais communiquer qu'avec vous qu'à mon lieu de travail.
Dès ce soir je vais tester ma config comme me l'a demandé 5m0k3 et je vous informerai demain du résultat.
Par contre de passer au cryptage WPA comme l'a proposé goldkey je n'ai absolument aucune idée de savoir comment faire.
A demain

[_solo]

Citation:

Il n'y a aucun problème pour un routeur de transmettre les trames à deux matériels ayant la même adresse MAC mais disposant de deux adresses IP différentes. Et il me parait vraiment étonnant que Bullguard (je ne connais pas :/) arrive à le détecter.

en faisant une recherche sur bullgard tu aurais vu que leur logiciel est un tout en un A-V F-W Anti-SPY etc...

Citation:

Avec un brute force, je l'ai fait sur une clef de 12 caractères (WPA par passphrase), dans le cadre d'une EPTI administration réseau.
5h ont suffi

la cle c'etait un truc du style 111111111111 et encore , parce que casser 12 characteres en 5h .
Pour la soluce j'aurais bien dit a cledance de configurer sa box avec des @mac et @ip statique mais je connais ni la box et je crois que ca va etre difficile pour lui
en tout cas bonne chance cledance

[5m0k3]

Citation:

Envoyé par _solo

Pour la soluce j'aurais bien dit a cledance de configurer sa box avec des @mac et @ip statique mais je connais ni la box et je crois que ca va etre difficile pour lui

Oui mais non.

Si il y a un probleme d'ARP poisonning sur le réseau, il est bien possible que le pirate (si c'en est un) soit facilement en mesure d'usurper l'une des adresses MAC ou IP (encore plus simple) autorisée par le routeur...

Donc au pire, ca le ralentira 1h ou 2...

Cryptage WPA, ou réseau cablé.

Puis,cledance, si tu nous parle un peu plus de ton matériel (type de routeur par exemple) on pourra surement t'en dire plus.

++, 5m0k3

[cledance]

[5m0k3]
[Puis,cledance, si tu nous parle un peu plus de ton matériel (type de routeur par exemple) on pourra surement t'en dire plus]

Mon modem est un alice box version CT633 terminal Triway V2

[vincent magnin]

Citation:

Envoyé par detzom

Je recommande, comme l'a dit 5mok3, de vérifier la configuration du réseau, plutot que de pencher sur d'hypothétiques intrusions.
La bizzarerie ça serait plutôt ça :

Citation:

N'y aurait-il pas eu de lecteurs réseaux mis en place entre ton pc et celui de ta fille ? Tout autre matériel partagé ?
Sur le pc de ta fille y a-t-il également des messages d'erreur ?

C'est amusant comme certaines propositions peuvent passer à la trappe ...
Donc, pour ton problème j'ai effectué quelques recherches, et à mon grand étonnement elles ont été fructueuses.

D'une part je vais te dire que Bullguard est un vilain
Ensuite, que tu peux surement dormir sur tes deux oreilles...


Donc, pour confirmer ce que je pense, peux-tu me dire si tu as les messages d'erreur lorsque tu es certaine d'être le seul pc de ton réseau (donc celui de ta fille éteint) ?
As-tu partagé des médias avec ce pc, ou tout bêtement un dossier, un lecteur réseau ?

Et, pour finir, peux-tu faire un screenshot, et nous le poser ici, du message d'erreur qu'affiche Bullguard. Car selon moi c'est tout bêtement qu'il foire un peu (ahem ? ) sur le requetage NetBios et qu'il doit rester des traces d'un possible partage entre vos pc, créant des requetes NetBios que BullGuard traduit apparemment comme dangereuses