attaque internet

Jean-marie B

Membre actif
9 Janvier 2011
573
32
Belgique
Bonjour,
Je suis passé au Mac depuis près d'un an et venant du monde pc, j'ai installé Norton anti-virus.
Il n'avait jamais rien détecté, mais depuis début octobre, il m'a bloqué 11 attaques et elles s'appellent : "Arp cache poison"

Est-ce que vous savez de quoi il s'agit et si j'ai commis une erreur !


J'avoue que je n'avais pas activé le pare-feu.

Merci d'avance.

B.A.V.

jm
 
Bonsoir,

Activer le pare-feu est vraiment nécessaire... Et certainement plus utile qu'un antivirus. Je n'ai pas les connaissances techniques pointues nécessaires pour rentrer dans les détails de ce qu'est ce type d'attaque, bien qu'on trouve pas mal d'infos sur Internet (pour le plus simple : http://fr.wikipedia.org/wiki/ARP_poisoning). Mais je retiens ceci, en provenance de Symantec :

  • La menace est limitée et n'implique pas de prendre des mesures en urgence
  • Il peut y avoir de fausses alertes
Source (en anglais) : http://community.norton.com/t5/Norton-for-Mac/Vulnerability-Blocked-ARP-Cache-Poison/td-p/52959 (notamment le tout dernier post où des solutions sont proposées).

Pour info : à une personne qui s'inquiète de ces alertes lancées par Norton sur le forum de l'Apple Support, un intervenant expérimenté recommande simplement de désinstaller Norton et de bien veiller à activer le pare-feu... ;)
(https://discussions.apple.com/message/15935965#15935965)
 
Dernière édition par un modérateur:
Bonjour,

L'ARP poisoning, c'est de l'usurpation d'identité au niveau de l'adresse mac.
ARP, c'est un protocole réseau qui permet d'obtenir l'adresse mac d'un équipement à partir de son adresse IP.
Une adresse mac est associée à une carte réseau, et est unique (au niveau mondial). Elle n'est (en principe...) pas configurable.

Pour faire simple, quand ton Mac "cause" sur ton réseau local, il garde en mémoire (dans un cache ARP) l'association adresse mac-adresse IP des équipements avec lesquels il communique.
Sur le Mac, on peut voir cette table dans une fenêtre Terminal en passant la commande arp -a

A chaque fois que le Mac veut causer avec une nouvelle machine, il envoie une requête ARP pour avoir son adresse mac. Si cette nouvelle machine répond avec une adresse mac qui est déjà présente dans la table ARP du Mac, on rencontre un cas d'ARP poisoning.
Norton constate le pb, et fait monter une alerte.
Maintenant, l'usurpation d'identité (au niveau de l'adresse mac) ne peut être le fait que d'une machine de ton réseau local (l'adresse mac ne voyage pas dans un réseau routé, donc sur internet)

Je ne sais pas si c'est un réseau d'entreprise ou familial, mais, si c'est chez toi, il y a peu de chance que le petit dernier fasse du détournement de trafic...:)
Le lien de Cratés est drôle. Norton préconise de désactiver le contrôle...
http://community.norton.com/t5/Norton-for-Mac/Vulnerability-Blocked-ARP-Cache-Poison/td-p/52959

Maintenant, si c'est un réseau d'entreprise, il faut peut-être prendre ça au sérieux, et bien regarder les logs de Norton. Il doit y avoir des éléments (adresses mac, ip,...)

Quant au pare-feu du Mac, ça m'étonnerait qu'il prenne en charge ce genre de pb...:confused:
 
Normalement tu as un pare feu intégré avec ton AV ce qui rend inutile l'activation du pare feu MAC, en tout cas j'ai virus barrier et j'ai ce principeet jusqu'a maintenant ça marche !:rolleyes:
 
Bonjour,

Et merci à tous.

C'est un réseau privé avec : 2 macs, un routeur adsl Belgacom, une airport extreme, un Nas, une imprimante réseau et un décodeur sat.


Norton dit de toute façon : "attaque bloquée".
Pour mangacx : pourquoi c'est bien fait ?

Je ne suis pas fou, le pare-feu de mon routeur était bien activé !
Maintenant, je viens d'activer le pare-feu des macs, mais est-ce que cela ne va pas ralentir le transfert de données internet ? (2 pare-feu !).

jm
 
Je crois qu'il n'y a pas de motif de s'affoler. Encore une fois, la possibilité d'un faux positif est très élevée (Norton le laisse entendre à demi-mot, mais sans oser trop insister, d'où le conseil amusant relevé par Polo35230 : désactiver le contrôle...).
 

Alors là, c'est vrai que, pour le coup, le réseau local ne serait plus un réseau familial...:D
Maintenant, ce serait étonnant que les réseaux wifi (privé et public) de la BBox ne soient pas cloisonnés. Ils le sont certainement.

Côté Norton, il doit y avoir aussi certainement la possibilité d'autoriser uniquement les adresses mac des équipements habilités à communiquer avec le Mac.