Qu'est-ce qu'une attaque par inondation MAC ? Tout ce que vous devez savoir à ce sujet.

Publié le Thu, Jul 17, 2025 | il y a 5 jours
Qu'est-ce qu'une attaque par inondation MAC ? Tout ce que vous devez savoir à ce sujet.

Une attaque par inondation MAC est un type de cyberattaque menée par des pirates informatiques pour voler les données des utilisateurs sur un réseau local. Les réseaux connectés à Internet ne font pas exception. Lors de cette attaque, les pirates submergent le commutateur réseau de paquets de données.

Un commutateur est en fait un système qui trie les paquets de données entrants sur un réseau et les transmet à l'appareil concerné. Cet article de blog vous fournira toutes les informations nécessaires sur une attaque par inondation MAC : sa nature, son fonctionnement, et bien plus encore.

Qu'est-ce qu'une attaque par inondation MAC ?

L'inondation MAC est une cyberattaque menée via l'adresse MAC (Media Access Control) propre à chaque appareil. Cette adresse permet d'identifier les appareils sur un réseau local. Grâce à ces adresses (MAC), les appareils sont catégorisés et des connexions sont établies avec les ports correspondants d'un réseau local pour transmettre les données.

Le système qui reçoit les données sur un réseau local et les transmet au port approprié de l'appareil est appelé commutateur. Un commutateur possède une table de transfert (également appelée table CAM) contenant toutes les adresses MAC correspondantes pour les ports physiques qui y sont répertoriés.

Lorsqu'un commutateur reçoit des paquets de données d'une nouvelle adresse MAC, il ajoute cette adresse à sa table de transfert et la relie au port correspondant, garantissant ainsi le bon fonctionnement des services.

Les pirates informatiques inondent la table CAM de faux paquets de données en masse, utilisant l'usurpation d'adresse MAC ou des adresses aléatoires. Lorsque la table CAM (mémoire accessible au contenu) est remplie, on atteint un point appelé « Fail Open Mode ».

À ce stade, le commutateur transfère tous les paquets de données reçus vers chacun de ses ports, et non plus seulement vers le port de destination. C'est ainsi que démarre une attaque par inondation MAC.

Fonctionnement des attaques par inondation MAC (étape par étape)

Pour une compréhension plus approfondie, voici une explication étape par étape du fonctionnement pratique des attaques par inondation MAC.

L'attaquant se connecte au réseau local

Pour lancer une attaque par inondation MAC, les attaquants se connectent d'abord à un réseau local. Notez que l'inondation MAC ne peut être effectuée que dans le domaine de diffusion d'un commutateur et ne peut pas être exécutée à distance.

Pour accéder au réseau local, les attaquants emploient différentes méthodes. Les plus courantes sont :

  • Se connecter physiquement à un port Ethernet dans un bureau
  • Se connecter à un réseau Wi-Fi non sécurisé ou mal segmenté
  • Exploiter un appareil interne compromis

Générer des adresses MAC sources aléatoires

Après s'être connectés à un réseau local, les attaquants génèrent un grand nombre d'adresses MAC aléatoires. Ils usurpent parfois les adresses MAC d'origine. Ces adresses sont utilisées comme adresses MAC sources dans les trames Ethernet.

Pour ce faire, ils utilisent divers outils de hacking. Grâce à ces adresses, ils envoient des paquets de données en masse sur le réseau. Sur le réseau, ces paquets de données semblent provenir de différents appareils ; en réalité, ils proviennent tous d'un seul appareil.

Surcharger la table CAM

Les attaquants envoient des paquets de données au réseau local à très haut débit. Comme mentionné précédemment, lorsque des paquets de données provenant d'une nouvelle adresse MAC apparaissent, le commutateur les ajoute à la table CAM. Cependant, chaque table CAM a sa propre limite.

Les attaquants continuent d'envoyer de faux paquets de données jusqu'à ce que la table CAM atteigne sa capacité maximale. Une fois cette limite atteinte, le commutateur cesse d'apprendre et d'ajouter de nouvelles adresses MAC.

Ils oublient également l'adresse MAC précédemment enregistrée en raison de changements rapides et atteignent un point appelé « Mode d'ouverture en échec ».

Le trafic est désormais diffusé

Lorsque le commutateur atteint le « Mode d'ouverture en échec », il diffuse tout le trafic entrant vers tous les ports actifs. La raison est qu'il ne sait plus où se trouvent les véritables adresses MAC de destination.

Lorsque cela se produit, tous les utilisateurs du réseau commencent à recevoir des segments de trafic qui ne leur sont pas destinés.

De plus, les appareils commencent également à ignorer la source et la destination du trafic, à l'exception de celui utilisé par le pirate à ce moment-là.

Un renifleur de paquets est utilisé pour capturer des données

Enfin, les pirates utilisent des renifleurs de paquets pour analyser chaque trame Ethernet diffusée. À ce stade, l'attaquant peut :

  • Consulter les e-mails, noms d'utilisateur ou mots de passe non chiffrés
  • Surveiller les transferts de fichiers ou les communications internes
  • Extraire les cookies de session pour pirater les identifiants (s'ils ne sont pas chiffrés)

Si le trafic n'est pas chiffré, l'attaquant peut également obtenir une visibilité complète.

Comment détecter une attaque par inondation MAC ?

Les attaques par inondation MAC peuvent compromettre discrètement un réseau. Une détection précoce est donc cruciale. Voici quelques méthodes pour vous aider à repérer ces attaques avant qu'elles ne causent de graves dommages.

1. Comportement inhabituel du réseau

Une dégradation inattendue des performances du réseau est l'un des signes les plus évidents de cette attaque. Lorsque le commutateur diffuse les paquets de données pendant l'attaque, les appareils connectés au réseau commencent à recevoir un trafic excessif. Cela entraîne un ralentissement des performances Internet et des déconnexions inattendues.

Si votre réseau ralentit soudainement sans aucune tâche consommatrice de bande passante connue, examinez-le immédiatement. En particulier au niveau de la couche 2, cruciale pour un réseau local (LAN).

2. Surveillance des journaux des commutateurs et des modifications de la table CAM

Les commutateurs gérés conservent la trace des adresses MAC dans leur table CAM. En conditions normales, une adresse MAC correspond à un port spécifique.

Cependant, lors d'une attaque par inondation MAC, de nombreuses adresses MAC apparaissent sur un même port. Il arrive parfois que la table se remplisse rapidement d'adresses aléatoires.

Surveillez régulièrement les journaux et les tables d'adresses MAC de vos commutateurs. Si vous constatez des modifications fréquentes et des débordements de table répétés, votre réseau est peut-être victime d'une attaque par inondation MAC.

3. Alertes et interruptions SNMP des commutateurs gérés

Les commutateurs intelligents et gérés prennent en charge le protocole SNMP (Simple Network Management Protocol). En configurant des interruptions SNMP, les administrateurs réseau peuvent recevoir des alertes lorsque :

  • L’utilisation de la table CAM atteint sa capacité maximale ;
  • Des schémas de trafic suspects sont détectés ;
  • Les ports dépassent leur nombre d’adresses MAC autorisé (via la sécurité des ports) ;

Si le SNMP vous alerte, par exemple lorsque le seuil de la table CAM est atteint, analysez immédiatement les journaux du commutateur manuellement. Si vous remarquez un élément suspect, prenez immédiatement des mesures, comme bloquer l’adresse MAC inconnue ou mettre en œuvre un filtrage MAC.

Comment prévenir l’inondation MAC ?

Plusieurs stratégies permettent de prévenir une attaque par inondation MAC. Nous en présentons ci-dessous quelques-unes des principales.

Filtrage MAC

Le filtrage MAC permet de définir les adresses autorisées à se connecter à un réseau. En limitant l'accès aux appareils connus et fiables, vous pouvez empêcher les appareils non autorisés ou usurpés de se connecter à votre réseau.

Mais comment savoir si l'appareil qui tente de se connecter est fiable ou usurpé ?

La recherche d'adresse MAC peut vous être utile. Elle vous permettra d'identifier le fabricant de l'appareil grâce au préfixe MAC.

Si un appareil indique un fournisseur non enregistré (comme ceux fabriqués à partir de machines virtuelles), vous pouvez approfondir vos recherches avant de l'ajouter à la liste blanche.

Sécurité des ports

La gestion de la sécurité des ports est un autre moyen de vous protéger contre les inondations MAC sur votre réseau. Cette fonctionnalité est principalement disponible sur les commutateurs gérés. Elle permet de limiter le nombre d'adresses MAC autorisées sur chaque port. La sécurité des ports désactive/bloque automatiquement un port en cas de violation détectée.

Une autre mesure importante pour prévenir les cyberattaques consiste à surveiller régulièrement les ports logiciels de chaque appareil.

Pourquoi ?

Parce que les ports ouverts inutilement facilitent l'intrusion des pirates dans un réseau. Ils peuvent être utilisés pour prendre le contrôle d'un appareil et l'utiliser pour lancer une attaque par saturation MAC.

Pour surveiller les ports ouverts de votre réseau, vous pouvez utiliser notre outil de vérification de ports. Si votre appareil réseau affiche des ports ouverts inattendus, cela peut indiquer la présence d'un système malveillant. Ce système pourrait tenter une usurpation d'adresse MAC ou d'autres attaques.

Segmentation du réseau

La segmentation de votre réseau en VLAN (réseaux locaux virtuels) permet de limiter la portée d'une attaque. Si une tentative de MAC flooding se produit sur un VLAN, son impact sera limité à ce segment.

Une segmentation réseau appropriée permet également de garantir que les systèmes sensibles, tels que les serveurs, sont isolés du trafic utilisateur général. Cela réduit leur exposition aux cybercriminels.

Une fois la segmentation réseau mise en œuvre, une attaque ne compromettra qu'un seul segment. Le reste de votre réseau restera isolé.

Conclusion

Une attaque par MAC flooding est un type de cyberattaque où les attaquants inondent un commutateur réseau de paquets de données utilisant de fausses adresses MAC. Ils surchargent la capacité du commutateur réseau, ce qui, une fois terminé, diffuse le trafic entrant vers tous les ports au lieu des ports dédiés. Ainsi, seules les adresses MAC utilisées par les pirates sont accessibles au réseau, ce qui facilite leur collecte de données utilisateur. Cependant, en mettant en œuvre des stratégies préventives, vous pouvez protéger votre réseau local contre les attaques par MAC flooding.

Articles populaires
Comprendre la randomisation des adresses Mac et son fonctionnement ?
Comprendre la randomisation des adresses Mac et son fonctionnement ?
Qu'est-ce que la carte d'interface réseau (NIC) - Définition, objectifs/fonctions et types
Qu'est-ce que la carte d'interface réseau (NIC) - Définition, objectifs/fonctions et types
Qu'est-ce que le filtrage MAC | Tout ce que vous devez savoir à ce sujet ?
Qu'est-ce que le filtrage MAC | Tout ce que vous devez savoir à ce sujet ?