Réseau : identifiez le fabricant d’un appareil connecté avec Wireshark

Qu’est-ce que l’identifiant OUI ?

Quand Wireshark capture le trafic réseau, il permet aux administrateurs de faire correspondre les données véhiculées par le protocole réseau (paquets, segments, datagrammes, etc.) aux ports vers lesquels le trafic réseau est envoyé, aux adresses IP traversées par le trafic et à l’adresse MAC de la carte réseau par laquelle les données sont physiquement transmises.

L’adresse MAC (Media Access Control) correspond au numéro de série unique donné par un fabricant à la carte réseau de son appareil. Et l’identifiant OUI qui nous intéresse plus particulièrement dans le cadre de cet article correspond à la première moitié de cette adresse MAC. Cette première moitié est le numéro unique que l'autorité d'enregistrement IEEE a attribué au fabricant de la carte réseau de l’appareil connecté, soit le plus souvent le fabricant de l’appareil lui-même puisque, hormis les serveurs, la carte réseau est généralement intégrée à l’électronique d’un appareil.

La plupart des cartes réseau modernes sont identifiées par des adresses MAC composées de six octets (48 bits). Celles-ci sont généralement représentées par 12 chiffres hexadécimaux en six paires, séparés par des deux-points ou des tirets, par exemple :

00:00:5E:AB:CD:EF

00-00-5E-12-34-56

Les trois premiers octets, surlignés en jaune ci-dessus, correspondent donc à l’identifiant OUI. À l'origine, les identifiants OUI étaient seulement utilisés pour les fabricants de cartes Ethernet. Mais petit à petit l’OUI s’est imposé pour identifier les fabricants de tous les équipements réseau, c’est-à-dire y compris ceux qui sont derrière les antennes radio – Wifi, Bluetooth, etc. - des appareils connectés comme des points d’accès.

Avec trois octets, soit 24 bits, l’OUI a la capacité d’identifier 16 777 216 fabricants. C’est beaucoup. En revanche, le reste de l’adresse MAC est aussi composé de trois octets, ce qui limiterait chaque fabricant à la production maximale de 16 777 216 appareils réseau durant toute sa carrière. C’est trop peu. Dans les faits, certains fabricants se sont fait attribuer plusieurs identifiants OUI.

Comment fonctionne la recherche OUI de Wireshark ?

Les outils qui cherchent à reconnaître le fabricant qui se cache derrière telle ou telle adresse MAC se contentent en général d’interroger la liste publique de l’IEEE qui correspond aux attributions d’identifiant OUI. Wireshark va plus loin en croisant les données de l’IEEE avec d’autres source, comme les listes d’adresses réservées de l’IANA (Internet Assigned Numbers Authority).

Lorsque vous utilisez Wireshark pour capturer et analyser le trafic réseau, la recherche OUI est intégrée à l'interface de l'analyseur, comme le montre la figure 1 représentant Wireshark en fonctionnement sur un système Linux. Les données OUI sont intégrées à l'affichage, avec toutes les autres données de protocole, et sont mises en évidence dans la capture d’écran ci-dessous.

Le service OUI de Wireshark est également accessible de manière interactive via le site Web de Wireshark à l'adresse suivante : https://www.wireshark.org/tools/oui-lookup.html.

La recherche OUI peut également renvoyer des informations sur les données IAB (Individual Address Block). L'IAB a été remplacé en 2014 par le registre MAC Address Block Small (MA-S) qui remplit la même fonction dans le cadre de l'IEEE. L'IAB et le MA-S sont tous deux utilisés par des fournisseurs qui ont besoin de beaucoup moins de 16 millions d'adresses MAC. Contrairement aux adresses MAC ordinaires, les adresses attribuées dans le cadre de l'IAB/MA-S sont fournies avec un identifiant de fournisseur sur 36 bits. Il ne reste donc que 12 bits, soit 4 096 adresses uniques, pour identifier leurs cartes réseau individuelles.

Quels scénarios d'usage pour la recherche OUI dans Wireshark ?

Comme la recherche OUI Wireshark renvoie des résultats provenant de plusieurs sources de données, elle peut aider les administrateurs réseau à identifier les vulnérabilités en fonction de matériels ou de fournisseurs spécifiques. Voici d'autres raisons importantes d'utiliser la recherche OUI Wireshark :

• Les utilisateurs peuvent rechercher les cartes réseau des périphériques connectés au réseau qui ont été fabriqués par des fournisseurs spécifiques. Cela permet d'identifier les terminaux Wifi, ainsi que de signaler les périphériques IoT, tels que les caméras sans fil cachées.
• Les responsables de la sécurité utilisent la recherche OUI pour créer des adresses de MAC apparemment valides pour les tests de pénétration. La recherche OUI peut aider à différencier les adresses MAC inventées et celles qui sont valides.
• La recherche OUI facilite l'énumération des périphériques réseau, ce qui est important pour de nombreuses raisons, notamment pour améliorer le support informatique et suivre les vulnérabilités potentielles.
• Les utilisateurs peuvent identifier des périphériques réseau spécialisés, tels que des routeurs ou des points d'accès Wifi, en récupérant les informations OUI du fournisseur.
• La recherche OUI peut être utilisée pour identifier des périphériques autrement cachés, tels que des caméras sans fil ou d'autres dispositifs de surveillance qui ont été installés de manière inappropriée ou à l'insu de l'utilisateur à un emplacement donné.

Les utilisateurs de Wireshark peuvent accéder aux informations de recherche OUI recueillies lors de la capture de paquets et utiliser les adresses OUI pour filtrer le trafic vers et depuis des adresses spécifiques. De même, l'utilisation de la page Web de recherche OUI de Wireshark permet aux responsables de la sécurité d'accéder à la base de données à partir du navigateur d'un smartphone.