Adresse MAC

Qu’est-ce qu’une adresse MAC ?

Une adresse MAC est une adresse physique intégrée à l’équipement réseau lors de sa fabrication et qui reste inchangée pendant toute la durée de vie de l’appareil. Contrairement aux identifiants réseau attribués par logiciel, ce marqueur matériel fournit une base stable pour la communication entre appareils au sein d’environnements réseau locaux.

Définition technique

Dans le modèle de réseau OSI, les adresses MAC fonctionnent spécifiquement au niveau de la couche 2, la couche liaison de données. Ce positionnement les distingue fondamentalement des adresses IP de la couche 3. Alors que vos identifiants IP changent chaque fois que vous vous connectez à un réseau différent, votre carte réseau conserve son identifiant MAC d’origine, quel que soit le changement d’emplacement. Les processus de fabrication garantissent que chaque contrôleur d’interface réseau (NIC) reçoit une adresse matérielle distincte, éliminant ainsi les identifiants en double dans des conditions normales.

MAC, « Media Access Control »

La désignation « Media Access Control » décrit une sous-couche spécifique au sein des opérations de liaison de données. Cette sous-couche régit la manière dont les appareils connectés demandent et reçoivent l’autorisation de transmettre des informations sur un support réseau partagé. En tant que pierre angulaire de ce mécanisme de contrôle, les adresses MAC permettent aux commutateurs et aux équipements de routage d’acheminer avec précision les paquets d’informations vers les destinataires prévus au sein du même segment de réseau.

Relation avec la carte d’interface réseau (NIC)

Votre carte d’interface réseau représente le matériel physique qui relie votre ordinateur à l’infrastructure réseau. Lors de la production, les fabricants encodent un identifiant MAC unique dans la mémoire du micrologiciel de chaque carte réseau. Cette adresse intégrée au matériel reste inchangée pendant toute la durée de vie de l’adaptateur. Le remplacement de votre carte réseau implique l’acquisition d’un nouvel identifiant MAC correspondant au matériel de remplacement. La carte réseau utilise cette adresse intégrée pour signaler sa présence lors de l’échange de données avec les périphériques réseau voisins, garantissant ainsi une livraison précise des paquets.

Comment est construite une adresse MAC

Format standard (48 bits, 6 octets hexadécimaux)

La construction d’une adresse MAC suit un modèle de 48 bits, généralement affiché sous la forme de six caractères hexadécimaux appariés. Ces 48 chiffres binaires se traduisent en six segments de 8 bits appelés octets. Il existe différentes conventions d’affichage pour présenter ces informations :

Malgré des présentations visuelles différentes, ces représentations décrivent des adresses matérielles identiques. Les systèmes d’exploitation et les fabricants d’équipements adoptent différentes conventions en fonction de leurs préférences.

Identifiant unique d’organisation (OUI)

Les 24 premiers bits (trois premiers octets) contiennent le segment d’identifiant unique d’organisation. L’autorité d’enregistrement de l’IEEE distribue ces blocs OUI aux fabricants de matériel, garantissant ainsi à chaque entreprise des plages d’identifiants exclusives pour ses produits. Prenons l’exemple d’une carte réseau affichant 18-67-B0-51-5B-D2 : la partie 18-67-B0 identifie le fabricant spécifique.

Les fabricants attribuent les 24 bits restants (les trois derniers octets) pour créer des parties spécifiques à chaque appareil. Cette architecture permet aux fabricants de créer plus de 16 millions d’identifiants d’appareils distincts dans chaque bloc OUI attribué.

Variante locale ou universelle (bit U/L)

Des positions de bits spéciales dans les adresses MAC indiquent leur type d’administration. La septième position de bit dans le premier octet, appelée bit U/L (désignation universelle/locale), révèle cette classification :

• Adresse MAC universelle : une valeur zéro ici signifie une attribution par le fabricant conformément aux normes d’unicité mondiales. La plupart des matériels réseau commerciaux sont livrés avec cette configuration.
• Adresse MAC locale : une valeur de un indique une configuration manuelle par les administrateurs réseau ou les applications logicielles.

La huitième position binaire (bit I/G) dans le premier octet détermine l’adressage individuel ou de groupe pour les scénarios de multidiffusion et de diffusion.

Pourquoi avons-nous besoin d’une adresse MAC ?

Identification des appareils sur le réseau local

Les adresses MAC servent principalement à distinguer les appareils individuels partageant le même segment de réseau. La transmission de données nécessite à la fois des informations de routage logique (adresse IP) et des coordonnées de livraison physique (adresse MAC). Les commutateurs construisent des tables de mappage internes reliant les adresses MAC à des ports physiques spécifiques, ce qui permet un transfert de données ciblé au lieu d’une diffusion inutile à tous les appareils connectés.

Diagnostic du réseau

La nature immuable des adresses MAC les rend inestimables pour le dépannage du réseau. Même lorsque le DHCP réattribue des adresses IP, les administrateurs peuvent suivre de manière cohérente les appareils grâce à leurs identifiants MAC permanents. Cette fiabilité s’avère essentielle pour :

• Identification précise des origines des problèmes de trafic
• Surveillance des modèles de connexion sur de longues périodes
• Analyse des comportements d’utilisation du réseau
• Détection des ajouts d’équipements non autorisés
• Tenue à jour d’inventaires précis des équipements et de cartes du réseau

Filtrage MAC dans les réseaux sans fil

Les points d’accès sans fil utilisent fréquemment le filtrage MAC comme couche de contrôle d’accès. Les administrateurs configurent des listes d’adresses MAC autorisées, et le routeur n’autorise que les appareils figurant sur ces listes à établir des connexions. Cette mesure de sécurité fonctionne indépendamment de l’authentification par mot de passe. La simple possession de votre mot de passe Wi-Fi ne garantit pas l’accès si l’adresse MAC de l’appareil connecté n’est pas approuvée.

Applications de sécurité réseau

Au-delà du simple filtrage, les adresses MAC prennent en charge des implémentations de sécurité sophistiquées, notamment la vérification des appareils, l’audit des accès et les systèmes de détection d’intrusion. Les plateformes de sécurité surveillent les adresses MAC afin de signaler les tentatives d’accès au réseau par des appareils inconnus ou interdits. Les environnements d’entreprise combinent généralement la vérification basée sur les adresses MAC avec des protocoles de sécurité supplémentaires afin d’appliquer des politiques d’accès complètes.

Protocoles associés

ARP (Address Resolution Protocol) pour IPv4

L’ARP relie les systèmes d’adressage IP et MAC dans les environnements IPv4. Lorsqu’un périphérique doit communiquer au sein du réseau local, il possède l’adresse IP de la cible, mais a besoin de l’adresse MAC correspondante pour la transmission effective de la trame. L’ARP diffuse une requête à l’échelle du réseau demandant « Quel périphérique possède cette adresse IP ? ». Le périphérique correspondant à cette adresse IP répond avec son adresse MAC. Le périphérique demandeur met en cache ce mappage dans une table ARP, évitant ainsi les diffusions répétées pour les communications ultérieures.

NDP / Découverte de voisinage pour IPv6

Les réseaux IPv6 utilisent le protocole de découverte de voisinage (NDP) à la place de l’ARP, offrant ainsi des fonctionnalités améliorées. Le NDP utilise la messagerie ICMPv6 pour localiser les appareils voisins, résoudre leurs adresses MAC et suivre leur état d’accessibilité. Parmi les fonctionnalités supplémentaires, citons la découverte des routeurs, la configuration automatique des adresses et la détection des adresses en double, ce qui rend le NDP plus complet que son prédécesseur IPv4.

Relation entre l’adresse IP et l’adresse MAC

Les adresses IP et MAC jouent des rôles complémentaires mais distincts dans les réseaux. Les adresses IP fournissent un adressage logique permettant le routage des données sur plusieurs réseaux et sur l’Internet mondial. Les adresses MAC fournissent un adressage physique pour une transmission correcte des données au sein d’un même segment de réseau. On peut comparer l’adressage IP à l’adresse postale d’un immeuble, tandis que l’adressage MAC correspond au numéro d’appartement spécifique au sein de cet immeuble. Les protocoles ARP et NDP coordonnent ces systèmes d’adressage, permettant une communication réseau multicouche transparente.

Limites et vulnérabilités

Usurpation d’adresse MAC

Bien qu’elles soient intégrées au matériel, les adresses MAC peuvent être modifiées à l’aide de techniques d’usurpation d’adresse MAC. Les systèmes d’exploitation et les pilotes réseau permettent généralement aux utilisateurs de remplacer les adresses programmées en usine par des valeurs définies par logiciel. Les pirates exploitent cette fonctionnalité pour :

• Contourner les protections par filtrage MAC
• Se faire passer pour des périphériques réseau autorisés
• Contourner les mécanismes de contrôle d’accès
• Cacher leur identité lors d’attaques réseau

Cette vulnérabilité démontre pourquoi le filtrage MAC seul ne suffit pas à garantir la sécurité. Il dissuade les tentatives d’accès non autorisées occasionnelles, mais offre une défense minimale contre les attaquants avertis qui connaissent les méthodes d’usurpation.

Confidentialité et suivi

Les adresses MAC soulèvent d’importantes questions de confidentialité en raison de leur potentiel de suivi. Les appareils compatibles Wi-Fi diffusent des requêtes de sondage contenant des adresses MAC, ce qui permet aux détaillants, aux annonceurs et à d’autres parties de suivre les déplacements individuels dans les espaces physiques. Cette capacité de suivi soulève des préoccupations particulières dans les environnements publics où plusieurs points d’accès capturent et corrèlent les données des adresses MAC.

Adresses MAC aléatoires

Les systèmes d’exploitation modernes répondent aux préoccupations en matière de confidentialité en prenant en charge la génération aléatoire d’adresses MAC. iOS, Android, Windows et macOS peuvent générer des adresses temporaires et aléatoires lors de la recherche ou de la connexion à des réseaux sans fil. Ces adresses aléatoires changent périodiquement, ce qui complique le suivi à long terme des appareils. Tout en améliorant la confidentialité des utilisateurs, cette fonctionnalité pose des défis aux scénarios de gestion de réseau qui nécessitent des adresses MAC cohérentes pour l’identification des appareils et le contrôle d’accès.

Exemples pratiques

Formats courants (00:1A:2B:3C:4D:5E)

Les adresses MAC apparaissent sous différents formats standard selon le système d’affichage. La notation hexadécimale utilise les chiffres 0 à 9 et les lettres A à F pour représenter les valeurs. Voici quelques exemples concrets :

• 00:1A:2B:3C:4D:5E (convention Linux, macOS)
• 00-1A-2B-3C-4D-5E (convention Windows)
• 001A.2B3C.4D5E (équipement Cisco)
• 001a2b3c4d5e (représentation compacte)

Comment trouver l’adresse MAC sous Windows, Linux et macOS

Windows : lancez l’invite de commande et exécutez ipconfig /all. Repérez « Physical Address » (Adresse physique) sous la liste de vos adaptateurs réseau. L’adresse MAC s’affiche au format XX-XX-XX-XX-XX-XX.

Linux : ouvrez le terminal et exécutez ip link show ou ifconfig. L’adresse MAC apparaît après « link/ether » au format XX:XX:XX:XX:XX:XX.

macOS : accédez aux Préférences Système, naviguez jusqu’à Réseau, sélectionnez votre connexion, cliquez sur Avancé, puis choisissez l’onglet Matériel. L’adresse MAC apparaît dans la liste, ou exécutez la commande de terminal ifconfig de la même manière que sous Linux.

Cas d’utilisation dans les routeurs / filtres MAC

Les routeurs grand public et d’entreprise offrent généralement un filtrage MAC via des interfaces de gestion basées sur le Web. Les applications courantes comprennent :

1. Sécurité du réseau domestique : les parents peuvent restreindre l’accès à Internet des appareils de leurs enfants en n’autorisant que certaines adresses MAC pendant des périodes déterminées.
2. Isolement du réseau invité : les organisations peuvent maintenir des listes d’adresses MAC distinctes pour les appareils des employés et ceux des invités, empêchant ainsi ces derniers d’accéder aux ressources internes.
3. Priorisation des appareils : les configurations de qualité de service utilisent souvent les adresses MAC pour identifier les appareils spécifiques méritant une allocation prioritaire de bande passante.
4. Segmentation du réseau : les réseaux d’entreprise attribuent les appareils à des VLAN spécifiques en fonction des adresses MAC, contrôlant ainsi l’accès aux segments du réseau pour différents appareils.

FAQ technique

Quelle est la différence entre une adresse IP et une adresse MAC ?

Ces systèmes d’adressage diffèrent fondamentalement par leur portée et leur objectif. Les adresses MAC représentent des identifiants matériels physiques attribués de manière permanente lors de la fabrication, fonctionnant au niveau de la couche 2 du modèle OSI pour la communication réseau locale. Les adresses IP représentent des identifiants logiques attribués via la configuration réseau (manuellement ou via DHCP), fonctionnant au niveau de la couche 3 pour le routage multi-réseaux et Internet. Votre adresse MAC reste la même indépendamment des changements de réseau, tandis que les adresses IP varient généralement selon les différentes connexions réseau. De plus, les adresses MAC régissent la communication au sein d’un même segment de réseau, tandis que les adresses IP permettent une communication globale entre les réseaux.

Une adresse MAC peut-elle être modifiée ?

Les fabricants intègrent des adresses MAC uniques dans les cartes d’interface réseau lors de la production, mais la plupart des systèmes d’exploitation et des pilotes réseau contemporains permettent de remplacer ces adresses programmées en usine par des adresses définies par logiciel. Ce processus, appelé « usurpation d’adresse MAC », modifie l’adresse visible sur le réseau sans altérer le matériel réel. L’adresse d’origine programmée en usine reste stockée dans le micrologiciel de la carte réseau et réapparaît lorsque la configuration de remplacement est supprimée. Certaines cartes réseau permettent de modifier de manière permanente l’adresse MAC par le biais de mises à jour du micrologiciel, mais cela est moins courant.

Qu’est-ce que le bit U/L dans une adresse MAC ?

Le bit U/L (désignation universelle/locale) occupe la septième position dans le premier octet d’une adresse MAC. Ce bit indique si l’adresse a été attribuée de manière universelle par le fabricant ou si elle a été attribuée localement par un administrateur réseau ou un logiciel. Les valeurs zéro indiquent une attribution universelle par le fabricant conformément aux normes IEEE. Les valeurs un indiquent une configuration ou une génération manuelle locale. Par exemple, l’examen de l’adresse MAC 00:1A:2B:3C:4D:5E révèle que le premier octet est 00 hexadécimal (binaire 00000000), ce qui place le bit U/L à zéro, confirmant ainsi l’administration universelle par le fabricant.

Comment fonctionne le filtrage MAC dans le Wi-Fi ?

Le filtrage MAC Wi-Fi maintient des listes de contrôle d’accès dans les routeurs sans fil ou les points d’accès. Les administrateurs créent soit des listes blanches (appareils autorisés), soit des listes noires (appareils bloqués) contenant des adresses MAC spécifiques. Lorsque des appareils tentent de se connecter sans fil, les routeurs examinent les adresses MAC des appareils par rapport aux listes configurées. Les approches par liste blanche n’autorisent que les adresses MAC répertoriées à se connecter, quelle que soit la connaissance du mot de passe. Les listes noires rejettent les tentatives de connexion provenant des adresses MAC répertoriées. Bien qu’elles ajoutent des couches de sécurité supplémentaires, les personnes déterminées peuvent contourner le filtrage MAC à l’aide de techniques d’usurpation d’identité. Il est donc nécessaire de l’utiliser dans le cadre de stratégies de sécurité globales plutôt que comme protection autonome.