I. Présentation

Le “Promiscuous mode”, parfois francisé “mode de promiscuité” est un mode de configuration de la carte réseau d’un élément présent sur un réseau informatique.

II. Un tour dans le passé

Pour comprendre le rôle et l’intérêt du promiscuous mode, il est intéressant de se replonger quelques années en arrière. Avant l’arrivée des Switchs (dit “commutateurs”), ce sont les hubs (dit “concentrateurs”) qui avaient le rôle de “multiprise réseau”. On connectait plusieurs postes informatiques aux hubs ainsi qu’une sortie vers un routeur, Internet ou un serveur pour que le tout puisse communiquer. Seulement les concentrateurs ne savaient pas orienter les paquets en fonction de leur adresse MAC comme le font les switchs, leur mode de fonctionnement peut être schématisé comme suivant :

Lorsqu’un paquet arrive sur un HUB, ce paquet est renvoyé automatiquement à tous les ports connectés sauf le port d’où vient le paquet :

On voit ici que quand un hub reçoit un paquet, quelque soit sa destination il va le renvoyer sur tous ses ports connectés. Ainsi, on se retrouve forcément avec des cartes réseaux recevant des paquets qui ne leur sont pas destinés, générant alors des traitements supplémentaires et inutiles au niveau de ces cartes réseaux. Les cartes réseaux, étant configurées de manière à ce qu’elles n’acceptent pas les paquets n’ayant pas leur adresse MAC comme adresse MAC de destination, ont alors été pourvue de la fonctionnalité promiscious mode afin de désactiver se rejet automatique et qu’elle acceptent alors tous les paquets même si ceux ci n’ont pas leur adresse MAC comme adresse MAC de destination. Le rejet automatique  ayant pour but dans un premier temps d’éviter que les ordinateurs ne fassent de traitements de paquets inutilement mais également “d’améliorer” la sécurité en faisant que chaque paquet arrive uniquement à son destinataire et non à d’autres postes.

Note : Plus tard, les switch se sont démocratisés pour remplir ces deux missions

Le mode promiscious est donc le fait de dire à sa carte réseau  d’accepter les paquets qui ne lui sont pas destinés. Par défaut, les cartes réseaux sont toutes configurées en mode promiscious désactivé, il s’agit d’un comportement normal que de n’accepter uniquement les paquets qui nous sont destinés. Néanmoins, il est possible sur certaines cartes réseaux d’activer le mode promiscious pour accepter tous le trafic reçu sur notre carte réseau même si celui-ci ne nous est pas destiné.

III. Qui l’utilise ?

Aujourd’hui, les hubs sont de moins en moins utilisés et quasiment plus vendu, mais le mode promiscious est toujours “en option” (bien que pas mis en place par défaut) dans les cartes réseaux, j’entends pas là qu’il est possible de le désactiver, et ce pour plusieurs bonnes raisons :

• Au niveau de l’attaque : Les attaquants activent le mode promiscious pour effectuer du sniff (écoute) réseau qui consiste à écouter tout ce qui passe sur le réseau (tout ce que la carte réseau reçoit même si ça ne lui est pas destiné). Ainsi, les attaquants peuvent récupérer des informations sur l’architecture de réseau, les éléments qui s’y situent et également voler des informations transitant sur le réseau.

• Au niveau de la défense : Il arrive fréquemment sur les réseaux sécurisés que l’on configure un ou  plusieurs ports d’un switch en mode “mirroring”, le switch va alors dupliquer le trafic pour envoyer sur le port normal de destination le trafic mais également sur ce port mirroring. En général, on positionne sur ces ports mirrorring des snoop server ou IDS qui ont pour rôle d’analyser le réseau à la recherche d’élément pouvant mettre en avant un problème de sécurité, une panne ou une intrusion dans le système informatique. Ces serveurs ont alors besoin que leurs cartes réseaux aient le mode promiscious activé pour pouvoir recevoir et traiter toutes les trames qu’elles reçoivent.
  

  Schéma du port mirroring – ici, tout le traffic allant vers le port G0/1 sera également envoyé sur le port configuré en mirroring

• Au niveau de la maintenance et la configuration : Les administrateurs systèmes et réseaux activent  parfois le mode promiscious afin d’effectuer des écoutes réseaux dans le but de vérifier les configurations réseaux ou de comprendre des pannes ou des dysfonctionnements.

Parmi les outils activant fréquemment le promiscious mode pour fonctionner on retrouve l’analyseur de réseau Wireshark ou TCPDump ou encore l’outil de crack de clé WEP aircrack. Il est à souligner que le changement du paramétrage des cartes réseaux pour désactiver ou réactiver le mode promiscious nécessite les droits administrateurs sur tous les OS.