Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 071

ARP

Vérifié parCybersecurity entrepreneur & security researcher

Qu'est-ce que ARP ?

ARPProtocole de couche liaison (RFC 826) qui associe une adresse IPv4 à l'adresse MAC d'un hôte du même domaine de diffusion afin que les trames puissent être livrées.


L'Address Resolution Protocol est défini par la RFC 826 (1982) et opère à la frontière entre la couche liaison et la couche réseau. Lorsqu'un hôte doit envoyer un paquet IPv4 vers une destination du même sous-réseau, il diffuse une requête ARP (« qui possède 192.168.1.1 ? ») et le propriétaire répond avec son adresse MAC. L'association est mise en cache dans la table ARP pour les trames suivantes.

flowchart TD
  H[Hôte A veut joindre 192.168.1.1] -->|"diffusion : qui possède .1 ?"| LAN[(Domaine de diffusion)]
  LAN --> GW[Passerelle .1]
  LAN --> ATK[Attaquant]
  GW -->|"réponse : .1 est aa:bb:cc"| H
  ATK -->|"réponse gratuite : .1 est ma MAC"| H
  H -.->|cache empoisonné| ATK
  ATK -->|relais / écoute| GW

ARP ne comporte aucune authentification, si bien que tout hôte du segment peut répondre ou émettre des réponses gratuites non sollicitées. Cela rend possibles l'ARP spoofing / ARP poisoning, qui détourne le trafic via un attaquant à des fins d'écoute ou de manipulation — la primitive classique d'attaque en interception (man-in-the-middle), automatisée par des outils tels que arpspoof (de dsniff), Ettercap et Bettercap. Comme les réponses écrasent les entrées du cache sans aucune vérification, quelques paquets par seconde suffisent à maintenir le détournement. Sur les commutateurs administrables, les défenses incluent la Dynamic ARP Inspection (DAI), qui valide les réponses par rapport à la table de liaison du DHCP snooping, ainsi que des entrées ARP statiques pour les hôtes critiques, la port security et la segmentation des frontières de confiance par VLAN. IPv6 abandonne ARP au profit de Neighbor Discovery (ICMPv6, RFC 4861), dont l'extension SEND (RFC 3971) ajoute des adresses générées cryptographiquement pour résister à la même classe d'usurpation.

Exemples

  1. 01

    Wireshark affiche les requêtes et réponses ARP lorsqu'un poste démarre et apprend la MAC de sa passerelle par défaut.

  2. 02

    Un attaquant envoie des réponses ARP gratuites se prétendant propriétaire de l'IP de la passerelle et redirige le trafic du LAN.

Questions fréquentes

Qu'est-ce que ARP ?

Protocole de couche liaison (RFC 826) qui associe une adresse IPv4 à l'adresse MAC d'un hôte du même domaine de diffusion afin que les trames puissent être livrées. Cette notion relève de la catégorie Sécurité réseau en cybersécurité.

Que signifie ARP ?

Protocole de couche liaison (RFC 826) qui associe une adresse IPv4 à l'adresse MAC d'un hôte du même domaine de diffusion afin que les trames puissent être livrées.

Comment se défendre contre ARP ?

Les défenses contre ARP combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Quels sont les autres noms de ARP ?

Noms alternatifs courants : Protocole de resolution d'adresse.

Termes liés

Voir aussi