“Hein késako ? Pourquoi il nous parle de vérifier des adresses MACs, on a parlé de vérifier les trames ARP, mais pas les adresses MAC directement…”
On peut “vérifier” des adresses MACs, en ne distribuant des IPs qu'aux adresses MAC connues, en utilisant la réservation d'hote : c'est une fonctionnalité des serveurs DHCP, qui comme son nom l'indique permet de réserver une adresse IP à un hote, autrement dit une adresse MAC. Ainsi si l'adresse MAC d'une machine est configurée en reservation d'hote, alors la machine aura toujours la meme IP attribuée par le serveur DHCP. Et on peut configurer le serveur DHCP pour qu'il ne donne que des IPs en utilisant la réservation d'hotes, ainsi si l'adresse MAC n'est pas connue…pas d'IP.
En combinant ce type de configuration avec le DHCP snooping et l'ARP inspection, on s'assure que uniquement des appareils dont on connait l'adresse MAC peuvent discuter sur le réseau.
Pourquoi donc on s'embeterait avec des identifiants ?
Eh bien tout simplement parce qu'une adresse MAC c'est usurpable : n'importe qui peut décider quelle adresse MAC son interface réseaux va utiliser et cela à tout moment.
C'est d'ailleurs une fonctionnalité sur les récents Windows et OSX, qui est utilisée notamment pour se connecter à des réseaux WiFi. (Cela gene donc la réservation d'hote, qui devient alors impossible, à moins de désactiver cette fonctionnalité sur les clients)
Sous Linux vous avez par exemple l'outil macchanger qui fait cela très bien
Donc pour rajouter de la sécurité, et éviter que quelqu'un se fasse passer pour quelqu'un d'autre, on rajoute une phase d'authentification : identifiant + mot de passe.