Une attaque man-in-the-middle intercepte les communications chiffrées entre deux parties à leur insu. © Nikoendres, Fotolia
Tech

Attaque man-in-the-middle : qu'est-ce que c'est ?

DéfinitionClassé sous :cybersécurité , Internet , piratage

Appelé en français « attaque de l'homme du milieu », une attaque man-in-the-middle est une cyberattaque s'immisçant entre 2 entités communicantes de manière à intercepter ou altérer les communications et voler des données. Ces entités peuvent être des personnes physiques, des sociétés et des serveurs. L'attaquant peut se faire passer pour l'une des cibles, les deux ou rester passif. Ce type d'attaque, également appelé MITM, existe depuis longtemps, mais n'est pas aussi utilisé que le phishing car elle cible forcément une victime ou au moins un réseau.

À quoi sert une attaque man-in-the-middle ?

Un pirate informatique utilisera une attaque man-in-the-middle (ou MITM) dans le but de récupérer des données. Il peut ensuite les utiliser, les altérer ou les supprimer. Ces données peuvent être celles d'un compte mail, d'un compte en banque ou d'un système de messagerie par exemple. Les principales raisons d'une telle attaque sont le vol de données, le vol d'identité et le transfert illicite de fonds vers un compte à l'étranger.

Il existe des moyens de se protéger :

  • faire attention à l'URL affiché dans un navigateur ;
  • utiliser un VPN ;
  • ne pas se connecter à un réseau Wi-Fi public ;
  • ne se connecter qu'à des sites HTTPS ;
  • garder son système d'exploitation et ses logiciels à jour ;
  • vérifiez automatiquement l'authenticité des certificats fournis par le navigateur ;
  • utiliser un gestionnaire de mots de passe, permettant d'utiliser des mots de passe complexes et différents d'un site à l'autre ;
  • choisir l'authentification à 2 facteurs lorsqu'elle est disponible ;
  • utiliser le cryptage de bout en bout si nécessaire ;
  • surveiller les déconnexions inattendues.
 L'attaque man-in-the-middle, en français attaque de l'homme du milieu, est une technique pour intercepter les communications chiffrées entre deux parties à leur insu. © Danny De Hek, Flickr, CC by-nc-nd 2.0

Comment fonctionne une attaque man-in-the-middle ?

Si le but recherché est toujours le même, il existe plusieurs types d'attaques man-in-the-middle

Écoute des réseaux Wi-Fi

Un attaquant peut « écouter » le trafic d'un réseau Wi-Fi public, voire même créer un faux réseau Wi-Fi auquel des personnes vont se connecter. C'est une attaque dangereuse et facile à mettre en place.

ARP spoofing

L'ARP est le protocole de résolution d'adresse. To spoof signifie usurper en anglais. L'attaquant se fait passer pour une passerelle réseau en utilisant un analyseur de paquets, appelé aussi network sniffer en anglais. Lorsque la victime se connecte au réseau, il se connecte en fait à l'attaquant qui transmet les données normalement. La victime ne voit rien d'anormal et l'attaquant peut observer tout le trafic.

DNS cache poisoning

DNS veut dire Domain Name System, soit système de noms de domaine en français. Un type d'attaque man-in-the-middle est l'empoisonnement du cache DNS. L'attaquant donne une fausse entrée DNS qui renvoie vers un faux site web. L'utilisateur croit être sur le bon site web et va naturellement entrer ses données, celles d'un compte mail par exemple. L'attaquant peut aussi faire transiter le réseau de l'utilisateur à son ordinateur, puis de son ordinateur vers le vrai site web.

HTTPS spoofing

Une attaque consiste à utiliser la confiance d'un utilisateur envers les URL en HTTPS. L'attaquant crée un faux site web avec un certificat d'authentification valide et une URL à peine différente du vrai site web, par exemple en changeant la valeur unicode d'un caractère (sans changer le caractère). Le phishing est un bon moyen de faire en sorte que l'utilisateur aille sur le site en question. Une fois que le certificat d'authentification est stocké sur l'ordinateur de la victime, l'attaquant relaie le trafic vers le vrai site via son ordinateur.

Détournement de session

Lors d'un détournement de session, l'attaquant attend que la victime se connecte à une page web, par exemple le site de sa banque. Il vole ensuite le cookie de session pour se connecter à ce même compte depuis son navigateur. Il peut ainsi utiliser le compte de la victime.

Cela vous intéressera aussi

[EN VIDÉO] Qu'est-ce qu'une cyberattaque ?  Avec le développement d'Internet et du cloud, les cyberattaques sont de plus en plus fréquentes et perfectionnées. Qui est derrière ces attaques et dans quel but ? Quelles sont les méthodes des hackers et quelles sont les cyberattaques les plus massives ? 

Abonnez-vous à la lettre d'information La quotidienne : nos dernières actualités du jour. Toutes nos lettres d’information

!

Merci pour votre inscription.
Heureux de vous compter parmi nos lecteurs !