au sommaire
Appelé en français « attaque de l'homme du milieu », une attaque man-in-the-middle est une cyberattaque s'immisçant entre 2 entités communicantes de manière à intercepter ou altérer les communications et voler des données. Ces entités peuvent être des personnes physiquesphysiques, des sociétés et des serveurs. L'attaquant peut se faire passer pour l'une des cibles, les deux ou rester passif. Ce type d'attaque, également appelé MITM, existe depuis longtemps, mais n'est pas aussi utilisé que le phishing car elle cible forcément une victime ou au moins un réseau.
À quoi sert une attaque man-in-the-middle ?
Un pirate informatique utilisera une attaque man-in-the-middle (ou MITM) dans le but de récupérer des données. Il peut ensuite les utiliser, les altérer ou les supprimer. Ces données peuvent être celles d'un compte mail, d'un compte en banque ou d'un système de messageriemessagerie par exemple. Les principales raisons d'une telle attaque sont le vol de données, le vol d'identité et le transfert illicite de fonds vers un compte à l'étranger.
Il existe des moyens de se protéger :
- faire attention à l'URL affiché dans un navigateur ;
- utiliser un VPN ;
- ne pas se connecter à un réseau Wi-Fi public ;
- ne se connecter qu'à des sites HTTPS ;
- garder son système d'exploitationsystème d'exploitation et ses logicielslogiciels à jour ;
- vérifiez automatiquement l'authenticité des certificatscertificats fournis par le navigateur ;
- utiliser un gestionnaire de mots de passe, permettant d'utiliser des mots de passe complexes et différents d'un site à l'autre ;
- choisir l'authentification à 2 facteurs lorsqu'elle est disponible ;
- utiliser le cryptage de bout en bout si nécessaire ;
- surveiller les déconnexions inattendues.
Comment fonctionne une attaque man-in-the-middle ?
Si le but recherché est toujours le même, il existe plusieurs types d'attaques man-in-the-middle.
Écoute des réseaux Wi-Fi
Un attaquant peut « écouter » le trafic d'un réseau Wi-FiWi-Fi public, voire même créer un faux réseau Wi-Fi auquel des personnes vont se connecter. C'est une attaque dangereuse et facile à mettre en place.
ARP spoofing
L'ARP est le protocoleprotocole de résolutionrésolution d'adresse. To spoof signifie usurper en anglais. L'attaquant se fait passer pour une passerellepasserelle réseau en utilisant un analyseur de paquetspaquets, appelé aussi network sniffer en anglais. Lorsque la victime se connecte au réseau, il se connecte en fait à l'attaquant qui transmet les données normalement. La victime ne voit rien d'anormal et l'attaquant peut observer tout le trafic.
DNS cache poisoning
DNSDNS veut dire Domain Name System, soit système de noms de domainenoms de domaine en français. Un type d'attaque man-in-the-middle est l'empoisonnement du cacheempoisonnement du cache DNS. L'attaquant donne une fausse entrée DNS qui renvoie vers un faux site web. L'utilisateur croit être sur le bon site web et va naturellement entrer ses données, celles d'un compte mail par exemple. L'attaquant peut aussi faire transiter le réseau de l'utilisateur à son ordinateurordinateur, puis de son ordinateur vers le vrai site web.
HTTPS spoofing
Une attaque consiste à utiliser la confiance d'un utilisateur envers les URL en HTTPS. L'attaquant crée un faux site web avec un certificat d'authentificationauthentification valide et une URL à peine différente du vrai site web, par exemple en changeant la valeur unicodeunicode d'un caractère (sans changer le caractère). Le phishing est un bon moyen de faire en sorte que l'utilisateur aille sur le site en question. Une fois que le certificat d'authentification est stocké sur l'ordinateur de la victime, l'attaquant relaie le trafic vers le vrai site via son ordinateur.
Détournement de session
Lors d'un détournement de session, l'attaquant attend que la victime se connecte à une page web, par exemple le site de sa banque. Il vole ensuite le cookie de session pour se connecter à ce même compte depuis son navigateur. Il peut ainsi utiliser le compte de la victime.