Man in the middle
Qu’est-ce qu’une attaque man in the middle ?
On la connaît sous de nombreux noms : monster in the middle attack, man in the middle attack, mitm, attaque de l’intercepteur ou encore attaque de l’homme du milieu.
Définition de la MitM attack
Man in the middle est un type de cyberattaque qui consiste en un détournement des données lors d’un échange en ligne. Cette cyberattaque doit son nom à l’image de son fonctionnement : un homme, le cybercriminel, se glisse entre l’expéditeur et le destinataire.
L’attaque de l’intercepteur se rapproche d’une mise sur écoute puisque l’expéditeur et le destinataire continuent d’échanger sans se rendre compte que leur flux de données est en réalité intercepté par un ordinateur capable de collecter l’ensemble des données.
Le résultat d’une attaque MitM est le vol de données comme des mots de passe ou des informations personnelles identifiables. Cela peut ensuite mener à des faits d’extorsion, d’usurpation d’identité, de chantage ou d’espionnage industriel dans le cadre de la guerre des entreprises.
Exemples d’attaques MitM
Ces dernières années, deux attaques de l’intercepteur ont marqué l’histoire de la cybersécurité par leur ampleur.
- La faille Superfish : un programme pré-installé sur les ordinateurs de la marque Lenovo installait de faux certificats SSL, ce qui permettait aux pirates d’accéder aux flux de données émises ou reçues sur ces machines. Cette faille a été découverte en 2015.
- La faille des applis bancaires : en 2017, plusieurs grandes applications bancaires comportaient une faille de sécurité et étaient incapable de détecter les certificats frauduleux. Ainsi les pirates pouvaient facilement accéder aux données des utilisateurs.
À quoi sert une attaque MitM ?
Une attaque man-in-the-middle a pour but de collecter des données et informations sur la cible en infiltrant son réseau personnel. Pour le cybercriminel, cela permet d’obtenir les mots de passe de l’utilisateur, notamment ses accès bancaires, ou de le faire chanter en menaçant de divulguer ses informations.
Le plus grand risque est celui de l’usurpation d’identité. En effet, le pirate informatique peut collecter des informations personnelles identifiables à l’insu de la victime et s’en servir pour commettre différents délits sans s’exposer.
Comment fonctionne ce type de cyberattaque ?
Entrons maintenant dans les détails techniques d’une attaque de l’homme du milieu. Le cybercriminel doit commencer par intercepter l’échange qui l’intéresse. La méthode la plus répandue est celle de la création d’un faux réseau WiFi destiné à tromper la victime : si elle se connecte, l’homme du milieu peut intercepter ses données.
Une fois qu’il a ferré sa proie, le cybercriminel doit récupérer ses données. Pour cela, il existe 3 méthodes principales :
- L’usurpation d’adresse IP qui consiste à modifier les informations IP de la victime pour le rediriger à son insu vers le site du hacker.
- L’usurpation d’adresse ARP fonctionne de manière similaire et permet de lier l’adresse MAC du hacker à l’adresse IP de la victime pour accéder à ses données.
- L’usurpation DNS consiste à modifier un serveur DNS pour rediriger la victime vers un site web frauduleux et ainsi accéder à ses informations.
Mais il ne suffit pas d’accéder aux données de la victime, car la plupart du temps elles sont chiffrées et donc illisibles. La dernière étape d’une attaque Man in the middle consiste donc à décrypter ces données sans alerter la victime. Pour cela, il y a également 3 méthodes :
- L’usurpation https simule une connexion https, donc sécurisée tout en redirigeant la victime vers un site qui accède à toutes les données que la victime partagerait normalement sur un site sécurisé.
- Le détournement SSL permet d’intercepter la victime lorsqu’elle est automatiquement redirigée d’un site http vers sa version https. Cette redirection permet au pirate d’accéder aux données sensibles de l’utilisateur.
- Le stripping SSL consiste à interrompre la connexion de la victime et de la rediriger vers un site non-sécurisé en http. En se maintenant sur la version https, le hacker peut accéder aux données sécurisées.
Quels sont les différents types d’attaques man in the middle ?
Les différents types d’attaques Man in the middle sont l’interception de messages privés, le vol de données de connexion ou le vol d’informations personnelles identifiables.
Techniquement les différents types de MitM sont l’attaque par stripping ou détournement SSL, l’usurpation https, DNS, ARP ou IP mentionnées ci-dessus.
Comment détecter une attaque MitM ?
Il est très difficile de détecter la présence d’un homme du milieu car son objectif est justement de rester sous les radars. Un signe cependant doit vous alerter : si l’url du site sur lequel vous vous trouvez affiche http au lieu de https, cela veut dire que vous n’êtes pas en sécurité.
De plus, si vous vous êtes connecté sur une url https et qu’elle s’est changée en http, cela peut être le signe de l’intervention d’une tierce personne et doit vous alerter : il y a de fortes chance pour que vous soyez victime d’une cyberattaque man in the middle.
Comment prévenir et se préparer à une attaque MitM ?
Le meilleur moyen de prévenir une attaque MitM est de décourager les pirates de s’en prendre à vous. Pour cela, il faut mettre autant d’obstacles que possible sur leur route.
La première chose sur laquelle faire preuve de vigilance est le type de réseau auquel vous vous connectez. Les réseaux publics sans mots de passe sont réputés dangereux. Évitez d’y mener des activités sensibles.
Si vous avez besoin de vous connecter régulièrement à ce type de réseau, utilisez un man in the middle VPN ou un VPN classique afin de crypter votre activité. Vous pouvez le compléter par un pare-feu et un antivirus efficaces.
Enfin, les bonnes pratiques globales de cybersécurité sont également efficaces pour limiter les risques d’attaque de l’intercepteur : utilisez des mots de passe variés que vous changez régulièrement, activez l’authentification à 2 facteurs, déconnectez-vous des sites que vous utilisez. Cela rendra beaucoup plus difficile à un hacker d’accéder à vos données.
Man in the middle attack : ce qu’il faut retenir
- L’attaque Man in the middle (MitM), aussi appelée attaque de l’homme du milieu, est un type de cyberattaque où le pirate détourne les informations d’un utilisateur à son insu
- En 2015 et 2017, deux failles majeures largement répandues ont permis à de nombreuses attaques Man in the middle d’être perpétrées
- Il est difficile de détecter la présence du cybercriminel dans le cadre d’une attaque Man in the middle
- Cependant, des pratiques de vigilance limitent grandement les risques d’être victime d’une MitM attack