Prévenir les dommages devient encore plus compliqué lorsque vous ne connaissez pas la cause.
Les attaques de type « man-in-the-middle », également connues sous le nom de machine-in-the-middle, monkey-in-the-middle ou person-in-the-middle, provoquent des perturbations dont les utilisateurs ne connaissent généralement pas la cause. Les attaquants interceptent les réseaux et décryptent les échanges de données dans une attaque de type man-in-the-middle pour exploiter les données de la victime et compromettre la cybersécurité.
Vous devez mettre en place des mesures préventives solides en utilisant des outils comme des logiciels de chiffrement, des logiciels de réseau privé virtuel, et d'autres pour vous protéger contre les attaques de type man-in-the-middle. Cela aidera à garantir la sécurité du réseau et la protection des données tout en respectant diverses normes industrielles.
Qu'est-ce qu'une attaque de type man-in-the-middle ?
Une attaque de type man-in-the-middle (MITM) implique un auteur qui relaie ou modifie secrètement les communications entre deux parties, qui croient que leur communication est sécurisée. C'est un type d'attaque d'écoute où les attaquants s'insèrent au « milieu » des échanges d'informations et se font passer pour une personne légitime impliquée dans la communication.
Les attaquants interceptent les informations et peuvent envoyer des liens ou des pièces jointes malveillants aux deux parties impliquées sans être détectés.
Les attaques de type man-in-the-middle peuvent être un type d'attaque de détournement de session qui cause des dommages à la cybersécurité d'une organisation. Par exemple, en 2017, Equifax a subi une violation de données qui a conduit à la fuite des données personnelles de 147 millions de personnes. Plus tard, il a été constaté que le site web n'utilisait pas systématiquement le protocole Hypertext Transfer Protocol Secure (HTTPS), permettant aux attaquants d'intercepter les données lors d'une session utilisateur.
Les personnes impliquées dans une attaque de type man-in-the-middle incluent :
- Personne A et Personne B : Personnes légitimes qui échangent des informations.
- Attaquant : Auteurs qui interceptent la communication entre les deux parties sans éveiller de soupçons.
L'objectif principal d'une attaque de type man-in-the-middle est de voler des informations sensibles ou des informations personnellement identifiables (numéros de carte de crédit, numéros de sécurité sociale, etc.) et d'envoyer des liens malveillants ou des logiciels malveillants à une victime pour exploiter davantage ses actifs.
Les attaquants peuvent effectuer un vol d'identité ou un transfert de fonds non autorisé, et de nombreuses autres activités malveillantes en utilisant les informations obtenues lors d'une attaque de type man-in-the-middle. Parfois, les auteurs peuvent utiliser les données interceptées pour mener des cyberattaques plus importantes.
Une autre forme d'attaque de type man-in-the-middle est une attaque de type man-in-the-browser. Un attaquant intercepte un canal de communication entre deux parties légitimes en compromettant un navigateur web utilisé par l'une d'elles. Ils exploitent les vulnérabilités de sécurité ou modifient les fonctionnalités du navigateur pour modifier le comportement du navigateur et s'insérer dans le canal de communication.
Comment fonctionne une attaque de type man-in-the-middle ?
Une attaque de type man-in-the-middle implique deux phases : interception et décryptage. Dans la phase d'interception, un attaquant intercepte le trafic utilisateur avant qu'il n'atteigne la destination. Une fois le trafic intercepté, il est décrypté pour révéler les informations sans alerter les parties légitimes.
Supposons que vous receviez un e-mail du site web de votre banque vous demandant d'effectuer une activité urgente. Vous cliquez sur le lien, vous authentifiez sur le site web qui semble être celui de votre banque, et effectuez la tâche. Ici, l'e-mail était une tentative d'ingénierie sociale (hameçonnage) réalisée par un man-in-the-middle, vous trompant pour que vous tentiez de vous connecter à un site web malveillant et révéliez vos identifiants de connexion. L'attaquant peut alors les utiliser pour mener des activités frauduleuses.
Techniques d'interception
La façon la plus simple pour un attaquant d'intercepter une communication est de créer un point d'accès Wi-Fi gratuit et public. Lorsque les victimes se connectent à ces points d'accès, les attaquants obtiennent une visibilité sur les échanges de données en cours.
Le spoofing est une cyberattaque qui se produit lorsqu'un attaquant prétend être une marque ou un contact de confiance dans le but de tromper une cible pour qu'elle révèle des informations sensibles. Les auteurs peuvent intercepter les échanges d'informations par le biais de multiples approches actives.
Usurpation du système de noms de domaine (DNS)
L'usurpation DNS, également appelée empoisonnement du cache DNS, est une technique que les attaquants utilisent pour diriger les utilisateurs vers des sites web malveillants au lieu de sites authentiques. Elle implique l'exploitation de vulnérabilités dans un serveur DNS pour détourner le trafic d'un serveur légitime.
L'attaquant s'insère au milieu du serveur DNS et du navigateur de l'utilisateur et effectue des modifications dans les deux pour altérer le cache. Cela entraîne une redirection vers un site web malveillant hébergé sur le serveur local de l'attaquant.
Lorsqu'une victime est redirigée vers un site web malveillant, elle est invitée à entrer ses identifiants de connexion. Cela révèle ses informations sensibles aux attaquants. De plus, les attaquants peuvent usurper et vous tromper pour que vous installiez des logiciels malveillants qui pourraient causer des perturbations plus importantes. Les organisations peuvent utiliser des logiciels de sécurité DNS pour se protéger contre les attaques d'usurpation DNS ou d'empoisonnement du cache DNS.
Usurpation de protocole Internet (IP)
Les données sont transférées sur Internet sous forme de multiples paquets fragmentés. Ces paquets sont réassemblés à la fin pour constituer l'information originale. Ils ont une adresse IP source et une adresse IP de destination. Les attaquants modifient ces adresses dans l'usurpation IP, trompant le système en lui faisant croire qu'ils proviennent d'une source de confiance.
Les acteurs malveillants utilisent cette technique pour mener des attaques par déni de service (DoS). Elle peut également être utilisée dans une attaque de type man-in-the-middle, où les attaquants modifient les en-têtes de paquets dans une IP. Lorsque les utilisateurs tentent d'accéder à une URL connectée à l'application web modifiée de manière malveillante, ils sont dirigés vers le site web de l'attaquant.
Usurpation de protocole de résolution d'adresse (ARP)
Les attaquants envoient un message ARP falsifié à un réseau local dans l'usurpation ARP. Cela entraîne la liaison des adresses IP des ordinateurs ou serveurs d'un utilisateur légitime aux adresses Mac des attaquants.
Les attaques d'usurpation ARP ne peuvent se produire que dans les réseaux locaux qui utilisent l'ARP. Une fois que l'adresse IP de l'utilisateur est connectée à l'adresse Mac de l'attaquant, toutes les données transmises par un utilisateur à l'adresse IP hôte seront accessibles aux attaquants.
Techniques de décryptage
Lorsqu'un attaquant a intercepté la communication, l'étape suivante consiste à la décrypter sans alerter les parties légitimes impliquées. Il existe diverses voies que les attaquants utilisent pour décrypter les informations.
Exploitation du navigateur contre SSL/TLS (BEAST)
BEAST a permis aux attaquants de type man-in-the-middle de révéler des informations dans des sessions SSL/TLS 1.0 chiffrées. Les attaquants ont pu décrypter des données inintelligibles en exploitant des vulnérabilités théoriques connues. L'attaque BEAST a fourni un exemple de la façon dont une vulnérabilité théorique minime, lorsqu'elle est combinée à d'autres faiblesses de sécurité, permet aux attaquants de concevoir une cyberattaque pratique.
Dans une attaque BEAST, les acteurs de la menace infectent l'ordinateur de la victime avec des Javascripts malveillants, interceptant les cookies de session chiffrés. Les attaquants compromettent ensuite le chaînage de blocs de chiffrement (CBC) pour décrypter les cookies et les jetons d'authentification.
Qu'est-ce que le chaînage de blocs de chiffrement ?
Le chaînage de blocs de chiffrement est un mode opérationnel d'un chiffrement par blocs où une séquence de bits est chiffrée en un seul bloc et combinée avec le bloc de texte chiffré précédent.
La clé de chiffrement est applicable à l'ensemble du bloc, et chaque bloc dépend du précédent pour le décryptage. Parfois, un vecteur d'initialisation est utilisé pour lier ces blocs de données chiffrées ensemble.
Cependant, les navigateurs modernes ne sont pas vulnérables aux attaques BEAST car beaucoup sont passés à TLS v1.1 ou supérieur et ont mis en œuvre des mesures préventives supplémentaires.
Détournement de la couche de sockets sécurisés (SSL)
Le détournement SSL implique qu'un attaquant transmette des clés d'authentification falsifiées à la fois au serveur et au client. Bien que la session semble sécurisée, elle est en réalité contrôlée par un attaquant.
Le protocole SSL établit une connexion sécurisée entre un navigateur et un serveur en utilisant le chiffrement. Les attaquants interceptent cette connexion sécurisée et découvrent des informations chiffrées en s'insérant entre le serveur et le client.
Usurpation HTTPS
L'usurpation HTTPS implique qu'un attaquant crée un site web factice en utilisant un domaine qui semble similaire à un site web légitime. Par exemple, l'attaque (également connue sous le nom d'attaque homographe) consiste à remplacer des caractères dans des noms de domaine réels par des caractères non ASCII ayant des apparences similaires.
Les attaquants enregistrent également leur certificat SSL pour le déguiser en site web authentique. De nombreux navigateurs permettent l'affichage de « noms d'hôte Punycode » dans leur barre d'adresse, et les victimes ne se rendent pas compte qu'elles accèdent à un site web malveillant.
De plus, un attaquant peut tromper une victime pour qu'elle installe un certificat factice dans le navigateur. Il contient une signature numérique de l'application compromise. Le navigateur de la victime vérifie ensuite le certificat avec une liste de sites web de confiance. De cette manière, les attaquants peuvent accéder aux données de la victime avant qu'elles ne soient transmises à l'application.
Stripping SSL
Le stripping SSL implique que les attaquants rétrogradent HTTPS en HTTP, leur permettant d'accéder à la communication entre le client et le serveur dans un format non chiffré.
Lorsqu'un client fait une demande au serveur, un attaquant l'intercepte et la relaie tout en faisant une demande légitime indépendante au serveur. Lorsque le serveur répond, l'attaquant l'intercepte et la relaie au client dans un format non chiffré. L'attaquant se fait passer à la fois pour le serveur et le client et évite tout soupçon dans la communication en cours.
Par exemple, un utilisateur envoie une demande pour authentifier son compte bancaire. Un attaquant intercepte cette demande et crée une demande légitime séparée au serveur de la banque. Après avoir reçu une réponse du serveur, l'attaquant renvoie une réponse non chiffrée à l'utilisateur avec la page de connexion. L'attaquant vole les informations lorsque l'utilisateur entre ses identifiants de connexion.
Vous voulez en savoir plus sur Logiciel de cryptage ? Découvrez les produits Chiffrement.
Un VPN protège-t-il contre les attaques MITM ?
Un réseau privé virtuel (VPN) étend un réseau privé sur un réseau public qui permet aux utilisateurs de naviguer sur Internet en toute sécurité. Les organisations utilisent généralement des logiciels VPN pour fournir un accès rapide, chiffré et à distance au réseau privé d'une entreprise.
L'utilisation d'un VPN aiderait sûrement à protéger le trafic entre votre appareil et la passerelle VPN. Mais une fois que le trafic passe par la passerelle VPN, il peut être intercepté. Les attaquants ne pourront pas cibler des attaques MITM sur des utilisateurs individuels, mais ils peuvent toujours mener une attaque indiscriminée contre tous les utilisateurs du site web.
Les cybercriminels ont de nombreuses techniques pour pénétrer les défenses cybernétiques d'une organisation. Bien que le VPN offre une protection substantielle contre les attaques MITM, il doit être accompagné d'une approche globale de la cybersécurité avec des logiciels de sécurité pertinents.
Comment détecter une attaque MITM
Les concepts de cybersécurité sont davantage axés sur la prévention que sur la détection. Vous devez mettre en place des mesures préventives robustes pour prévenir les attaques MITM.
Bien que les attaques de type man-in-the-middle soient plus difficiles à détecter, il existe de nombreux signes que vous pouvez rechercher pour limiter les dommages dans les attaques MITM, notamment :
- Adresse de site web étrange : Si vous trouvez une adresse suspecte, vous devez être prudent car cela peut être une attaque MITM. Par exemple, vous voyez https://faceb00k.com au lieu de https://facebook.com ; c'est un signe possible d'une attaque MITM.
- Déconnexions répétées : Les attaquants déconnectent parfois les utilisateurs du réseau de manière forcée. Lorsqu'une victime réintroduit son identifiant et ses mots de passe, un attaquant peut les intercepter. Chaque fois que vous observez un comportement inattendu comme celui-ci, cela peut éventuellement suggérer une attaque MITM.
- Utilisation d'une connexion Wi-Fi non sécurisée : Les attaquants créent de faux réseaux avec des identifiants similaires à ceux que vous connaissez et vous trompent pour que vous les utilisiez. Ils peuvent intercepter tout le trafic circulant sur ces réseaux, mettant vos données sensibles en danger. Vous devez vous abstenir d'utiliser un réseau Wi-Fi non sécurisé et être prudent lors de l'utilisation d'un réseau public.
Assurez-vous d'avoir mis en place un mécanisme de détection de falsification et d'authentification de page, et avec l'aide de la criminalistique numérique, vous pouvez éventuellement détecter une attaque MITM.
Comment se protéger contre les attaques MITM
Mettre en place des mesures préventives est plus important que de détecter les MITM pendant qu'ils se produisent. Vous devez suivre les meilleures pratiques et être prudent.
Les meilleures pratiques pour se protéger contre les attaques MITM sont :
- Connectez-vous toujours à un routeur sécurisé qui offre un mécanisme de chiffrement solide.
- Changez le mot de passe par défaut du routeur pour empêcher les attaquants de compromettre votre serveur DNS.
- Utilisez des logiciels VPN pour étendre un réseau privé sur un réseau public et empêcher les pirates malveillants de déchiffrer vos données.
- Installez un plugin de navigateur pour imposer une connexion HTTPS à chaque demande.
- Utilisez le chiffrement à clé publique pour vérifier l'identité des autres entités avec lesquelles vous communiquez.
- Utilisez le chiffrement de bout en bout pour les vidéoconférences et les comptes de messagerie, et mettez en œuvre l'authentification multi-facteurs.
- Configurez des outils de détection et de suppression des logiciels malveillants et maintenez-les à jour.
- Utilisez des gestionnaires de mots de passe pour enregistrer, prévenir et protéger la réutilisation des mots de passe.
- Surveillez les journaux pour détecter les anomalies dans le trafic réseau.
- Utilisez DNS sur HTTPS pour vous protéger contre les attaques de détournement DNS.
Prévenez ou repentez-vous – c'est votre choix !
Les attaques de type man-in-the-middle peuvent causer des dommages importants à la sécurité des données et peuvent entraîner des répercussions légales. Vous devez mettre en place une défense robuste contre de telles attaques et rester bien informé et conscient du paysage des menaces actuel.
Même après avoir mis en place une défense solide, si vous devenez victime d'une attaque de type man-in-the-middle, vous devez maintenir un plan de réponse aux incidents pour faire face à de telles situations.
En savoir plus sur comment gérer les incidents de sécurité et y faire face avec un plan d'action clair.
Sagar Joshi
Sagar Joshi is a former content marketing specialist at G2 in India. He is an engineer with a keen interest in data analytics and cybersecurity. He writes about topics related to them. You can find him reading books, learning a new language, or playing pool in his free time.
