Qu'est-ce qu'une attaque d'homme au milieu?
Une attaque d'homme au milieu (MITM) se produit lorsqu'une personne se trouve entre deux ordinateurs (comme un ordinateur portable et un serveur distant) et intercepte le trafic. Cette personne peut espionner, voire intercepter, les communications entre les deux machines et voler des informations.
Les attaques par l'homme du milieu constituent un grave problème de sécurité. Voici ce que vous devez savoir et comment vous protéger.
Sommaire
Two’s Company, Three’s a Crowd
La «beauté» (faute d'un meilleur mot) des attaques MITM est que l'attaquant n'a pas nécessairement besoin d'avoir accès à votre ordinateur, que ce soit physiquement ou à distance. Il ou elle peut simplement s'asseoir sur le même réseau que vous et siffler tranquillement des données. Un MITM peut même créer son propre réseau et vous inciter à l'utiliser.
La façon la plus évidente de le faire est de s'asseoir sur un réseau Wi-Fi public non chiffré, comme ceux des aéroports ou des cafés. Un attaquant peut se connecter et, à l'aide d'un outil gratuit comme Wireshark, capturer tous les paquets envoyés entre un réseau. Il ou elle pourrait ensuite analyser et identifier les informations potentiellement utiles.
Cette approche ne porte pas autant de fruits qu’autrefois, grâce à la prévalence du HTTPS, qui fournit des connexions chiffrées aux sites Web et aux services. Un attaquant ne peut pas décoder les données chiffrées envoyées entre deux ordinateurs communiquant via une connexion HTTPS chiffrée.
Cependant, HTTPS seul n'est pas une solution miracle. Il existe des solutions de contournement qu'un attaquant peut utiliser pour l'annuler.
En utilisant un MITM, un attaquant peut tenter de tromper un ordinateur pour qu'il "rétrograde" sa connexion de cryptée à non cryptée. Il peut alors inspecter le trafic entre les deux ordinateurs.
Une attaque de «suppression de SSL» peut également se produire, dans laquelle la personne se trouve entre une connexion cryptée. Il capture ensuite et modifie potentiellement le trafic, puis le transmet à une personne sans méfiance.
Attaques basées sur le réseau et routeurs sans fil escrocs
Les attaques MITM se produisent également au niveau du réseau. Une approche est appelée ARP Cache Poisoning, dans laquelle un attaquant tente d'associer son adresse MAC (matérielle) à l'adresse IP de quelqu'un d'autre. En cas de succès, toutes les données destinées à la victime sont transmises à l'attaquant.
L'usurpation DNS est un type d'attaque similaire. DNS est le «répertoire téléphonique» d'Internet. Il associe des noms de domaine lisibles par l'homme, comme google.com, à des adresses IP numériques. En utilisant cette technique, un attaquant peut transmettre des requêtes légitimes à un faux site qu'il contrôle, puis capturer des données ou déployer des logiciels malveillants.
Une autre approche consiste à créer un point d'accès non autorisé ou à positionner un ordinateur entre l'utilisateur final et le routeur ou le serveur distant.
De manière écrasante, les gens font beaucoup trop confiance en ce qui concerne la connexion aux points d'accès Wi-Fi publics. Ils voient les mots "Wi-Fi gratuit" et ne s'arrêtent pas pour penser si un pirate infâme pourrait être derrière. Cela a été prouvé à plusieurs reprises avec un effet comique lorsque les gens ne lisent pas les termes et conditions sur certains points chauds. Par exemple, certains exigent que les gens nettoient les latrines sales du festival ou abandonnent leur premier-né.
La création d'un point d'accès non autorisé est plus facile qu'il n'y paraît. Il existe même des produits matériels physiques qui rendent cela incroyablement simple. Cependant, ceux-ci sont destinés aux professionnels légitimes de la sécurité de l'information qui effectuent des tests de pénétration dans la vie.
N'oublions pas non plus que les routeurs sont des ordinateurs qui ont généralement une sécurité déplorable. Les mêmes mots de passe par défaut ont tendance à être utilisés et réutilisés sur des lignes entières, et ils ont également un accès inégal aux mises à jour. Une autre voie d'attaque possible est un routeur injecté avec du code malveillant qui permet à un tiers d'effectuer une attaque MITM à distance.
Malware et attaques de type Man-in-the-Middle
Comme nous l'avons mentionné précédemment, il est tout à fait possible pour un adversaire d'effectuer une attaque MITM sans être dans la même pièce, ni même sur le même continent. Une façon de le faire est d'utiliser des logiciels malveillants.
Une attaque man-in-the-browser (MITB) se produit lorsqu'un navigateur Web est infecté par une sécurité malveillante. Cela se fait parfois via une extension bidon, ce qui donne à l'attaquant un accès presque illimité.
Par exemple, quelqu'un pourrait manipuler une page Web pour montrer quelque chose de différent du site authentique. Il ou elle pourrait également détourner des sessions actives sur des sites Web tels que les pages bancaires ou les réseaux sociaux et diffuser du spam ou voler des fonds.
Un exemple de cela était le cheval de Troie SpyEye, qui a été utilisé comme enregistreur de frappe pour voler les informations d'identification des sites Web. Il pourrait également remplir des formulaires avec de nouveaux champs, permettant à l'attaquant de capturer encore plus d'informations personnelles.
Comment vous protéger
Heureusement, il existe des moyens de vous protéger contre ces attaques. Comme pour toute sécurité en ligne, il s'agit d'une vigilance constante. Essayez de ne pas utiliser les points d'accès Wi-Fi publics. Essayez d'utiliser uniquement un réseau que vous contrôlez vous-même, comme un point d'accès mobile ou Mi-Fi.
A défaut, un VPN cryptera tout le trafic entre votre ordinateur et le monde extérieur, vous protégeant des attaques MITM. Bien sûr, ici, votre sécurité n'est aussi bonne que celle du fournisseur VPN que vous utilisez, alors choisissez avec soin. Parfois, cela vaut la peine de payer un peu plus pour un service auquel vous pouvez faire confiance. Si votre employeur vous propose un VPN lorsque vous voyagez, vous devez absolument l'utiliser.
Pour vous protéger des attaques MITM basées sur les logiciels malveillants (comme la variété man-in-the-browser), appliquez une bonne hygiène de sécurité. N'installez pas d'applications ou d'extensions de navigateur à partir d'endroits fragmentaires. Déconnectez-vous des sessions de site Web lorsque vous avez terminé ce que vous faites et installez un programme antivirus solide.