L’attaque man-in-the-middle

Sécurité / Par / 23 janvier 2023
L'attaque man-in-the-middle
Table des matières
  1. L’attaque man-in-the-middle : qu’est-ce que c’est ?
  2. Les différents types d’attaque de l’homme du milieu
  3. Comment se protéger contre l’attaque man-in-the-middle
  4. Est-il possible de repérer une attaque MITM ?
  5. Comprendre le fonctionnement de l’attaque man-in-the-middle

L’attaque man-in-the-middle : qu’est-ce que c’est ?

Les systèmes informatiques, en particulier ceux sur lesquels circulent des informations personnelles ou des données sensibles (numéro de carte bancaire, secrets commerciaux…) cherchent à garantir la sécurité des informations échangées.

Pour sécuriser un système ou une communication, trois facteurs sont nécessaires :

  • La confidentialité des informations, ce qui veut dire que les communications sont cryptées et indéchiffrables par toute personne non autorisée.
  • L’authenticité des participants à la communication, c’est-à-dire que l’émetteur et le destinataire sont réellement qui ils sont et ne sont pas un ennemi ou un attaquant ayant usurpé leur identité.
  • L’intégrité de la communication, c’est-à-dire que les informations circulant entre l’émetteur et le destinataire ne sont pas interceptées pour être transformées avant d’arriver au destinataire.

Il existe une attaque capable de réduire à néant ces trois facteurs garantissant la sécurité d’un système ou d’une communication, c’est l’attaque man-in-the-middle (MITM), en français l’attaque de l’homme du milieu (HDM).

Dans cette attaque, le pirate se place entre l’émetteur et le destinataire d’une communication et écoute tout ce qui est échangé. L’émetteur et le destinataire peuvent être des personnes, des entreprises ou des serveurs. Le pirate peut non seulement lire toutes les informations qui circulent mais il peut également, s’il le souhaite, les bloquer ou les modifier.

Le but des attaques man-in-the-middle est d’espionner la victime sans que celle-ci ne se doute de rien afin de lui voler des informations comme des documents confidentiels ou des identifiants et mots de passe. Le pirate va utiliser les identifiants et mots de passe ou les numéros de carte bancaire pour ensuite voler l’argent de la victime.

Les différents types d’attaque de l’homme du milieu

Pirate faisant une attaque man-in-the-middle

Piratage de réseau Wi-Fi

Les Wi-Fi publics peuvent très facilement faire l’objet d’une attaque man-in-the-middle. Dans ce genre d’attaque, le pirate et la victime sont sur le même réseau Wi-Fi public. Le pirate va envoyer un message à l’appareil de la victime pour lui dire de passer par son ordinateur au lieu de passer par le routeur Wi-Fi. Il va également envoyer des messages au routeur Wi-Fi destinés à perturber son fonctionnement et à faire en sorte qu’il associe l’IP de l’appareil de la victime à l’ordinateur du pirate.

Si la victime va sur des sites en HTTP le trafic est non crypté et le pirate va alors avoir accès à tout en clair. Si la victime se connecte à des sites sécurisés, c’est-à-dire en HTTPS, le pirate va alors faire en sorte de dégrader la connexion HTTPS vers une connexion HTTP. Il existe des méthodes pour faire cela de façon plus ou moins invisible pour la victime.

À cela s’ajoute le fait que certains pirates mettent en place leur propre réseau Wi-Fi dans les lieux publics afin d’inciter les utilisateurs à s’y connecter. Si vous voyez plusieurs réseaux McDonald’s Free Wifi, il est possible que l’un d’entre eux soit celui d’un pirate.

Pour finir, vous devez savoir que certains réseaux Wi-Fi privés sont insuffisamment sécurisés car utilisent des protocoles dépassés comme le WEP ou le WPA. Ainsi, si vous avez une box internet ou un routeur Wi-Fi qui a été fabriqué avant 2005, il est sûr qu’il utilise l’un ou l’autre de ces anciens protocoles. Les routeurs Wi-Fi pouvant avoir une portée allant jusqu’à 100 mètres, un pirate à l’extérieur de chez vous et dans le périmètre de votre box, va facilement pouvoir faire une attaque man-in-the-middle.

Piratage de réseau filaire

La plupart du temps, les entreprises sont équipées d’un réseau filaire avec des prises Ethernet dans les bureaux, les salles de réunion et parfois même dans les endroits ouverts au public comme les salles d’attente, les showrooms ou la réception. Généralement ces prises sont connectées à l’ensemble du réseau de l’entreprise y compris les serveurs. Ces prises Ethernet sont prévues pour les employés de l’entreprise et c’est normal qu’ils aient accès à l’ensemble des ressources de l’entreprise à l’exception des dossiers réservés à certaines personnes et protégés par identifiant et mot de passe.

Cependant il peut arriver que des clients, des fournisseurs ou des partenaires viennent dans les locaux de l’entreprise et se connectent à une prise Ethernet. Ils pourraient alors effectuer une attaque man-in-the-middle et voler des informations confidentielles sur l’entreprise, des identifiants et mots de passe, espionner les emails, etc.

Mais ce n’est pas là le seul moyen de pirater un réseau filaire. Toutes vos connexions à internet passent par votre fournisseur d’accès à internet. Eh bien techniquement, il est en position de man-in-the-middle. Il est très peu probable qu’il mène une attaque man-in-the-middle, mais il pourrait être lui-même piraté. Le pirate pourrait alors opérer une attaque man-in-the-middle sur tous ses abonnés, y compris vous.

C’est malheureusement, la même chose avec les VPN. Ils créent un tunnel crypté entre vous et internet ce qui veut dire qu’ils sont dans en position de man-in-the-middle entre vous et internet. Ils ne vont pas vous attaquer mais ils peuvent se faire pirater et les pirates peuvent eux faire une attaque man-in-the-middle sur vous.

C’est exactement la même chose si vous utilisez un serveur proxy étant donné que votre connexion avec internet passe par lui.

Corruption du cache des serveurs DNS (DNS cache poisoning)

Dans cette attaque, le pirate va submerger de requêtes le cache des serveurs DNS afin d’en perturber le fonctionnement. Les services des serveurs DNS étant dégradés, le pirate va pouvoir modifier chez eux l’adresse IP du site qu’il veut attaquer et mettre à la place l’adresse IP de son propre site. Toutes les requêtes destinées au site attaqué vont être acheminées vers son propre site. Une fois reçues, il va les rediriger vers le site cible afin de passer inaperçu. Imaginez les dégâts si le pirate arrive à opérer une telle attaque sur le site d’une banque ou d’un site e-commerce : il va pouvoir récupérer tous les identifiants et mots de passe des personnes voulant se connecter à leur compte.

Comment se protéger contre l’attaque man-in-the-middle

Site sécurisé en HTTPS

Le meilleur moyen de se protéger contre une attaque man-in-the-middle est d’adopter un certain nombre de bonnes pratiques en matière de sécurité :

  • N’utilisez jamais de Wi-Fi publics.
  • N’allez que sur des sites en HTTPS et jamais sur des sites en HTTP.
  • Vérifiez que l’adresse du site sur lequel vous vous rendez commence par https et qu’il y a un cadenas vert à gauche de la barre d’adresse.
  • Faites en sorte que votre système d’exploitation, vos applis et vos logiciels soient tout le temps à jour. Assurez-vous que votre ordinateur ait un pare-feu et un antivirus à jour et efficaces.
  • Utilisez des mots de passe longs, complexes et différents pour tous les sites sensibles (comptes de messagerie, banques en ligne, sites e-commerce ayant votre numéro de CB). Utilisez un gestionnaire de mots de passe.
  • Pour les sites sensibles, utilisez une authentification à deux facteurs.
  • Pour les sites sensibles, quand vous avez fini, déconnectez-vous en appuyant sur le bouton déconnexion. Cela évitera à un éventuel pirate de récupérer vos cookies de connexion.
  • Méfiez-vous de l’hameçonnage (phishing en anglais). L’hameçonnage est le fait de recevoir un email apparemment en provenance d’une entreprise ou d’un organisme officiel. Ne cliquez jamais sur aucun lien de tels emails, ni n’ouvrez jamais aucune de leurs pièces jointes. En cliquant sur un lien ou en ouvrant une pièce jointe, cela déclenche généralement l’installation d’un virus sur votre ordinateur. Le pirate peut ensuite entreprendre une attaque man-in-the-middle.
  • Utilisez un VPN, surtout si vous allez sur internet par l’intermédiaire d’un réseau Wi-Fi public.

Si vous devez absolument utiliser un Wi-Fi public, en plus des mesures précédentes suivez ces recommandations :

  • Un réseau Wi-Fi auquel vous essayez de vous connecter peut être celui d’un pirate. Ne faites jamais confiance au nom du Wi-Fi public auquel vous voulez vous connecter. À Roissy, un réseau Wi-Fi public nommé Roissy CDG Free Wifi pourrait très bien ne pas être le Wi-Fi officiel de l’aéroport de Roissy Charles de Gaulle mais celui d’un pirate. Demandez toujours au personnel du lieu public en question quel est le nom du réseau Wi-Fi public officiel. S’il y a plusieurs réseaux Wi-Fi portant le même nom, par exemple Roissy CDG Free Wifi, il est probable que l’un d’entre eux soit celui d’un pirate.
  • Quand vous avez localisé le réseau Wi-Fi officiel, ne vous y connectez que par l’intermédiaire d’un VPN. Si vous n’avez pas de VPN, ne saisissez jamais aucune donnée personnelle, aucun identifiant, aucun mot de passe. N’allez sur aucun site qui a besoin de votre identifiant et votre mot de passe pour que vous vous y connectiez, qu’il vous les demande ou qu’il les récupère car ils sont enregistrés dans un cookie sur votre ordinateur. Ne vous connectez pas à votre compte Gmail, Amazon, Apple Store, Google Play, etc.

Est-il possible de repérer une attaque MITM ?

Les personnes ou les entreprises victimes d’une attaque man-in-the-middle n’ont généralement aucun moyen de savoir qu’ils subissent une telle attaque. En effet, il est très facile pour l’attaquant de passer inaperçu et de faire en sorte que la victime ne se rende compte de rien.

Les navigateurs web détectent et vous alertent si vous vous connectez à un site utilisant le protocole http non sécurisé. Tous les sites des banques, tous les sites e-commerce, tous les gros sites, tous les sites sérieux utilisent le protocole https. Donc si vous vous connectez à un tel site et qu’un pirate a réussi une attaque man-in-the-middle, il va pouvoir intercepter tout votre trafic avec le site en question. Cependant il ne pourra pas le lire car tout ce qui circule entre vous et le site en https est crypté.

Il va donc être obligé d’utiliser des moyens pour dégrader la connexion et la faire passer en http. Normalement votre navigateur devrait vous en informer et vous dire que vous vous apprêtez à vous connecter à un site non sécurisé.

Par mesure de sécurité supplémentaire, quand vous saisissez des données sensibles sur un site (votre identifiant de connexion et votre mot de passe, votre numéro de carte bleue), vérifiez toujours la présence du cadenas à gauche de la barre d’adresse et vérifiez que l’adresse du site commence bien par https.

Comprendre le fonctionnement de l’attaque man-in-the-middle

Partager la publication "L’attaque man-in-the-middle"

  • Facebook
  • LinkedIn
  • Pinterest
  • Twitter
Articles similaires
Les dangers du spam
Qu’est-ce qu’un spam et est-il dangereux ?
La sécurité sous Linux
Sécurité sous Linux et sécurité des distributions Linux
Façons de générer un mot de passe sécurisé
Comment générer un mot de passe sécurisé ?
Le Wifi est-il sécurisé ?
Réseaux Wi-Fi : sécurité, mot de passe, fonctionnement
Comment assurer sa sécurité sur internet
Sécurité internet : comment surfer de manière sécurisée et protéger vos données numériques
Niveau de sécurité du protocole HTTPS
Le protocole HTTPS est-il sécurisé ?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut