Les attaques MitM consistent à se placer entre la connexion de deux parties et à observer ou manipuler le trafic. Cela peut se faire en interférant avec des réseaux légitimes ou en créant de faux réseaux que l’attaquant contrôle.
Les attaques de type « man-in-the-middle » (MitM) sont un type courant d’attaque dans le monde de la cybersécurité, et qui permet aux attaquants d’ « écouter » la communication entre deux cibles. L’attaque a lieu entre deux hôtes communiquant légitimement, ce qui permet à l’attaquant de capter une conversation qu’il ne devrait normalement pas pouvoir écouter, d’où le nom « man-in-the-middle ». Dans cet article je vais vous expliquer comment vous en prémunir.
Découvrons cela,
Qu’est-ce qu’une attaque de type « man-in-the-middle » ?
Une attaque de type « man-in-the-middle » se produit lorsque la communication entre deux systèmes est interceptée par un tiers, alias un « man-in-the-middle ». Cela peut se produire dans n’importe quelle forme de communication en ligne, comme le courrier électronique, la navigation sur le web, les médias sociaux, etc.
Le man-in-the-middle peut utiliser une connexion Wi-Fi publique pour intercepter votre conversation ou essayer d’injecter des données dans votre connexion afin d’accéder à votre navigateur ou à l’application qui tente de transférer des données, ou encore compromettre l’ensemble de l’appareil. Une fois qu’il a accès à l’appareil, les dégâts qu’il peut causer sont infinis ; il peut voler des informations d’identification, transférer des fichiers de données, installer des logiciels malveillants ou même espionner l’utilisateur.
Exemple
Un salon professionnel réservé aux professionnels du tourisme a été victime d’une attaque de type Man-in-the-Middle lorsque le réseau wifi du centre de congrès a été compromis. Il y a eu d’innombrables incidents de vol de numéros de cartes de crédit, d’identifiants de connexion et de données personnelles, car les visiteurs utilisaient la connexion publique du salon sans protection.
Point d’accès malveillant
Les appareils essaient souvent de se connecter automatiquement au point d’accès Wifi qui émet le signal le plus fort. Les attaquants peuvent installer leur propre point d’accès sans fil et inciter les appareils à proximité à rejoindre son domaine. Tout le trafic réseau de la victime peut alors être manipulé par l’attaquant. C’est dangereux, car l’attaquant n’a même pas besoin d’être sur un réseau de confiance pour le faire – il lui suffit d’être suffisamment proche physiquement.
Types d’attaques de type « man-in-the-middle
Une attaque de type « man-in-the-middle » peut prendre de nombreuses formes, mais les plus courantes sont les suivantes.
Usurpation d’adresse IP
L’adresse IP (internet Protocol Address) est une étiquette numérique attribuée à chaque appareil qui se connecte à un réseau informatique utilisant le protocole internet pour communiquer. Les adresses IP ont deux fonctions principales : l’identification de l’hôte ou de l’interface réseau et l’adressage de l’emplacement. En usurpant une adresse IP, les attaquants vous font croire que vous interagissez avec un site web ou une entité fiable, ce qui leur permet d’accéder aux informations que vous auriez autrement gardées pour vous.
L’usurpation d’adresse HTTPS
Le protocole de transfert hypertexte (HTTP) représente la base de la communication de données pour le WW (World Wide Web), des documents hypertextes comprenant des hyperliens vers d’autres ressources auxquelles les utilisateurs peuvent accéder. HTTPS signifie qu’un site web est sécurisé et qu’on peut lui faire confiance, mais les attaquants peuvent toujours trouver des moyens de convaincre votre navigateur qu’un site web est sûr, même s’il ne l’est pas.
Usurpation du DNS
Le système de noms de domaine (DNS) est un système de dénomination hiérarchique et décentralisé pour les ordinateurs, les services ou d’autres ressources connectées à l’internet, qui traduit les noms de domaine, plus faciles à mémoriser, en adresses IP numériques nécessaires à la localisation et à l’identification. Par l’usurpation de DNS, un attaquant redirige le trafic vers un faux site web, dans le but de s’emparer de vos informations d’identification.
Détournement de SSL
SSL (Secure Sockets Layers) est un type de protocole qui établit des liens cryptés entre votre navigateur et le serveur Web. Lorsque vous vous connectez à un serveur sécurisé (garanti par HTTPS), vous vous attendez à ce que des protocoles de sécurité standard soient en place, protégeant les données partagées entre le serveur et vos appareils. Lorsque quelqu’un détourne SSL, les informations partagées entre l’appareil de la victime et le serveur sont interceptées par un autre terminal et un autre serveur sécurisé.
Détournement des emails
Le détournement d’e-mails est un type d’attaque de type « man-in-the-middle » utilisé par les cybercriminels pour cibler les comptes de messagerie des banques ou d’autres institutions financières. Une fois qu’ils ont obtenu l’accès, toutes les transactions entre une institution et ses clients peuvent être supervisées. Ce qui est encore plus dangereux, c’est que les clients suivront les instructions des attaquants tout en pensant qu’ils effectuent des opérations bancaires régulières.
Vol de cookies de navigateur
En langage technique, les cookies désignent de petits éléments d’information – comme les produits que vous ajoutez dans le panier d’une boutique en ligne ou vos coordonnées – que les sites web enregistrent sur vos appareils. En volant les cookies de vos sessions de navigation, les cybercriminels peuvent obtenir des mots de passe et divers autres types de données exclusives.
Les « écoutes » Wi-Fi
Ce type d’attaque man-in-the-middle est particulièrement dangereux : les pirates peuvent mettre en place des connexions Wi-Fi qui semblent légitimes, presque comme celles que vous connaissez probablement déjà. Si les utilisateurs s’y connectent, ils peuvent littéralement dire adieu à leur vie privée en ligne : toute leur activité en ligne (y compris les identifiants de connexion et les informations relatives aux cartes de paiement) sera aux mains des cybercriminels.
Les signes que vous êtes une victime
Voici les signes qui vous indiqueront que vous pourriez avoir un invité indésirable :
Vérifiez toujours deux fois les adresses dans votre barre d’adresse. Si vous voyez quelque chose d’anormal dans la barre d’adresse, faites une double vérification, même minime.
Par exemple : si vous voyez https://monsiteweb.com au lieu de www.monsiteweb.com, prenez des précautions.
Surveillez en permanence les déconnexions répétées sur les sites web. Les attaquants déconnectent généralement les utilisateurs pour avoir accès à leur nom d’utilisateur et à leur mot de passe chaque fois que l’utilisateur essaie de se reconnecter.
Vérifiez donc toujours ces signes pour savoir si vous êtes une victime.
Comment se protéger des attaques de type « Man in the Middle » ?
Utilisez des mots de passe forts
La SEULE façon d’empêcher les acteurs malveillants de voler vos mots de passe est d’utiliser un mot de pas unique pour chaque site web. Apprenez-en plus sur l’authentification sans mot de passe dès aujourd’hui et assurez la sécurité de vos applications les plus critiques en lisant mon article « Bitwarden : un gestionnaire de mot de passe, GRATUIT » ou « Nord VPN, votre allié pour votre sécurité sur le web ».
Utilisez un VPN sur le Wifi public
Un VPN crée un tunnel crypté entre votre appareil et le serveur VPN. L’ensemble de votre trafic passe par ce tunnel. Cela signifie que même si vous êtes obligé d’utiliser un site non HTPS, ou même si vous avez été trompé en utilisant un point d’accès wifi malveillant, vous conservez un certain degré de protection contre le MitM.
Prenons le problème du point d’accès wifi. Si vous vous êtes connecté au faux point d’accès d’un hôtel, du McDo, ce dernier sera en mesure de voir tout votre trafic. Mais, puisque tout votre trafic est crypté via le VPN, tout ce qu’elle obtient est un tas de codes cryptés illisibles qui fournissent très peu de données. Utiliser un VPN en permanence est une bonne idée, mais l’utiliser dans des situations douteuses comme le wifi public est indispensable.
J’en parle de cet article « La sécurité sur internet : le guide pour les débutants »
Assurez-vous de vous connecter en HTTPS
Bien que le protocole HTTPS soit lui-même sujet à des attaques, il est beaucoup plus sûr qu’une connexion HTTP standard. En outre, évitez les sites web protégés par HTTPS lorsque vous recevez une alerte signalant une incompatibilité de certificat. Bien que cette erreur ne soit généralement pas due à un piratage et soit souvent due à des paramètres incorrects, il vaut mieux prévenir que guérir.
Protégez votre appareil contre les logiciels malveillants et activez un pare-feu
L’installation et l’exécution régulière d’un logiciel antivirus et l’activation d’un pare-feu sur votre ordinateur qu’il soit sur Mac OS X ou Windows, vous protégeront également des attaques. De nombreuses attaques MitM impliquent l’installation de logiciels malveillants pour fonctionner.
Changez le mot de passe administrateur de votre routeur
De nombreux routeurs modernes sont connectés à internet. Changez le mot de passe administrateur (et le nom d’utilisateur si possible) pour empêcher les attaquants d’avoir accès à ses paramètres. Certains opérateurs, comme Free, propose de créer une connexion provisoire pour ses invités lors d’une soirée, cela évite de communiquer votre vrai mot de passe de votre Wifi. J’ai testé la fibre de chez Free, lisez mon article « J’ai testé la Free Delta, mon avis »
Quelle est la fréquence des attaques de MitM ?
Les attaques MitM ne sont pas aussi fréquentes que les attaques de phishing ou de ransomware, plus répandues, mais les estimations indiquent que jusqu’à 35 % des attaques en 2019 étaient liées à des tentatives d’exploitation par des attaques MitM.
