Attaque Man-in-the-Middle (MiTM) : comment se protéger ?

Qu’est-ce qu’une attaque de l’Homme du Milieu (MitM) ?

L’attaque Man-in-the-Midle (MITM) consiste en une cyberattaque pendant laquelle un hacker parvient à s’infiltrer en toute discrétion dans un échange entre l’utilisateur et un système auquel il cherche à se connecter.

Pour ce faire, le pirate informatique exploite les failles de certains protocoles de sécurité lors de la connexion à un service en ligne ou à un site web, par exemple. Son objectif : dérober des données sensibles de type identifiants et mots de passe, informations bancaires, conversations privées, propriété intellectuelle ou secrets commerciaux.

Comment fonctionne une attaque MitM ?

Quelles sont les étapes d’une attaque Man in the Middle ?

Une attaque de l’Homme du Milieu suit toujours le même process :

1. Intrusion dans le réseau entre l’utilisateur et sa destination.
2. Surveillance, avec interception de données, et parfois manipulation du trafic en temps réel.
3. Exfiltration des informations dérobées.

Quels sont les impacts d’une attaque MitM sur les utilisateurs et les entreprises ?

Une attaque Man in the Middle peut avoir des conséquences lourdes pour les victimes, qu’il s’agisse de particuliers, d’entreprises ou d’organisations. Ces dommages peuvent ainsi consister en :

• une perte de données avec des conséquences sur l’activité et parfois des conséquences financières
• une compromission de comptes (accès non autorisé à des applications ou sites)
• des vols d’informations personnelles pouvant aboutir à une usurpation d’identité, un vol de fonds
• la révélation d’informations confidentielles via la surveillance et l’enregistrement d’échanges par courriel ou messagerie instantanée pouvant nuire à la réputation de la personne ou de l’entreprise, voire interrompre des opérations commerciales
• une amende et/ou une condamnation juridique si la responsabilité de l’entreprise victime se révèle engagée par un manque de sécurisation des accès aux données de ses clients (non-conformité aux normes RGPD).

Quels sont les différents types d’attaques de l’Homme du Milieu ?

ARP Poisoning (Empoisonnement ARP)

Le mode opératoire repose sur l’intoxication du protocole de résolution d’adresse (ARP), lequel permet à l’ordinateur de l’utilisateur doté d’une adresse IP de se connecter via un réseau local au dispositif souhaité pourvu d’une adresse MAC.

Or, en empoisonnant le processus de connexion ARP, cette technique induit l’ordinateur de la victime en erreur. Elle lui fait alors croire que l’ordinateur du pirate est la passerelle du réseau local auquel il cherche à se connecter.

L’adresse IP de la victime se connecte alors à l’adresse MAC du pirate. Le fraudeur parvient ainsi à détourner le trafic et peut voler les informations souhaitées.

DNS Poisoning (Empoisonnement DNS)

Il s’agit là encore d’une usurpation qui touche, cette fois-ci, un nom de domaine. L’arnaque consiste alors à manipuler les enregistrements DNS pour détourner le trafic d’un site web légitime vers un site web usurpé ou un faux site Internet.

La victime, ayant une grande confiance dans le site légitime qu’il connaît, ne s’aperçoit alors pas de la supercherie. Elle accepte même de suivre une procédure inhabituelle (sollicitée par le hacker) la poussant à communiquer ses informations de connexion ou de compte bancaire que le hacker s’empresse de collecter.

SSL Stripping et attaques sur HTTPS

Ce hacking a lieu grâce au détournement du protocole de sécurité SSL utilisé par de nombreux sites web pour protéger leurs données.

Pour intercepter des données, le pirate tire parti des vulnérabilités du protocole SSL (plus ancien que le protocole TLS). Il parvient, en effet, à s’immiscer entre l’ordinateur de l’internaute et le serveur sécurisé. Il peut alors récupérer les données partagées avec celui-ci.

Session Hijacking (Détournement de Session)

Autre type d’attaque Man-in-the-Middle, le détournement de session implique pour le pirate de récupérer le cookie qui a permis à un utilisateur de se connecter à une application. En interceptant cet élément, il peut ainsi se connecter au compte de sa victime, qu’il s’agisse d’un compte de messagerie, d’un compte bancaire...

Wi-Fi Eavesdropping (Écoute clandestine sur Wi-Fi)

Ici, c’est le réseau Wi-Fi qui est impliqué. Les hackers proposent aux victimes la connexion à un réseau Wi-Fi gratuit et proche qui semble inoffensif (ressemblant à un réseau Wi-Fi d’entreprise ou d’un lieu public).

Une fois que les utilisateurs sont connectés à ce réseau Wi-Fi qui se révèle finalement malveillant, les assaillants ont tout le loisir de surveiller leur activité et d’intercepter leurs données sensibles (identifiants, mots de passe, informations de carte de crédit…).

Exemples célèbres d’attaques de l’Homme du Milieu

De nombreuses entreprises ont été victimes d’une attaque de type Homme du Milieu. Parmi les plus célèbres, Google (en 2013), Lenovo (en 2015) ou Equifax (en 2017).

En 2017, une autre attaque Man in the Middle a touché, quant à elle, plusieurs banques de premier plan (parmi lesquelles HSBC, Allied Irish Bank, Santander…) du fait de l’existence d’une faille dans les applications bancaires mobiles.

La vulnérabilité venait d’une solution d’épinglage de certificat d’authentification qui avait pour objectif d’empêcher le recours à des certificats contrefaits, mais qui a permis aux hackers de passer inaperçu.

Si cette faille semble heureusement ne pas avoir été exploitée, celle-ci aurait pu permettre aux malfaiteurs de prendre le contrôle des services bancaires des usagers.

Comment se protéger contre les attaques MitM ?

La meilleure solution pour se protéger des attaques MiTM est de les prévenir en adoptant les bonnes pratiques :

• Installer des logiciels antivirus pour détecter les logiciels et comportements malveillants.
• Mettre en place un pare-feu pour sécuriser vos connexions Internet.
• Adopter des mots de passe variés et suffisamment forts pour vous connecter à vos différents comptes. L’authentification multifacteurs est aussi vivement conseillée.
• Renoncer à utiliser un réseau Wi-Fi public ou non protégé pour réaliser des connexions nécessitant la communication de données personnelles.
• Utiliser un VPN (Réseau Privé Virtuel) pour crypter votre activité en ligne lorsque vous souhaitez vous connecter à Internet depuis un lieu public.
• Vous déconnecter rapidement des sites sensibles exigeant une authentification dès votre activité terminée afin d’éviter tout détournement de session.

Conclusion : Comment se former contre les attaques MitM ? 

Vous avez pu le constater, au cours de cet article, les attaques MITM peuvent avoir des conséquences majeures tant pour un particulier que pour une entreprise. L’une des meilleures options pour se protéger de ce type de cyberattaques et des autres est d’être sensibilisé aux bonnes pratiques.

Vous souhaitez vous former ou former vos collaborateurs à ces pratiques vertueuses pour vous épargner un maximum de cyberattaques ? Pour répondre à vos attentes, Jedha a conçu :

• une formation de Cybersécurité pour débutants à suivre en 2 semaines.
• une formation avancée en Cybersécurité (d’une durée de 3 mois) si vous souhaitez savoir comment intervenir en cas d’attaque ou si vous souhaitez développer des compétences professionnelles en cybersécurité pour aider les entreprises à s’en protéger.

Questions fréquentes à propos des attaques Man in the Middle 

Quelle est la différence entre une attaque AitM et MitM ?

Les attaques nommées « Adversary-In-The-Middle » sont des variantes des attaques MitM. Toutefois, si ces deux cyberattaques consistent en l’interception et l’exploitation de communications, elles présentent des différences non-négligeables. 

Ainsi, dans une attaque AitM, le pirate ne se contente pas d’intercepter et de manipuler les données. Il est actif et prend le contrôle de l’infrastructure réseau.

Qu’est-ce qu’une attaque DDoS ?

Une attaque DDoS, ou attaque par déni de service distribué, a pour objectif de rendre un site web, un routeur, un serveur ou un réseau inaccessible. Les pirates procèdent en submergeant leur cible de trafic malveillant, créant une sorte d’embouteillage. Les requêtes d’accès des utilisateurs légitimes ne peuvent donc aboutir et la cible semble donc en panne.