Qu'est-ce qu'une attaque de type “man-in-the-middle” (MitM) ?

Découvrir la protection avancée de Proofpoint Rapport 2022 sur l'ingénierie sociale

Une attaque de type “man-in-the-middle” (MitM), par définition, est une forme d'écoute et de vol de données où un attaquant intercepte les données d'un expéditeur à un destinataire, puis du destinataire à l'expéditeur.

On parle d'un “homme du milieu” parce que le dispositif de l'attaquant se situe entre l'expéditeur et le destinataire et relaie les messages en silence sans qu'aucune des parties ne soit consciente de l'écoute.

L'attaquant est généralement situé sur le même réseau que l'utilisateur ciblé, mais l'écoute peut se faire sur un réseau distant si les données traversent le chemin où se trouve l'attaquant. En utilisant un MitM, un attaquant peut obtenir des mots de passe, des informations personnelles identifiables (PII), de la propriété intellectuelle, des messages privés et des secrets commerciaux. Dans les attaques avancées, l'attaquant peut potentiellement installer un logiciel malveillant sur l'appareil d'un utilisateur ciblé.

Comment fonctionne une attaque de type “Man-in-the-Middle” ?

Toute méthode permettant à un attaquant de lire la communication d'un tiers entre deux personnes est considérée comme une MitM. Il est impératif que l'attaquant ne soit pas détecté, c'est pourquoi les attaquants s'introduisent souvent dans un réseau ou un compte personnel pour lire des informations pendant que deux parties communiquent et ne font rien qui puisse les alerter de l'activité de l'attaquant. Un bon MitM permet à un attaquant de lire des informations pendant plusieurs mois avant d'être détecté.

La méthode la plus courante est l'empoisonnement du protocole de résolution d'adresse (ARP), généralement sur un réseau Wi-Fi public. Lorsqu'il se trouve sur le réseau, l'attaquant envoie un message à l'appareil d'un utilisateur ciblé pour lui demander d'utiliser l'appareil de l'attaquant comme passerelle par défaut.

L'attaquant envoie ensuite un message d'empoisonnement ARP à la passerelle par défaut (généralement le routeur Wi-Fi) indiquant que l'adresse IP de l'utilisateur ciblé doit être associée au dispositif de l'attaquant plutôt qu'à celui de l'utilisateur ciblé. L'appareil de l'attaquant se trouve ainsi au “milieu” de la communication entre l'utilisateur ciblé et la passerelle par défaut, ce qui permet à l'attaquant d'intercepter des données. En d'autres termes, le dispositif de l'attaquant agit comme un proxy similaire à un serveur proxy.

Si les données sont en clair (pas de connexion HTTPS), l'attaquant a accès à toutes les données transmises entre les deux parties. Par exemple, si un utilisateur s'authentifie dans une application en utilisant HTTP, le nom d'utilisateur et le mot de passe seront interceptés et visibles par l'attaquant.

Même les connexions HTTPS ne sont pas totalement à l'abri d'une attaque MitM. Si le serveur accepte des connexions cryptographiques dépréciées utilisant des bibliothèques telles que TLS 1.0, les données chiffrées interceptées pourraient être vulnérables à des attaques par brute force où un attaquant peut les transformer en texte clair.

Avec cette méthode, l'attaquant envoie des messages d'empoisonnement ARP à l'expéditeur et au serveur destinataire, mais rétrograde la connexion HTTPS vers une bibliothèque non sécurisée et trompe l'appareil de l'utilisateur en rétrogradant l'algorithme de chiffrement. Le déclassement est invisible pour l'utilisateur, qui ne sait donc pas que la connexion HTTPS n'est pas sécurisée. Comme les données sont transmises par HTTPS, l'attaquant est toujours en mesure de les déchiffrer et de lire les communications.

Types d'attaques Man-in-the-Middle

Bien que l'empoisonnement ARP soit généralement connu comme une attaque MitM, d'autres formes d'interception de données donnent également aux attaquants la possibilité de lire les communications privées entre deux parties.

Les cinq principales catégories d'attaques MitM sont les suivantes :

  • Le détournement d'e-mails : Les messages électroniques envoyés en clair peuvent être écoutés, mais un attaquant peut également lire les messages s'il obtient le nom d'utilisateur et le mot de passe du compte de messagerie d'un utilisateur ciblé. L'attaquant peut attendre en lisant silencieusement les messages jusqu'à ce que des informations sensibles soient transférées, comme une transaction financière, puis utiliser l'adresse électronique de l'utilisateur ciblé pour envoyer un message qui réacheminera les transferts d'argent vers le compte bancaire de l'attaquant.
  • Écoute des communications Wi-Fi : Une connexion Wi-Fi mal sécurisée peut faire l'objet d'un MitM utilisant une méthode appelée empoisonnement ARP. L'appareil de l'attaquant est utilisé comme passerelle par défaut entre l'expéditeur et le routeur Wi-Fi, où les données peuvent être interceptées et lues. Les attaquants utilisent également leurs propres hotspots malveillants pour inciter les utilisateurs à se connecter et à acheminer les communications via le hotspot contrôlé par l'attaquant.
  • Détournement de session : Lorsque les utilisateurs se connectent à un serveur, une session unique est créée qui identifie l'utilisateur sur le serveur. Les attaquants ayant accès à ce jeton de session peuvent se faire passer pour l'utilisateur et lire les données d'une application Web.
  • Usurpation d'adresse IP : En utilisant une adresse IP frauduleuse, un attaquant peut rediriger le trafic d'un site officiel vers un serveur contrôlé par l'attaquant.
  • Usurpation de DNS : Tout comme l'usurpation d'adresse IP, l'usurpation de DNS modifie l'enregistrement de l'adresse d'un site web pour détourner le trafic vers un serveur contrôlé par l'attaquant. Toute information envoyée à ce serveur est interceptée par l'attaquant à l'insu des utilisateurs trompés.

Études de cas d’attaques Man-in-the-Middle

Comme de plus en plus d'utilisateurs accèdent à l'internet avec un appareil mobile, les attaques MitM ciblent souvent iOS ou Android. Les attaquants peuvent injecter du code dans une application, utiliser des applications malveillantes pour intercepter des données, ou installer leur propre proxy pour lire les données entre l'appareil et une API distante.

Par exemple, des proxys malveillants ont pu être utilisés pour lire des messages sur Tinder ou Twitter. L'épinglage des certificats a ensuite été utilisé pour mettre fin à ce problème, mais les attaquants travaillent toujours avec des apps malveillantes pour lire les données avant qu'une connexion distante ne soit établie et avant que les données ne soient chiffrées.

Le cheval de Troie bancaire Retefe a été créé pour intercepter les données entre un expéditeur et des serveurs financiers. Le malware a affecté les principaux navigateurs tels que Chrome, Firefox et Internet Explorer que la plupart des utilisateurs utilisent sur les ordinateurs de bureau. Il installe un faux certificat et achemine le trafic vers un serveur contrôlé par l'attaquant, utilisé comme proxy par défaut dans les paramètres du navigateur. Les données des utilisateurs sont collectées sur le serveur de l'attaquant et déchiffrées.

Le malware Retefe a été utilisé comme vecteur d'attaque pour des transactions bancaires dans la plupart des grandes institutions financières, mais ses principales cibles étaient des banques au Japon, en Suisse, au Royaume-Uni et en Suède.

Comment prévenir les attaques MitM

Les attaques MitM étant invisibles et silencieuses pour l'utilisateur ciblé, il est essentiel que les utilisateurs prennent les précautions nécessaires pour les prévenir. Il incombe également aux développeurs d'applications de s'assurer que leurs logiciels ne sont pas vulnérables aux attaques MitM. Dans certains cas, les utilisateurs ne peuvent pas empêcher une attaque man-in-the-middle en raison de la manière dont une application est codée.

Quelques méthodes pour éviter d'être victime d'une attaque MitM :

  • Utilisez une authentification à deux facteurs sur les comptes de messagerie. Si un attaquant obtient les informations d'identification de votre compte de messagerie, il ne pourra pas réussir l'authentification, car il n'aura pas accès au code PIN 2FA.
  • Utilisez des outils d'analyse du trafic sur le réseau. Ces outils aident les administrateurs à identifier le trafic suspect et fournissent des analyses sur l'utilisation des ports et des protocoles par les utilisateurs et les appareils.
  • Utilisez l'épinglage des certificats sur les applications mobiles. L'épinglage des certificats permet d'établir une liste blanche des certifications approuvées, ce qui empêche l'utilisation de tout certificat contrôlé par un attaquant avec l'application. L'épinglage des certificats relève de la responsabilité du développeur de l'application.
  • Utilisez un VPN sur les réseaux Wi-Fi publics. Avec un VPN, un attaquant peut intercepter des données mais ne peut pas les lire ni passer à un protocole de chiffrement plus faible, car le VPN utilise son propre algorithme de chiffrement pour regrouper les données et les transférer sur Internet.
  • Sensibilisez les employés aux dangers du phishing. Certaines attaques de MitM et de malware commencent par des attaques de phishing. Apprenez aux employés à identifier les attaques de phishing afin qu'ils n'installent pas de logiciels malveillants ou n'envoient pas d'informations d'identification aux attaquants.
  • Intégrez la sécurité du courrier électronique. Les filtres de messagerie détecteront une majorité d'emails de phishing ou de messages avec des pièces jointes malveillantes et les enverront vers un stockage sécurisé en quarantaine où ils pourront être examinés par un administrateur.
  • Ne vous connectez jamais à un point d'accès Wi-Fi inconnu. Les attaquants utilisent des hotspots malveillants dont le nom ressemble à celui d'une source officielle. Les utilisateurs ne doivent jamais se connecter à un Wi-Fi public sans vérifier au préalable qu'il appartient bien au fournisseur officiel.

Fiche menace : Attaques de la chaîne logistique

Les attaques des cybercriminels se font de plus en plus audacieuses et sophistiquées. Dans le cadre d'une attaque de la chaîne logistique, une seule compromission peut faire de nombreuses victimes, tous les clients et partenaires du fournisseur compromis étant susceptibles d'être exposés.

Rapport : Voice of the CISO 2022

Bien que moins mouvementée que la précédente, l'année 2021 a été particulièrement intense pour les professionnels de la cybersécurité.

Le facteur humain 2022

S'appuyant sur les données recueillies par nos produits et chercheurs, le rapport Le facteur humain 2022 revient sur une année qui a propulsé la cybersécurité sur le devant de la scène.