Qu'est-ce qu'une attaque de type “adversary-in-the-middle” (AiTM) ?

Une attaque de type “adversary-in-the-middle” (AiTM), par définition, est une forme d'écoute et de vol de données où un attaquant intercepte les données d'un expéditeur à un destinataire, puis du destinataire à l'expéditeur.

On parle d'un “homme du milieu” parce que le dispositif de l'attaquant se situe entre l'expéditeur et le destinataire et relaie les messages en silence sans qu'aucune des parties ne soit consciente de l'écoute.

L'attaquant est généralement situé sur le même réseau que l'utilisateur ciblé, mais l'écoute peut se faire sur un réseau distant si les données traversent le chemin où se trouve l'attaquant. En utilisant un AiTM, un attaquant peut obtenir des mots de passe, des informations personnelles identifiables (PII), de la propriété intellectuelle, des messages privés et des secrets commerciaux. Dans les attaques avancées, l'attaquant peut potentiellement installer un logiciel malveillant sur l'appareil d'un utilisateur ciblé.

Toute méthode permettant à un attaquant de lire la communication d'un tiers entre deux personnes est considérée comme une AiTM. Il est impératif que l'attaquant ne soit pas détecté, c'est pourquoi les attaquants s'introduisent souvent dans un réseau ou un compte personnel pour lire des informations pendant que deux parties communiquent et ne font rien qui puisse les alerter de l'activité de l'attaquant. Un bon AiTM permet à un attaquant de lire des informations pendant plusieurs mois avant d'être détecté.

La méthode la plus courante est l'empoisonnement du protocole de résolution d'adresse (ARP), généralement sur un réseau Wi-Fi public. Lorsqu'il se trouve sur le réseau, l'attaquant envoie un message à l'appareil d'un utilisateur ciblé pour lui demander d'utiliser l'appareil de l'attaquant comme passerelle par défaut.

L'attaquant envoie ensuite un message d'empoisonnement ARP à la passerelle par défaut (généralement le routeur Wi-Fi) indiquant que l'adresse IP de l'utilisateur ciblé doit être associée au dispositif de l'attaquant plutôt qu'à celui de l'utilisateur ciblé. L'appareil de l'attaquant se trouve ainsi au “milieu” de la communication entre l'utilisateur ciblé et la passerelle par défaut, ce qui permet à l'attaquant d'intercepter des données. En d'autres termes, le dispositif de l'attaquant agit comme un proxy similaire à un serveur proxy.

Si les données sont en clair (pas de connexion HTTPS), l'attaquant a accès à toutes les données transmises entre les deux parties. Par exemple, si un utilisateur s'authentifie dans une application en utilisant HTTP, le nom d'utilisateur et le mot de passe seront interceptés et visibles par l'attaquant.

Même les connexions HTTPS ne sont pas totalement à l'abri d'une attaque AiTM. Si le serveur accepte des connexions cryptographiques dépréciées utilisant des bibliothèques telles que TLS 1.0, les données chiffrées interceptées pourraient être vulnérables à des attaques par brute force où un attaquant peut les transformer en texte clair.

Avec cette méthode, l'attaquant envoie des messages d'empoisonnement ARP à l'expéditeur et au serveur destinataire, mais rétrograde la connexion HTTPS vers une bibliothèque non sécurisée et trompe l'appareil de l'utilisateur en rétrogradant l'algorithme de chiffrement. Le déclassement est invisible pour l'utilisateur, qui ne sait donc pas que la connexion HTTPS n'est pas sécurisée. Comme les données sont transmises par HTTPS, l'attaquant est toujours en mesure de les déchiffrer et de lire les communications.

Bien que l'empoisonnement ARP soit généralement connu comme une attaque AiTM, d'autres formes d'interception de données donnent également aux attaquants la possibilité de lire les communications privées entre deux parties.

Les cinq principales catégories d'attaques AiTM sont les suivantes :

• Le détournement d'e-mails : Les messages électroniques envoyés en clair peuvent être écoutés, mais un attaquant peut également lire les messages s'il obtient le nom d'utilisateur et le mot de passe du compte de messagerie d'un utilisateur ciblé. L'attaquant peut attendre en lisant silencieusement les messages jusqu'à ce que des informations sensibles soient transférées, comme une transaction financière, puis utiliser l'adresse électronique de l'utilisateur ciblé pour envoyer un message qui réacheminera les transferts d'argent vers le compte bancaire de l'attaquant.
• Écoute des communications Wi-Fi : Une connexion Wi-Fi mal sécurisée peut faire l'objet d'un AiTM utilisant une méthode appelée empoisonnement ARP. L'appareil de l'attaquant est utilisé comme passerelle par défaut entre l'expéditeur et le routeur Wi-Fi, où les données peuvent être interceptées et lues. Les attaquants utilisent également leurs propres hotspots malveillants pour inciter les utilisateurs à se connecter et à acheminer les communications via le hotspot contrôlé par l'attaquant.
• Détournement de session : Lorsque les utilisateurs se connectent à un serveur, une session unique est créée qui identifie l'utilisateur sur le serveur. Les attaquants ayant accès à ce jeton de session peuvent se faire passer pour l'utilisateur et lire les données d'une application Web.
• Usurpation d'adresse IP : En utilisant une adresse IP frauduleuse, un attaquant peut rediriger le trafic d'un site officiel vers un serveur contrôlé par l'attaquant.
• Usurpation de DNS : Tout comme l'usurpation d'adresse IP, l'usurpation de DNS modifie l'enregistrement de l'adresse d'un site web pour détourner le trafic vers un serveur contrôlé par l'attaquant. Toute information envoyée à ce serveur est interceptée par l'attaquant à l'insu des utilisateurs trompés.

Comme de plus en plus d'utilisateurs accèdent à l'internet avec un appareil mobile, les attaques AiTM ciblent souvent iOS ou Android. Les attaquants peuvent injecter du code dans une application, utiliser des applications malveillantes pour intercepter des données, ou installer leur propre proxy pour lire les données entre l'appareil et une API distante.

Par exemple, des proxys malveillants ont pu être utilisés pour lire des messages sur Tinder ou Twitter. L'épinglage des certificats a ensuite été utilisé pour mettre fin à ce problème, mais les attaquants travaillent toujours avec des apps malveillantes pour lire les données avant qu'une connexion distante ne soit établie et avant que les données ne soient chiffrées.

Le cheval de Troie bancaire Retefe a été créé pour intercepter les données entre un expéditeur et des serveurs financiers. Le malware a affecté les principaux navigateurs tels que Chrome, Firefox et Internet Explorer que la plupart des utilisateurs utilisent sur les ordinateurs de bureau. Il installe un faux certificat et achemine le trafic vers un serveur contrôlé par l'attaquant, utilisé comme proxy par défaut dans les paramètres du navigateur. Les données des utilisateurs sont collectées sur le serveur de l'attaquant et déchiffrées.

Le malware Retefe a été utilisé comme vecteur d'attaque pour des transactions bancaires dans la plupart des grandes institutions financières, mais ses principales cibles étaient des banques au Japon, en Suisse, au Royaume-Uni et en Suède.

Les attaques AiTM étant invisibles et silencieuses pour l'utilisateur ciblé, il est essentiel que les utilisateurs prennent les précautions nécessaires pour les prévenir. Il incombe également aux développeurs d'applications de s'assurer que leurs logiciels ne sont pas vulnérables aux attaques AiTM. Dans certains cas, les utilisateurs ne peuvent pas empêcher une attaque adversary-in-the-middle en raison de la manière dont une application est codée.

Quelques méthodes pour éviter d'être victime d'une attaque AiTM :

• Utilisez une authentification à deux facteurs sur les comptes de messagerie. Si un attaquant obtient les informations d'identification de votre compte de messagerie, il ne pourra pas réussir l'authentification, car il n'aura pas accès au code PIN 2FA.
• Utilisez des outils d'analyse du trafic sur le réseau. Ces outils aident les administrateurs à identifier le trafic suspect et fournissent des analyses sur l'utilisation des ports et des protocoles par les utilisateurs et les appareils.
• Utilisez l'épinglage des certificats sur les applications mobiles. L'épinglage des certificats permet d'établir une liste blanche des certifications approuvées, ce qui empêche l'utilisation de tout certificat contrôlé par un attaquant avec l'application. L'épinglage des certificats relève de la responsabilité du développeur de l'application.
• Utilisez un VPN sur les réseaux Wi-Fi publics. Avec un VPN, un attaquant peut intercepter des données mais ne peut pas les lire ni passer à un protocole de chiffrement plus faible, car le VPN utilise son propre algorithme de chiffrement pour regrouper les données et les transférer sur Internet.
• Sensibilisez les employés aux dangers du phishing. Certaines attaques de AiTM et de malware commencent par des attaques de phishing. Apprenez aux employés à identifier les attaques de phishing afin qu'ils n'installent pas de logiciels malveillants ou n'envoient pas d'informations d'identification aux attaquants.
• Intégrez la sécurité du courrier électronique. Les filtres de messagerie détecteront une majorité d'emails de phishing ou de messages avec des pièces jointes malveillantes et les enverront vers un stockage sécurisé en quarantaine où ils pourront être examinés par un administrateur.
• Ne vous connectez jamais à un point d'accès Wi-Fi inconnu. Les attaquants utilisent des hotspots malveillants dont le nom ressemble à celui d'une source officielle. Les utilisateurs ne doivent jamais se connecter à un Wi-Fi public sans vérifier au préalable qu'il appartient bien au fournisseur officiel.