Attaques de l'homme du milieu (MITM)
Qu'est-ce qu'une attaque de l'homme du milieu ?
Une attaque de type homme du milieu, ou MITM, est une cyberattaque lors de laquelle un cybercriminel intercepte des données envoyées entre deux entreprises ou individus. L'objectif de cette interception est de voler, d'écouter ou de modifier les données à des fins malveillantes, comme l'extorsion de fonds.
Comment fonctionne une une attaque de l'homme du milieu ?
Les attaques de l'homme du milieu reposent sur la manipulation de réseaux existants ou la création de réseaux malveillants, contrôlés par le cybercriminel. Le pirate intercepte le trafic et le laisse transiter, recueillant des informations au passage, ou le redirige vers un autre endroit.
Les pirates agissent essentiellement en tant qu'« intermédiaires » entre la personne qui envoie des informations et celle qui les reçoit, d'où le nom « d'attaque de l'homme du milieu ». Ces attaques sont étonnamment courantes, en particulier sur les réseaux WiFi publics. Le WiFi public n'étant souvent pas sécurisé, vous ne pouvez pas savoir qui surveille ou intercepte le trafic web, puisque n'importe qui peut s'y connecter.
Types d'attaques MITM
Il existe plusieurs types d'attaques de l'homme du milieu, ce qui en fait l'une des cybermenaces les plus polyvalentes à l'heure actuelle.
Wi-Fi public
L'une des méthodes d'attaque MITM les plus répandues est le Wi-Fi public. Le Wi-Fi public est souvent non sécurisé, permettant ainsi aux cybercriminels de voir le trafic web de n'importe quel appareil connecté au réseau et de récupérer les informations dont ils ont besoin.
Point d'accès pirate
Un point d'accès pirate est un point d'accès sans fil installé sur un réseau légitime. Il permet au cybercriminel d'intercepter ou de surveiller le trafic entrant, et souvent de le réacheminer vers un réseau entièrement différent pour encourager le téléchargement de logiciels malveillants ou extorquer l'utilisateur. Un malware est un type de logiciel malveillant installé sur l'appareil d'une victime pour espionner et voler des données.
IP Spoofing
L'usurpation d'adresse IP consiste à modifier une adresse IP pour rediriger le trafic vers le site web d'un pirate. Le pirate « usurpe » l'adresse en modifiant les en-têtes des paquets pour se faire passer pour une application ou un site web légitime.
ARP Spoofing
Cette attaque lie l'adresse MAC de l'attaquant à l'adresse IP de la victime sur un réseau local au moyen de faux messages ARP. Toutes les données envoyées au réseau local par la victime sont redirigées vers l'adresse MAC du cybercriminel, permettant à celui-ci d'intercepter et de manipuler les données à sa guise.
DNS Spoofing
Le cybercriminel s'introduit dans le serveur DNS d'un site et modifie l'enregistrement de l'adresse web de celui-ci. L'enregistrement DNS modifié redirige le trafic entrant vers le site du cybercriminel.
HTTPS Spoofing
Lorsqu'un utilisateur se connecte à un site sécurisé avec le préfixe https://, le cybercriminel envoie un faux certificat de sécurité au navigateur. Ceci fait croire au navigateur que la connexion est sécurisée, alors qu'en fait, le cybercriminel intercepte et éventuellement réachemine les données.
Détournement de session
Les cybercriminels utilisent le détournement de session pour prendre le contrôle d'une session web ou d'une application. Le détournement expulse l'utilisateur légitime de la session, ce qui a pour effet d'enfermer le cybercriminel dans le compte de l'appli ou du site jusqu'à ce qu'il obtienne les informations désirées.
Injection de paquets
Le pirate crée des paquets qui semblent normaux et les infiltre dans un réseau existant afin d'accéder au trafic et de le surveiller ou de lancer des attaques DDoS. Une attaque par déni de service distribué (DDoS) est une tentative de perturber le trafic normal d'un serveur en le submergeant d'un flot de trafic web.
SSL stripping
Le pirate intercepte le signal TLS d'une application ou d'un site web et le modifie de sorte que le site se charge sur une connexion non sécurisée, au format HTTP au lieu de HTTPS. Le pirate peut ainsi voir la session de l'utilisateur et accéder à des informations sensibles.
SSL spoofing
Cette méthode consiste à "spoofer" (usurper) l'adresse d'un site sécurisé pour que la victime s'y rende. Les cybercriminels détournent la communication entre la victime et le serveur web du site auquel ils veulent accéder, en donnant à un site malveillant l'URL du site légitime.
SSL BEAST
Le cybercriminel infecte l'ordinateur de l'utilisateur avec un JavaScript malveillant. Le logiciel malveillant intercepte ensuite les cookies et les jetons d'authentification du site pour les décrypter, exposant ainsi toute la session de la victime au cybercriminel.
Vol de cookies du navigateur en SSL
Les cookies sont des fragments d'informations utiles stockés sur vos appareils par les sites que vous visitez. Ils sont utiles pour se souvenir de l'activité sur le web et des connexions, mais des cybercriminels peuvent les voler pour récupérer ces informations et les utiliser à des fins malveillantes.
Sniffing
Les attaques par sniffing surveillent le trafic pour voler des informations. Le sniffing s'effectue à l'aide d'une application ou de matériel et expose le trafic web de la victime au cybercriminel.
Comment détecter les attaques de l'homme du milieu ?
En détectant une attaque MITM, les entreprises et les particuliers peuvent limiter les dommages potentiels causés par les cybercriminels. Voici quelques méthodes de détection :
Analyser les adresses web étranges
- Surveillez vos navigateurs web pour repérer les adresses web suspectes dans la barre de recherche ou la barre d'URL. Un détournement de DNS est capable de créer des usurpations d'adresses courantes, en modifiant généralement les adresses de manière à peine perceptible. Par exemple, un pirate peut remplacer « www.facebook.com » par « www.faceb00k.com ». Cette méthode d'usurpation fonctionne étonnamment bien, et la plupart d'entre nous passent à côté de ces variations minimes, sans y regarder de plus près.
Déconnexions inattendues et retards dans le réseau
- Certaines formes d'attaques de l'homme du milieu provoquent des retards soudains et inattendus dans le réseau ou des déconnexions totales. Celles-ci peuvent se produire au fil du temps et ne s'accompagnent généralement pas de perturbations du réseau ou d'autres symptômes évidents.
- Si vous constatez des déconnexions ou des retards fréquents sur votre réseau, il peut être judicieux de creuser le problème pour s'assurer qu'il ne s'agit pas uniquement d'un problème de réseau.
Surveiller le Wi-Fi public
- Les pirates interceptent souvent les informations envoyées sur les réseaux publics, voire créent de faux réseaux dans des lieux publics. Ces réseaux permettent au pirate de voir toute votre activité sur le web sans que vous sachiez que vous êtes la cible d'une attaque. Dans la mesure du possible, évitez les réseaux WiFi publics et utilisez un VPN si vous devez vous connecter. Évitez également de vous connecter à des réseaux étranges portant des noms suspects.
Comment prévenir les attaques de l'homme du milieu ?
La prévention des attaques de l'homme du milieu peut faire économiser aux particuliers et aux entreprises des milliers de dollars de préjudice et leur permettre de préserver leur identité sur le web et leur identité publique. Voici quelques outils essentiels pour éviter les attaques de l'homme du milieu :
Gestionnaire de mots de passe
- L'utilisation d'un gestionnaire de mots de passe doté de fonctionnalités de sécurité réseau adéquates assure la sécurité du stockage de tous vos identifiants de connexion. Le chiffrement de bout en bout lutte efficacement contre les attaques de l'homme du milieu. Keeper intègre le chiffrement de bout en bout au partage de coffres-forts qui repose sur l'infrastructure à clé publique (PKI). Cela signifie que les pirates ne peuvent pas intercepter les mots de passe ou d'autres archives partagées en transit. Keeper propose également aux entreprises des dossiers d'équipe partagés ainsi que des fonctionnalités de contrôle basées sur les rôles qui permettent aux administrateurs de restreindre et de répartir l'accès au sein de l'équipe.
Réseau privé virtuel
- Un réseau privé virtuel, ou VPN, réachemine l'ensemble du trafic internet sur plusieurs serveurs différents, masquant ainsi l'adresse IP de l'utilisateur et rendant la session de navigation plus privée et plus sûre. Les VPN incluent également un chiffrement inhérent qui permet de sécuriser les messages et autres données.