2022-11-19 04:40 Temps de lecture : 16 min
Sécurité & Confidentialité

6 outils d'attaque HTTP MITM pour les chercheurs en sécurité

Une intrusion de type "homme du milieu" (Man-in-the-Middle ou MITM) survient lorsqu'un acteur malveillant s'immisce dans une communication réseau ou un transfert de données en cours. L'attaquant se positionne au cœur du flux d'échange, se faisant passer pour un participant légitime.

Concrètement, l'agresseur s'intercale entre les requêtes émises et les réponses reçues. L'utilisateur, quant à lui, continue de croire qu'il interagit directement avec le serveur ou l'application web visée, tels que Facebook, Twitter, sa banque en ligne, etc. En réalité, les requêtes sont acheminées vers l'homme du milieu, qui se chargera ensuite de les transmettre à la cible en votre nom.

Image fournie par Imperva

L'homme du milieu a ainsi une visibilité totale sur l'échange, incluant toutes les requêtes et réponses. De plus, il peut non seulement observer mais aussi modifier ces requêtes et réponses, dérober des informations d'identification, rediriger vers un serveur qu'il contrôle ou commettre d'autres actes cybercriminels.

Généralement, l'attaquant intercepte le flux de communication ou les données en provenance de l'une ou l'autre partie. Il peut alors modifier les informations ou envoyer des liens ou des réponses malveillantes aux deux interlocuteurs légitimes. Cette manipulation peut rester inaperçue pendant une période, parfois jusqu'à ce que les dégâts soient considérables.

Techniques d'attaques MITM fréquemment utilisées

Analyse de paquets (Sniffing) : L'attaquant utilise divers outils pour examiner les paquets de données au niveau le plus bas du réseau. L'analyse permet de visualiser des paquets auxquels il n'est normalement pas autorisé à accéder.

Injection de paquets : Les attaquants insèrent des paquets malveillants dans les canaux de communication. Avant de procéder, ils réalisent une analyse afin d'identifier comment et quand introduire ces paquets malveillants. Une fois injectés, ils se mélangent aux paquets valides dans le flux de communication.

Détournement de session : Dans la majorité des applications web, la connexion crée un jeton de session temporaire. Cela évite à l'utilisateur de devoir ressaisir son mot de passe à chaque page ou demande. Malheureusement, un attaquant disposant d'outils de détection peut identifier et exploiter ce jeton pour se faire passer pour l'utilisateur légitime et effectuer des actions à sa place.

Suppression du SSL (SSL Stripping) : Les attaquants peuvent utiliser cette technique pour intercepter les paquets légitimes, modifier les requêtes basées sur le protocole HTTPS et les réorienter vers une destination équivalente non sécurisée en HTTP. Ainsi, la communication entre l'hôte et le serveur se fera en clair, exposant les données sensibles au vol.

Conséquences des attaques MITM

Les attaques MITM représentent un danger considérable pour les organisations, pouvant entraîner des pertes financières et nuire à leur réputation.

Les cybercriminels peuvent s'emparer d'informations sensibles et privées, telles que les identifiants (noms d'utilisateur et mots de passe), les données bancaires, pour effectuer des transferts de fonds ou des achats frauduleux. Ces informations peuvent également être utilisées pour installer des logiciels malveillants ou extorquer l'entreprise.

Il est donc primordial de protéger les utilisateurs et les systèmes numériques afin de minimiser les risques d'attaques MITM.

Outils d'attaque MITM pour les équipes de sécurité

Outre la mise en place de mesures et de pratiques de sécurité solides, il est essentiel d'utiliser des outils appropriés pour analyser les systèmes et identifier les vulnérabilités pouvant être exploitées par les attaquants. Voici une sélection d'outils d'attaque HTTP MITM adaptés aux chercheurs en sécurité :

Hetty

Hetty est une boîte à outils HTTP open source rapide, dotée de fonctionnalités performantes pour assister les chercheurs en sécurité, les équipes et la communauté des primes aux bugs. Cet outil léger, avec une interface Web Next.js intégrée, inclut un proxy central de type "homme du milieu" HTTP.

Principales caractéristiques :

  • Permet la recherche en texte intégral.
  • Dispose d'un module d'envoi pour formuler manuellement des requêtes HTTP à partir du journal de proxy ou de zéro.
  • Inclut un module "attaquant" capable d'envoyer automatiquement des requêtes HTTP.
  • Installation simple et interface intuitive.
  • Envoi manuel de requêtes HTTP à partir de zéro, en créant la requête ou en la copiant depuis le journal de proxy.

Bettercap

Bettercap est un outil complet et évolutif de reconnaissance et d'attaque réseau.

Cette solution simple d'utilisation met à disposition des ingénieurs en rétro-ingénierie, des experts en sécurité et des équipes rouges l'ensemble des fonctions pour tester ou attaquer des réseaux Wi-Fi, IP4, IP6, des périphériques Bluetooth Low Energy (BLE) et des périphériques HID sans fil. Il offre également des capacités de surveillance réseau et d'autres fonctionnalités comme la création de faux points d'accès, l'analyse de mots de passe, l'usurpation DNS, la capture de poignées de main, etc.

Principales caractéristiques :

  • Un puissant outil intégré d'analyse réseau pour détecter les données d'authentification et collecter des informations d'identification.
  • Puissant et évolutif.
  • Sondage et test actifs et passifs des hôtes du réseau IP pour identifier les vulnérabilités MITM potentielles.
  • Interface utilisateur Web interactive, permettant de mener divers types d'attaques MITM, d'analyser les informations d'identification, de contrôler le trafic HTTP et HTTPS, etc.
  • Extraction des données recueillies, notamment les informations d'identification POP, IMAP, SMTP et FTP, les URL visitées, les hôtes HTTPS, les cookies HTTP, les données HTTP publiées, avec présentation dans un fichier externe.
  • Manipulation ou modification du trafic TCP, HTTP et HTTPS en temps réel.

Proxy.py

Proxy.py est un serveur proxy WebSockets, HTTP, HTTPS et HTTP2 open source léger. Cet outil rapide, disponible en un seul fichier Python, permet aux chercheurs d'examiner le trafic Web, y compris les applications chiffrées TLS, tout en consommant un minimum de ressources.

Principales caractéristiques :

  • Outil rapide et évolutif pouvant gérer des dizaines de milliers de connexions par seconde.
  • Fonctionnalités programmables telles qu'un serveur Web intégré, un proxy, et la personnalisation du routage HTTP, etc.
  • Conception légère, utilisant entre 5 et 20 Mo de RAM. Basé sur des bibliothèques Python standard, sans dépendances externes.
  • Tableau de bord personnalisable en temps réel, extensible via des plugins. Permet d'inspecter, de surveiller, de configurer et de contrôler proxy.py à l'exécution.
  • Utilisation du protocole TLS pour assurer un chiffrement de bout en bout entre proxy.py et le client.

Mitmproxy

Mitmproxy est une solution de proxy HTTPS open source et facile à utiliser.

Cet outil, simple à installer, fonctionne comme un proxy HTTP SSL de type "homme du milieu". Son interface console permet d'analyser et de modifier le flux de trafic en direct. Il peut être utilisé comme proxy HTTP ou HTTPS pour enregistrer l'ensemble du trafic réseau, visualiser les requêtes utilisateurs et les rejouer. Mitmproxy comprend trois outils principaux : mitmproxy (interface console), mitmweb (interface Web) et mitmdump (version en ligne de commande).

Principales caractéristiques :

  • Outil interactif et fiable pour l'analyse et la modification du trafic HTTP.
  • Outil flexible, stable, fiable, simple à installer et à utiliser.
  • Permet d'intercepter et de modifier les requêtes et réponses HTTP et HTTPS à la volée.
  • Enregistre et sauvegarde les échanges HTTP côté client et côté serveur, afin de les rejouer et de les analyser ultérieurement.
  • Génère des certificats SSL/TLS pour l'interception en direct.
  • Fonctionnalité de proxy inverse pour transférer le trafic réseau vers un autre serveur.

Burp Suite

Burp Suite est un outil d'analyse de vulnérabilité automatisé et évolutif. C'est un choix pertinent pour de nombreux professionnels de la sécurité. Il permet d'analyser des applications Web et de détecter les vulnérabilités que les cybercriminels pourraient exploiter pour lancer des attaques MITM.

Il fonctionne selon un processus axé sur l'utilisateur, offrant une vision claire de l'application ciblée et de son fonctionnement. Se positionnant comme un proxy Web "homme du milieu" entre le navigateur et les serveurs, Burp Suite permet d'intercepter, d'analyser et de modifier les flux de requêtes et de réponses.

Principales caractéristiques :

  • Interception et inspection du trafic réseau brut bidirectionnel entre le navigateur et le serveur.
  • Interruption de la connexion TLS du trafic HTTPS entre le navigateur et le serveur, permettant la visualisation et la modification des données chiffrées.
  • Choix d'utiliser le navigateur intégré ou un navigateur Web externe.
  • Solution automatisée, rapide et évolutive d'analyse des vulnérabilités, permettant d'analyser et de tester les applications Web plus rapidement et efficacement, et de détecter un large éventail de vulnérabilités.
  • Affichage des requêtes HTTP et réponses interceptées.
  • Examen manuel du trafic intercepté pour comprendre les détails d'une attaque.

Ettercap

Ettercap est un analyseur et intercepteur de trafic réseau open source.

Cet outil complet d'attaque MITM permet de disséquer et d'analyser un large éventail de protocoles réseau et d'hôtes. Il peut également enregistrer des paquets réseaux sur un LAN et d'autres environnements. De plus, cet analyseur de trafic réseau polyvalent peut détecter et interrompre les attaques de type "homme du milieu".

Principales caractéristiques :

  • Interception du trafic réseau et capture des informations d'identification telles que les mots de passe. Déchiffre les données chiffrées et extrait des identifiants (noms d'utilisateur et mots de passe).
  • Adapté à l'analyse approfondie de paquets, aux tests, à la surveillance du trafic réseau et au filtrage de contenu en temps réel.
  • Prise en charge de l'écoute, de l'analyse et de l'étude active et passive de protocoles réseaux, y compris ceux avec chiffrement.
  • Analyse de la topologie d'un réseau et identification des systèmes d'exploitation installés.
  • Interface utilisateur graphique conviviale, avec options de fonctionnement interactives et non interactives.
  • Utilisation de techniques telles que l'interception ARP, le filtrage IP et MAC, pour intercepter et analyser le trafic.

Prévention des attaques MITM

Il est difficile d'identifier les attaques MITM, car elles se produisent à l'insu des utilisateurs et que les attaquants s'efforcent de les rendre imperceptibles. Cependant, il existe des pratiques de sécurité permettant aux organisations de se prémunir contre ces attaques. Elles comprennent :

  • Sécuriser les connexions Internet au bureau et à domicile, par exemple en utilisant des outils de sécurité fiables sur les serveurs et ordinateurs, et des solutions d'authentification solides.
  • Utiliser un chiffrement WEP/WAP robuste pour les points d'accès.
  • S'assurer que tous les sites web visités sont sécurisés et que leur URL commence par HTTPS.
  • Éviter de cliquer sur des emails ou des liens suspects.
  • Utiliser le protocole HTTPS et désactiver les protocoles TLS/SSL non sécurisés.
  • Utiliser des réseaux privés virtuels (VPN) lorsque cela est possible.
  • Utiliser les outils mentionnés ci-dessus et d'autres solutions HTTP afin d'identifier et de corriger les vulnérabilités de type "homme du milieu" que les attaquants peuvent exploiter.
Auteur
Sophie Lefèvre
France

Rédacteur tech, guides pratiques et astuces numériques.

Articles similaires
2025-10-15
Bhoutan : l'identité numérique migre vers Ethereum pour plus de sécurité
L'ambitieux projet d'identité numérique du Bhoutan, conçu pour offrir aux citoyens un moyen d'interaction numérique sécurisé et privé,...
2025-10-04
US Army : des failles de sécurité critiques pour la communication NGC2
L'ambitieux projet de l'armée américaine visant à moderniser son infrastructure de communication sur le champ de bataille, un élément...
2025-10-03
Décès sur Stardust Racers : questions sur la sécurité des attractions à sensations fortes
La mort tragique d'un jeune homme après une attraction au parc à thème Epic Universe d'Universal Orlando a soulevé de sérieuses questions...
2025-09-27
SkinsLuck CS2 : sécurité, transparence et jeu équitable pour les skins
Le paysage numérique du commerce d'actifs virtuels évolue rapidement, les plateformes offrant désormais des moyens sophistiqués aux joueurs...
Article précédent
5 meilleurs nettoyeurs de registre Windows pour assurer le bon fonctionnement de votre PC
Article suivant
Comment vérifier votre version d'Ubuntu (4 méthodes)