Une attaque de type « homme du milieu » (MITM) survient lorsqu’un tiers s’immisce dans la communication entre deux entités informatiques, par exemple un ordinateur et un serveur distant. Cet individu malveillant a alors la capacité d’espionner et d’intercepter les échanges de données, avec le risque de dérober des informations confidentielles.
Ces attaques représentent une menace sérieuse pour la sécurité. Il est donc crucial de comprendre leur fonctionnement et de mettre en œuvre des mesures de protection efficaces.
Quand deux communiquent, un troisième écoute
L’aspect sournois des attaques MITM réside dans le fait que l’attaquant n’a pas besoin d’accéder directement à votre appareil, que ce soit physiquement ou à distance. Sa présence sur le même réseau que vous est suffisante pour qu’il puisse subtilement capturer des données. Un attaquant peut même créer son propre réseau et vous inciter à vous y connecter.
Le scénario le plus courant se déroule sur un réseau Wi-Fi public non sécurisé, tel qu’on en trouve dans les aéroports ou les cafés. Un attaquant connecté à ce réseau peut, à l’aide d’outils accessibles comme Wireshark, intercepter tous les paquets de données qui transitent. Il peut ensuite analyser ces données à la recherche d’informations exploitables.
Toutefois, cette technique est moins efficace aujourd’hui grâce à la généralisation du protocole HTTPS, qui chiffre les communications entre les navigateurs et les serveurs web. Un attaquant ne peut pas déchiffrer les données échangées via une connexion HTTPS sécurisée.
Cependant, HTTPS n’est pas une solution infaillible. Des techniques permettent à un attaquant de contourner cette protection.
Un attaquant MITM peut par exemple tenter de forcer un ordinateur à « rétrograder » sa connexion d’une connexion chiffrée à une connexion non chiffrée, ce qui lui permet d’inspecter le trafic.
Une attaque dite de « suppression SSL » peut également se produire, où l’attaquant s’insère dans une communication chiffrée, capture et modifie potentiellement les données, avant de les transmettre à sa cible, qui n’est pas consciente de la supercherie.
Vulnérabilités réseaux et routeurs non sécurisés
Les attaques MITM peuvent également se produire au niveau du réseau. L’une de ces méthodes, appelée « empoisonnement du cache ARP », consiste pour l’attaquant à associer son adresse MAC à l’adresse IP d’une autre machine. Si l’opération réussit, toutes les données destinées à la victime sont détournées vers l’attaquant.
L’usurpation DNS est une technique similaire. Le DNS, « annuaire téléphonique » d’Internet, associe les noms de domaine (comme google.com) à leurs adresses IP numériques. En manipulant le DNS, un attaquant peut rediriger les requêtes légitimes vers un faux site qu’il contrôle, lui permettant de voler des données ou de propager des logiciels malveillants.
Une autre approche consiste à créer un point d’accès Wi-Fi malveillant ou à positionner un ordinateur entre l’utilisateur et le routeur ou serveur visé.
Trop souvent, les utilisateurs font confiance aux points d’accès Wi-Fi publics. Attirés par la mention « Wi-Fi gratuit », ils ne se demandent pas si un pirate pourrait se cacher derrière. Des exemples cocasses ont été révélés, où des utilisateurs n’ont pas lu les conditions d’utilisation, acceptant par exemple de nettoyer des toilettes sales de festival ou de céder leur premier-né.
La création d’un faux point d’accès est étonnamment simple, grâce à des équipements matériels conçus à cet effet. Ces outils sont principalement destinés aux professionnels de la sécurité qui effectuent des tests d’intrusion.
Les routeurs, souvent négligés, sont également des cibles de choix en raison de leur sécurité parfois rudimentaire. Des mots de passe par défaut sont fréquemment réutilisés, et les mises à jour de sécurité sont souvent négligées. Un routeur infecté par un code malveillant peut permettre à un tiers de mener une attaque MITM à distance.
Logiciels malveillants et attaques MITM
Comme mentionné précédemment, un attaquant peut orchestrer une attaque MITM sans se trouver à proximité de la victime, voire sur un autre continent, en utilisant des logiciels malveillants.
Une attaque dite « homme dans le navigateur » (MITB) se produit lorsqu’un navigateur web est infecté par un logiciel malveillant, souvent via une extension frauduleuse qui donne à l’attaquant un accès étendu.
L’attaquant peut alors manipuler l’affichage d’une page web pour présenter des informations erronées, ou détourner des sessions en cours sur des sites bancaires ou de réseaux sociaux afin de diffuser des spams ou de voler des fonds.
Un exemple notoire est le cheval de Troie SpyEye, qui agissait comme enregistreur de frappe pour voler les identifiants de connexion. Il pouvait également modifier les formulaires pour capturer davantage d’informations personnelles.
Comment se protéger
Des mesures de protection existent pour se prémunir contre ces attaques. Comme pour toute sécurité en ligne, la vigilance est primordiale. Il est préférable d’éviter les points d’accès Wi-Fi publics et de privilégier les réseaux que vous contrôlez, comme un point d’accès mobile ou un Mi-Fi.
À défaut, l’utilisation d’un VPN chiffre l’ensemble du trafic entre votre ordinateur et le monde extérieur, assurant ainsi une protection contre les attaques MITM. Cependant, la sécurité dépend de la fiabilité de votre fournisseur VPN, il est donc crucial de choisir avec discernement. Un service payant de qualité est parfois un investissement judicieux. Si votre employeur vous fournit un VPN lors de vos déplacements, il est impératif de l’utiliser.
Pour se protéger des attaques MITM via des logiciels malveillants (comme les attaques MITB), adoptez de bonnes pratiques de sécurité. N’installez pas d’applications ou d’extensions de navigateur provenant de sources douteuses. Fermez vos sessions web une fois votre activité terminée et installez un antivirus robuste.