Une attaque de type man-in-the-middle (MITM), ou attaque de l’homme du milieu en français, est une cyberattaque sophistiquée où un attaquant intercepte la communication entre deux parties, souvent sans que celles-ci s’en rendent compte. L’attaquant peut alors lire, modifier ou même rediriger les données échangées.
Une attaque MITM se produit lorsqu’un cybercriminel s’interpose secrètement entre un utilisateur et une application web, interceptant et potentiellement modifiant leur communication. L’objectif principal est de collecter subrepticement des informations sensibles telles que des données personnelles, des mots de passe ou des coordonnées bancaires.
Caractéristiques
- CATEGORIE : 🔴 Attaque
- FRÉQUENCE : 🔥🔥
- DANGEROSITÉ : 💀💀💀💀
- DIFFICULTÉ D’ÉRADICATION : 🧹🧹🧹🧹
Fonctionnement
FonctionnementUne attaque MITM se déroule généralement en deux phases :
- Phase d’interception : l’attaquant accède au réseau, souvent via un routeur Wi-Fi mal sécurisé ou en manipulant les serveurs DNS
- Phase de déchiffrement : les données interceptées sont déchiffrées pour être exploitées par l’attaquant
👉 Techniques courantes d’attaque man-in-the-middle
- Usurpation d’adresse IP : l’attaquant se fait passer pour une machine légitime sur le réseau, interceptant ainsi le trafic destiné à la victime.
- Usurpation ARP (ARP Spoofing) : consiste à tromper les appareils d’un réseau en leur faisant croire qu’un attaquant est une autre machine, afin de détourner le trafic réseau.
- Empoisonnement DNS (DNS Poisoning) : en modifiant les enregistrements DNS, l’attaquant redirige le trafic vers un faux serveur, contrôlé par lui.
- Création de faux points d’accès Wi-Fi (attaque evil-twin) : l’attaquant configure un « jumeau maléfique » d’un point d’accès Wi-Fi.
- Attaque sur les points d’accès Wi-Fi : les réseaux Wi-Fi publics non sécurisés, comme ceux des cafés, hôtels et aéroports, sont des cibles privilégiées pour les attaques MITM.
- Utilisation de certificats SSL illégitimes
- Interception de protocoles : les protocoles comme HTTP, HTTPS, FTP, etc., peuvent être ciblés pour intercepter les données en transit.
- Attaques sur les clés de chiffrement : L’attaquant peut tenter de voler ou de compromettre les clés de chiffrement utilisées pour sécuriser les communications.
💥 Conséquences d’une attaque MITM
- Le vol de données sensibles : mots de passe, numéros de carte de crédit, informations personnelles.
- L’usurpation d’identité : l’attaquant peut se faire passer pour une autre personne pour commettre des fraudes.
- La corruption de données : l’attaquant peut modifier les données échangées pour semer la confusion ou causer des dommages.
- Le déploiement de logiciels malveillants : l’attaquant peut injecter du code malveillant dans la communication pour prendre le contrôle des systèmes.
Les attaques MITM sont particulièrement dangereuses car elles peuvent passer inaperçues pendant longtemps, permettant aux attaquants de collecter une grande quantité de données sensibles.
👉 Exemple
Un exemple récent d’attaque MITM est le module Trickbot appelé shaDll, identifié par CrowdStrike. Ce module installait des certificats SSL illégitimes sur les ordinateurs infectés, permettant d’accéder au réseau de l’utilisateur, de rediriger les activités web, d’injecter du code et de collecter des données.
💉 Protection et remèdes
- Utiliser des mots de passe forts et les changer régulièrement
- Activer l’authentification à plusieurs facteurs (2FA ou MFA)
- Déployer des protocoles de chiffrement robustes
- Utiliser un réseau privé virtuel (VPN)
- Éviter les réseaux Wi-Fi publics non sécurisés
- Vérifier l’authenticité des certificats SSL
- Utiliser uniquement des connexions HTTPS
- Maintenir à jour les systèmes d’exploitation et les logiciels
