Attaque Man-in-the-Middle (MITM) : Définition, Exemples et Stratégies de Protection

Une attaque Man-in-the-Middle (MITM) est insidieuse et difficile à détecter. Elle repose sur l'interception des communications entre deux parties, comme des utilisateurs, des ordinateurs ou des serveurs. Contrairement à d'autres cybermenaces, elle ne nécessite pas toujours un appareil infecté, offrant ainsi de multiples vecteurs d'attaque.

Qu'est-ce qu'une attaque MITM exactement, et comment s'en prémunir efficacement ?

Qu'est-ce qu'une attaque Man-in-the-Middle ?

Les attaques MITM existent depuis bien avant l'ère numérique. Elles consistent pour un cybercriminel à s'interposer entre deux entités en communication, agissant comme un espion invisible. Il s'agit fondamentalement d'une interception clandestine de données.

Pour illustrer, examinons deux exemples concrets.

Attaque MITM hors ligne

Bien que rudimentaire, ce type d'attaque reste courant dans le monde entier.

Imaginez un courrier intercepté : un individu le lit, le modifie si nécessaire, puis le retransmet au destinataire. Le processus s'inverse pour la réponse. Exécutée avec soin, l'interception passe inaperçue, permettant le vol de données sensibles.

Le cœur d'une attaque MITM réside dans la maîtrise du canal de communication. Cela ouvre la porte à des manipulations : altération de messages pour des demandes frauduleuses, suppression de traces, etc.

Attaque MITM en ligne

En ligne, le principe est similaire, mais avec des outils numériques comme le Wi-Fi public d'un café. Vous tentez de vous connecter à votre banque et recevez une erreur de certificat SSL indiquant une anomalie.

Malgré cet avertissement, beaucoup ignorent le message et procèdent. En réalité, un faux site bancaire intermédiaire capture vos identifiants tout en relayant le trafic vers le vrai site.

L'erreur de certificat est un signal clé : le serveur malveillant n'a pas le certificat légitime de la banque.

Types d'attaques Man-in-the-Middle

Voici les principales variantes :

• Usurpation de Wi-Fi : Création d'un point d'accès frauduleux imitant un réseau légitime (ex. : "Guest Wi-Fi" dans un café), pour espionner le trafic.
• Usurpation HTTPS : Tromperie du navigateur vers un site malveillant pour voler les identifiants saisis.
• Détournement SSL : Interception de la redirection HTTP vers HTTPS, insertion d'un serveur intermédiaire.
• Usurpation DNS : Redirection via manipulation des noms de domaine vers un site contrôlé par l'attaquant.
• Détournement d'e-mails : Accès à un compte institutionnel pour intercepter ou falsifier des messages sensibles.

De nombreuses combinaisons existent.

HTTPS protège-t-il contre les attaques MITM ?

HTTPS, avec son icône de cadenas, est standard sur la plupart des sites depuis que Google en a fait un critère SEO. En 2014, moins de 2 % des top sites l'utilisaient ; en 2018, plus de 50 %.

Sur HTTP non chiffré, aucune alerte n'apparaît. HTTPS offre une protection, mais imparfaite.

MITM et SSLStrip

HTTPS protège contre les MITM, mais des outils comme SSLStrip forcent le maintien en HTTP, supprimant le chiffrement.

Les navigateurs modernes (cadenas visible, croix rouge) et HSTS (forçage HTTPS) limitent ces attaques, bien qu'une première visite reste vulnérable.

Des outils hybrides émergent pour contourner ces défenses.

Malware MITM

Certains malwares (SpyEye, ZeuS sur Android ; kits sur PC) intègrent des modules MITM, interceptant même les codes 2FA. Lenovo a jadis préinstallé un tel outil.

Comment se protéger contre une attaque MITM ?

La défense est multifacette :

• Privilégiez HTTPS : Vérifiez le cadenas. Installez HTTPS Everywhere (EFF).
• Respectez les avertissements : Ne contournez jamais les erreurs de certificat.
• Évitez le Wi-Fi public : Utilisez un VPN si nécessaire, surveillez les alertes.
• Antivirus à jour : Complétez avec Malwarebytes Premium.

En vigilance accrue, protégez vos communications et données.

Crédit image : Andy Rennie sur Flickr