Une attaque man-in-the-middle est difficile à identifier et à combattre. Les attaques MITM dépendent du contrôle des lignes de communication entre les personnes, les ordinateurs ou les serveurs. Les attaques de l'homme du milieu ne nécessitent pas toujours un ordinateur infecté, ce qui signifie qu'il existe plusieurs voies d'attaque.
Alors, qu'est-ce qu'une attaque de l'homme du milieu et comment pouvez-vous vous empêcher d'en devenir la proie ?
Les attaques de l'homme du milieu (MITM) existaient avant les ordinateurs. Ce type d'attaque implique qu'un attaquant s'insère entre deux parties communiquant entre elles. Les attaques de l'homme du milieu sont essentiellement des attaques d'écoute clandestine.
Pour mieux comprendre le fonctionnement d'une attaque de l'homme du milieu, considérons les deux exemples suivants.
Une attaque MITM hors ligne semble basique mais est toujours utilisée dans le monde entier.
Par exemple, quelqu'un intercepte votre message, le lit, le reconditionne, puis l'envoie à vous ou à votre destinataire d'origine. Ensuite, la même chose se produit en sens inverse lorsque la personne vous répond, l'homme du milieu interceptant et lisant votre courrier dans chaque direction.
Correctement exécuté, vous ne saurez pas qu'une attaque MITM est en cours car l'interception et le vol de données vous sont invisibles.
La prise de contrôle d'un canal de communication entre deux participants est au cœur d'une attaque de type "man-in-the-middle".
Cela ouvre également d'autres voies de tromperie pour l'attaquant. Si l'attaquant contrôle les moyens de communication, il pourrait modifier les messages en transit. Dans notre exemple, quelqu'un intercepte et lit le courrier. La même personne pourrait modifier le contenu de votre message pour demander quelque chose de spécifique ou faire une demande dans le cadre de son attaque.
Comme le MITM contrôle votre communication, il peut alors supprimer toute référence ultérieure à la question ou à la demande, vous laissant ainsi tranquille.
Une attaque de type "man-in-the-middle" en ligne fonctionne à peu près de la même manière, mais avec des ordinateurs ou d'autres matériels numériques à la place de l'ancien courrier postal.
Une variante d'attaque MITM tourne autour de votre connexion au Wi-Fi public gratuit dans un café. Une fois connecté, vous essayez de vous connecter au site Web de votre banque.
Pour les besoins de notre exemple, vous rencontrez alors une erreur de certificat vous informant que le site Web de la banque ne dispose pas du certificat de cryptage approprié. Cela vous avertit du fait que quelque chose ne va pas avec la configuration du site Web de la banque et qu'une attaque MITM est en cours.
Cependant, de nombreuses personnes cliquent simplement sur ce message d'erreur et accèdent au site Web bancaire malgré tout. Vous vous connectez au portail bancaire, envoyez de l'argent, payez des factures et tout semble aller bien.
En réalité, un attaquant peut avoir mis en place un faux serveur et un site Web qui imite votre banque. Lorsque vous vous connectez au faux serveur bancaire, il récupère la page Web de la banque, la modifie un peu et vous la présente. Vous entrez vos informations de connexion comme d'habitude, et ces informations sont envoyées au serveur intermédiaire.
Le serveur MITM vous connecte toujours à la banque et présente la page comme d'habitude. Mais le serveur intermédiaire de l'attaquant a capturé vos identifiants de connexion, prêts à être exploités.
Dans ce scénario, le message d'avertissement précoce était l'erreur de certificat de chiffrement indiquant que la configuration du site Web n'est pas correcte. Le serveur intermédiaire n'a pas le même certificat de sécurité que votre banque, bien qu'il puisse avoir un certificat de sécurité d'ailleurs.
Il existe plusieurs types d'attaques MITM :
Ce ne sont pas les seules attaques MITM. Il existe de nombreuses variantes qui combinent différents aspects de ces attaques.
Le scénario ci-dessus se déroule sur un site Web bancaire qui utilise HTTPS, la version sécurisée de HTTP. Ainsi, l'utilisateur rencontre un écran l'informant que le certificat de chiffrement est incorrect. Presque tous les sites Web utilisent désormais HTTPS, que vous pouvez voir représenté par une icône de cadenas dans la barre d'adresse, à côté de l'URL.
Pendant longtemps, seuls les sites diffusant des informations sensibles étaient conseillés d'utiliser HTTPS. La norme a maintenant changé, surtout depuis que Google a annoncé qu'il utiliserait HTTPS comme signal de classement SEO. En 2014, lorsque le changement a été annoncé pour la première fois, entre 1 et 2 % du million de sites les plus importants dans le monde utilisaient HTTPS. En 2018, ce nombre avait explosé, avec plus de 50 % du million de personnes les plus performantes mettant en œuvre HTTPS.
En utilisant une connexion HTTP standard sur un site Web non chiffré, vous ne recevrez pas l'avertissement de notre exemple. L'attaque de l'homme du milieu aurait lieu sans aucun avertissement.
Alors, HTTPS protège-t-il contre les attaques MITM ?
Oui, HTTPS protège contre les attaques de l'homme du milieu . Mais il existe des moyens pour les attaquants de vaincre HTTPS, en supprimant la sécurité supplémentaire offerte à votre connexion via le chiffrement.
SSLStrip est une attaque man-in-the-middle qui force le navigateur à rester en mode HTTP plutôt que de commencer à utiliser HTTPS lorsqu'il est disponible. Plutôt que d'utiliser HTTPS, SSLStrip « supprime » la sécurité, vous laissant avec le bon vieux HTTP.
Vous pourriez même ne pas remarquer que quelque chose ne va pas. Dans les jours qui ont précédé Google Chrome et d'autres navigateurs, la grande croix rouge dans votre barre d'adresse pour vous informer que vous utilisez une connexion non sécurisée, SSLStrip a fait de nombreuses victimes. L'introduction du cadenas géant HTTPS permet certainement de savoir plus facilement si vous utilisez ou non HTTPS.
Une autre mise à niveau de sécurité a également ébranlé l'efficacité de SSLStrip :HTTP Strict Transport Security.
HTTP Strict Transport Security (HSTS) a été développé pour se protéger contre les attaques de l'homme du milieu, en particulier les attaques de rétrogradation de protocole comme SSLStrip. HSTS est une fonction spéciale qui permet à un serveur Web de forcer tous les utilisateurs à interagir uniquement avec lui via HTTPS.
Cela ne veut pas dire que cela fonctionne tout le temps, car HSTS ne se configure qu'avec l'utilisateur après sa première visite. En tant que tel, il existe une très petite fenêtre où un attaquant pourrait théoriquement utiliser une attaque MITM comme SSLStrip avant que HSTS ne soit en place.
Ce n'est pas tout. La légère disparition de SSLStrip a cédé la place à d'autres outils modernes qui combinent de nombreux types d'attaques MITM en un seul package.
Les utilisateurs doivent également faire face à des variantes de logiciels malveillants qui utilisent des attaques MITM ou sont fournies avec des modules de type "man-in-the-middle". Par exemple, certains types de logiciels malveillants qui ciblent les utilisateurs d'Android, tels que SpyEye et ZeuS, permettent à un attaquant d'écouter les communications entrantes et sortantes des smartphones.
Une fois installé sur un appareil Android, un attaquant peut utiliser le logiciel malveillant pour intercepter toutes sortes de communications. Les codes d'authentification à deux facteurs présentent un intérêt particulier. Un attaquant peut demander le code d'authentification à deux facteurs sur un site Web sécurisé, puis l'intercepter avant que l'utilisateur ne puisse réagir ou même comprendre ce qui se passe.
Comme vous vous en doutez, les ordinateurs de bureau ne sont pas non plus à l'abri des menaces. Il existe de nombreux types de logiciels malveillants et kits d'exploitation conçus pour les attaques de l'homme du milieu. Et c'est sans mentionner la fois où Lenovo a installé des logiciels malveillants compatibles SSLStrip sur ses ordinateurs portables avant l'expédition.
Une attaque de l'homme du milieu est difficile à défendre. Un attaquant a tellement d'options, ce qui signifie que la protection contre une attaque MITM est à plusieurs volets.
Les attaques de l'homme du milieu dépendent de la compromission de vos communications. Si vous savez à quoi vous attendre et ce qu'il faut rechercher, vous avez beaucoup plus de chances d'éviter les attaques MITM. En retour, vos données resteront sécurisées et fermement à votre portée.
Crédit image :Andy Rennie sur Flickr