Qu'est-ce qu'une attaque Man-in-the-Middle ?

Une attaque man-in-the-middle est difficile à identifier et à combattre. Les attaques MITM dépendent du contrôle des lignes de communication entre les personnes, les ordinateurs ou les serveurs. Les attaques de l'homme du milieu ne nécessitent pas toujours un ordinateur infecté, ce qui signifie qu'il existe plusieurs voies d'attaque.

Alors, qu'est-ce qu'une attaque de l'homme du milieu et comment pouvez-vous vous empêcher d'en devenir la proie ?

Qu'est-ce qu'une attaque Man-in-the-Middle ?

Les attaques de l'homme du milieu (MITM) existaient avant les ordinateurs. Ce type d'attaque implique qu'un attaquant s'insère entre deux parties communiquant entre elles. Les attaques de l'homme du milieu sont essentiellement des attaques d'écoute clandestine.

Pour mieux comprendre le fonctionnement d'une attaque de l'homme du milieu, considérons les deux exemples suivants.

Attaque de l'homme du milieu hors ligne

Une attaque MITM hors ligne semble basique mais est toujours utilisée dans le monde entier.

Par exemple, quelqu'un intercepte votre message, le lit, le reconditionne, puis l'envoie à vous ou à votre destinataire d'origine. Ensuite, la même chose se produit en sens inverse lorsque la personne vous répond, l'homme du milieu interceptant et lisant votre courrier dans chaque direction.

Correctement exécuté, vous ne saurez pas qu'une attaque MITM est en cours car l'interception et le vol de données vous sont invisibles.

La prise de contrôle d'un canal de communication entre deux participants est au cœur d'une attaque de type "man-in-the-middle".

Cela ouvre également d'autres voies de tromperie pour l'attaquant. Si l'attaquant contrôle les moyens de communication, il pourrait modifier les messages en transit. Dans notre exemple, quelqu'un intercepte et lit le courrier. La même personne pourrait modifier le contenu de votre message pour demander quelque chose de spécifique ou faire une demande dans le cadre de son attaque.

Comme le MITM contrôle votre communication, il peut alors supprimer toute référence ultérieure à la question ou à la demande, vous laissant ainsi tranquille.

Attaque de l'homme du milieu en ligne

Une attaque de type "man-in-the-middle" en ligne fonctionne à peu près de la même manière, mais avec des ordinateurs ou d'autres matériels numériques à la place de l'ancien courrier postal.

Une variante d'attaque MITM tourne autour de votre connexion au Wi-Fi public gratuit dans un café. Une fois connecté, vous essayez de vous connecter au site Web de votre banque.

Pour les besoins de notre exemple, vous rencontrez alors une erreur de certificat vous informant que le site Web de la banque ne dispose pas du certificat de cryptage approprié. Cela vous avertit du fait que quelque chose ne va pas avec la configuration du site Web de la banque et qu'une attaque MITM est en cours.

Cependant, de nombreuses personnes cliquent simplement sur ce message d'erreur et accèdent au site Web bancaire malgré tout. Vous vous connectez au portail bancaire, envoyez de l'argent, payez des factures et tout semble aller bien.

En réalité, un attaquant peut avoir mis en place un faux serveur et un site Web qui imite votre banque. Lorsque vous vous connectez au faux serveur bancaire, il récupère la page Web de la banque, la modifie un peu et vous la présente. Vous entrez vos informations de connexion comme d'habitude, et ces informations sont envoyées au serveur intermédiaire.

Le serveur MITM vous connecte toujours à la banque et présente la page comme d'habitude. Mais le serveur intermédiaire de l'attaquant a capturé vos identifiants de connexion, prêts à être exploités.

Dans ce scénario, le message d'avertissement précoce était l'erreur de certificat de chiffrement indiquant que la configuration du site Web n'est pas correcte. Le serveur intermédiaire n'a pas le même certificat de sécurité que votre banque, bien qu'il puisse avoir un certificat de sécurité d'ailleurs.

Types d'attaques Man-in-the-Middle

Il existe plusieurs types d'attaques MITM :

• Usurpation du Wi-Fi : Un attaquant peut créer un faux point d'accès Wi-Fi avec le même nom qu'une option Wi-Fi gratuite locale. Par exemple, dans un café, l'attaquant peut imiter le nom du Wi-Fi ou créer une fausse option nommée "Guest Wi-Fi" ou similaire. Une fois que vous vous êtes connecté au point d'accès non autorisé, l'attaquant peut surveiller votre activité en ligne.
• Usurpation HTTPS :L'attaquant trompe votre navigateur en lui faisant croire que vous utilisez un site Web de confiance, redirigeant votre trafic vers un site Web non sécurisé à la place. Lorsque vous entrez vos informations d'identification, l'attaquant les vole.
• Détournement SSL :Lorsque vous tentez de vous connecter à un site HTTP non sécurisé, votre navigateur peut vous rediriger vers l'option HTTPS sécurisée. Cependant, les attaquants peuvent détourner la procédure de redirection, en plaçant un lien vers leur serveur au milieu, en volant vos données et toutes les informations d'identification que vous entrez.
• Usurpation DNS :Le système de noms de domaine vous aide à naviguer sur Internet, en transformant les URL de votre barre d'adresse de texte lisible par l'homme en adresses IP lisibles par ordinateur. Une usurpation de DNS force alors votre navigateur à visiter une adresse spécifique sous le contrôle d'un attaquant.
• Détournement d'e-mails :Si un attaquant parvient à accéder à la boîte aux lettres, ou même à un serveur de messagerie, d'une institution de confiance (telle qu'une banque), il peut intercepter les e-mails des clients contenant des informations sensibles ou même commencer à envoyer des e-mails en tant qu'institution elle-même.

Ce ne sont pas les seules attaques MITM. Il existe de nombreuses variantes qui combinent différents aspects de ces attaques.

HTTPS arrête-t-il les attaques Man-in-the-Middle ?

Le scénario ci-dessus se déroule sur un site Web bancaire qui utilise HTTPS, la version sécurisée de HTTP. Ainsi, l'utilisateur rencontre un écran l'informant que le certificat de chiffrement est incorrect. Presque tous les sites Web utilisent désormais HTTPS, que vous pouvez voir représenté par une icône de cadenas dans la barre d'adresse, à côté de l'URL.

Pendant longtemps, seuls les sites diffusant des informations sensibles étaient conseillés d'utiliser HTTPS. La norme a maintenant changé, surtout depuis que Google a annoncé qu'il utiliserait HTTPS comme signal de classement SEO. En 2014, lorsque le changement a été annoncé pour la première fois, entre 1 et 2 % du million de sites les plus importants dans le monde utilisaient HTTPS. En 2018, ce nombre avait explosé, avec plus de 50 % du million de personnes les plus performantes mettant en œuvre HTTPS.

En utilisant une connexion HTTP standard sur un site Web non chiffré, vous ne recevrez pas l'avertissement de notre exemple. L'attaque de l'homme du milieu aurait lieu sans aucun avertissement.

Alors, HTTPS protège-t-il contre les attaques MITM ?

MITM et SSLStrip

Oui, HTTPS protège contre les attaques de l'homme du milieu . Mais il existe des moyens pour les attaquants de vaincre HTTPS, en supprimant la sécurité supplémentaire offerte à votre connexion via le chiffrement.

SSLStrip est une attaque man-in-the-middle qui force le navigateur à rester en mode HTTP plutôt que de commencer à utiliser HTTPS lorsqu'il est disponible. Plutôt que d'utiliser HTTPS, SSLStrip « supprime » la sécurité, vous laissant avec le bon vieux HTTP.

Vous pourriez même ne pas remarquer que quelque chose ne va pas. Dans les jours qui ont précédé Google Chrome et d'autres navigateurs, la grande croix rouge dans votre barre d'adresse pour vous informer que vous utilisez une connexion non sécurisée, SSLStrip a fait de nombreuses victimes. L'introduction du cadenas géant HTTPS permet certainement de savoir plus facilement si vous utilisez ou non HTTPS.

Une autre mise à niveau de sécurité a également ébranlé l'efficacité de SSLStrip :HTTP Strict Transport Security.

HTTP Strict Transport Security (HSTS) a été développé pour se protéger contre les attaques de l'homme du milieu, en particulier les attaques de rétrogradation de protocole comme SSLStrip. HSTS est une fonction spéciale qui permet à un serveur Web de forcer tous les utilisateurs à interagir uniquement avec lui via HTTPS.

Cela ne veut pas dire que cela fonctionne tout le temps, car HSTS ne se configure qu'avec l'utilisateur après sa première visite. En tant que tel, il existe une très petite fenêtre où un attaquant pourrait théoriquement utiliser une attaque MITM comme SSLStrip avant que HSTS ne soit en place.

Ce n'est pas tout. La légère disparition de SSLStrip a cédé la place à d'autres outils modernes qui combinent de nombreux types d'attaques MITM en un seul package.

Malware MITM

Les utilisateurs doivent également faire face à des variantes de logiciels malveillants qui utilisent des attaques MITM ou sont fournies avec des modules de type "man-in-the-middle". Par exemple, certains types de logiciels malveillants qui ciblent les utilisateurs d'Android, tels que SpyEye et ZeuS, permettent à un attaquant d'écouter les communications entrantes et sortantes des smartphones.

Une fois installé sur un appareil Android, un attaquant peut utiliser le logiciel malveillant pour intercepter toutes sortes de communications. Les codes d'authentification à deux facteurs présentent un intérêt particulier. Un attaquant peut demander le code d'authentification à deux facteurs sur un site Web sécurisé, puis l'intercepter avant que l'utilisateur ne puisse réagir ou même comprendre ce qui se passe.

Comme vous vous en doutez, les ordinateurs de bureau ne sont pas non plus à l'abri des menaces. Il existe de nombreux types de logiciels malveillants et kits d'exploitation conçus pour les attaques de l'homme du milieu. Et c'est sans mentionner la fois où Lenovo a installé des logiciels malveillants compatibles SSLStrip sur ses ordinateurs portables avant l'expédition.

Comment se protéger contre une attaque Man-in-the-Middle ?

Une attaque de l'homme du milieu est difficile à défendre. Un attaquant a tellement d'options, ce qui signifie que la protection contre une attaque MITM est à plusieurs volets.

• Utilisez HTTPS : Assurez-vous que chaque site Web que vous visitez utilise HTTPS. Nous avons parlé des logiciels malveillants SSLStrip et MITM, mais s'assurer que HTTPS est en place reste l'une des meilleures options de défense. Pour une couche de protection supplémentaire, envisagez de télécharger et d'installer l'extension de navigateur HTTPS Everywhere de l'Electronic Frontier Foundation, l'une des meilleures extensions de confidentialité pour Google Chrome.
• N'ignorez pas les avertissements : Si votre navigateur vous informe qu'il y a quelque chose qui ne va pas avec le site Web que vous visitez, faites-lui confiance . Un avertissement de certificat de sécurité peut faire la différence entre donner vos informations d'identification à un attaquant et rester en sécurité.
• N'utilisez pas le Wi-Fi public : Si vous pouvez l'aider, n'utilisez pas le Wi-Fi public. Parfois, l'utilisation du Wi-Fi public ne peut tout simplement pas être évitée. Si vous devez utiliser une connexion Wi-Fi publique, vous devez télécharger et installer un VPN pour renforcer la sécurité de votre connexion. De plus, gardez un œil sur les avertissements de sécurité du navigateur lorsque vous utilisez une connexion Wi-Fi publique. Si le nombre d'avertissements du navigateur augmente soudainement, cela pourrait indiquer une attaque ou une vulnérabilité MITM.
• Exécuter et mettre à jour le logiciel antivirus : Assurez-vous que votre logiciel antivirus est à jour. De plus, envisagez un outil de sécurité supplémentaire, comme Malwarebytes. Avant de demander, oui, Malwarebytes Premium en vaut la peine.

Les attaques de l'homme du milieu dépendent de la compromission de vos communications. Si vous savez à quoi vous attendre et ce qu'il faut rechercher, vous avez beaucoup plus de chances d'éviter les attaques MITM. En retour, vos données resteront sécurisées et fermement à votre portée.

Crédit image :Andy Rennie sur Flickr