Skip to main content
attaque-man-in-the-middle

Interception d’une communication : l’attaque Man in the Middle

L’attaque Man in the Middle : qu’est-ce que c’est ?

Imaginez que vous ayez une conversation en ligne avec quelqu’un de votre famille par exemple, qui vous livre un secret de la plus haute importance. Imaginons votre tante qui vous livre la recette de son célèbre gâteau au concombre par e-mail ; et bien malheureusement pour vous, le secret de votre tante pourrait très bien être intercepté par un pirate aux intentions peu louables et ce sans même que vous vous en rendiez compte.

C’est ce qu’on appelle l’attaque de l’homme du milieu (HDM) ou encore Man in the Middle (MITM) en anglais.

Lors d’une attaque man in the middle, le but pour l’attaquant est de se placer entre vous et la source que vous désirez atteindre, que vous estimez généralement de confiance comme dans notre précédent exemple : votre tante.

On pourrait imager cette attaque physiquement de manière simple, admettons qu’un roi envoie un message à son armée par pigeon voyageur, seulement un espion du royaume rival intercepte le pigeon et modifie le message puis le renvoie. Cet espion c’est notre attaquant et il peut modifier la communication comme bon lui semble pour parvenir à ses fins, et bien cela est totalement possible lors d’une communication en ligne.

man-in-the-middle

 

Les différents types d’attaques

L’attaque de l’homme du milieu garde le même nom mais celle-ci présente différentes approches. Rappelons-le, le but de l’attaquant est de se faire passer pour l’un des correspondants (voir les deux), et celui-ci a différentes manières d’y parvenir.

La première, et la plus courante, permet non seulement la lecture de la communication entre les deux parties, mais aussi la modification de son contenu. Il s’agit de l’imposture ARP (ou ARP Spoofing) pour Address Resolution Protocol, tout cela semble bien barbare mais la méthode n’est pas si complexe.

L’attaquant peut exploiter une faille d’un routeur légitime, afin d’intercepter les communications entre les utilisateurs et le routeur. Il ne s’agit pas de la méthode la plus simple mais celle-ci s’avère très efficace pour l’obtention de quantités importantes de données sensibles, dans une entreprise par exemple. Ou alors celui-ci peut utiliser son matériel (ordinateur portable, matériel sans fil, etc.) pour agir comme un routeur wi-fi et donne un nom à son « routeur » souvent utilisé dans les lieux publics, c’est pourquoi il est important de toujours se méfier des hotspots wi-fi, s’assurer de leur source et de leur fiabilité, si vous ne voulez pas voir vos données qu’elles soient bancaires, personnelles, etc. atterrirent entre de mauvaises mains.

 

arp-spoofing-attack

 

Une deuxième approche de l’attaque de l’homme du milieu utilise non pas le protocole ARP vu précédemment, mais s’attaque directement aux serveurs DNS.

Un serveur DNS (pour Domain Name System), pour faire simplement, se charge de la traduction d’adresse littérale en adresse IP et inversement. Un serveur DNS est donc comparable à un annuaire, et dès lors que vous vous trouverez connecté à un routeur et effectuerez une requête, votre ordinateur interrogera le serveur DNS pour obtenir l’adresse IP de votre source.

Et bien vous l’aurez sûrement compris, cette méthode qu’on appelle l’empoisonnement DNS (DNS Poisoning) consiste à altérer les serveurs DNS de la cible par un serveur DNS contrôlé par le pirate lui-même, qui pourra donc associer n’importe quelle adresse littérale à l’adresse IP de son choix.

quest-ce-que-serveur-dns

Dans les cas les « moins graves », le pirate peut se servir de cette attaque pour rediriger les utilisateurs vers les serveurs publicitaires de son choix pour obtenir de l’argent, ou modifier les résultats des recherches google pour augmenter la valeur de certains sites web… Mais celui-ci peut très bien rediriger l’utilisateur vers de faux sites (bancaires, etc.) pour voler les cookies d’authentification ou récupérer les identifiants saisis par la victime.

Un autre type d’attaque plus récent mais de plus en plus fréquent est l’attaque man-in-the-browser (littéralement l’homme dans le navigateur), où le cybercriminel injecte un logiciel malveillant ou malware dans le navigateur de la cible, par exemple à l’aide du phishing que nous avons déjà présenté dans un autre article. Il s’agit donc d’une attaque similaire à l’attaque de l’homme du milieu, où l’on place non pas une machine entre les deux correspondants, mais un malware.

L’utilisateur va par exemple effectuer un virement bancaire, le malware notifie le pirate que la cible se trouve sur le point de réaliser une opération bancaire, et au moment où l’utilisateur va faire le virement, les données (montant du virement, destinataire, etc.) seront modifiées à la volée. Ainsi il s’agit d’une attaque très efficace puisque celle-ci est imperceptible que ce soit par la cible, le serveur ou l’anti-virus.

Il s’agit des types d’attaque man in the middle les plus fréquents mais il en existe beaucoup d’autres (HTTPS Spoofing, SSL Hijacking, etc.) qui permettent tous l’interception voire la modification de données sensibles. Cela peut causer des dommages non négligeables et ce aussi bien au sein d’une entreprise, comme d’un particulier. C’est pourquoi il est nécessaire d’avoir un minimum de connaissances sur cette attaque pour pouvoir s’en prémunir plus facilement.

 

Se protéger face aux attaques de l’homme du milieu

Je vais aborder certaines choses simples à effectuer pour vous, particulier, vous prémunir d’une telle attaque et non parler ici des moyens conséquents mis en place par les grandes entreprises pour s’en protéger.

Une façon radicale mais plutôt sûre de protéger ses données face à une attaque MITM est de chiffrer ses dernières, en s’assurant de l’origine des clés de déchiffrement partagées entre les deux interlocuteurs ; effectuer cet échange en main propre est la solution la plus fiable. Lors de votre navigation sur internet et surtout en cas de partage de données sensibles, assurez-vous de l’URL qui doit contenir « https » et non simplement « http » car le HTTPS chiffre les données et permet de vérifier l’identité du site web source grâce à un certificat d’authentification émis par une autorité tierce.

Concernant l’attaque « man-in-the-browser », il vous est nécessaire de connaître les extensions installées sur votre navigateur ainsi que leur fonction. Effectuez un nettoyage régulier de votre ordinateur notamment pour prévenir des malwares qui auraient pu s’y immiscer, à l’aide d’outils comme Malware Bytes et CCleaner. Et évitez les réseaux publics, comme je l’ai déjà précisé si vous devez vous connecter à un hotspot wifi, soyez sûrs de son origine et de sa fiabilité.

Et enfin, mais on ne le répètera jamais assez, le moyen le plus sûr de se protéger en ligne est la méfiance. Sans entrer dans la parano, vérifiez toujours que vous êtes bien sur la source désirée, n’installez pas tout et n’importe quoi, méfiez-vous des mails qu’on vous envoie qui peuvent s’avérer être du phishing. Ce sont des choses simples mais qui pourront vous éviter bien des problèmes.

man-in-the-middle-attaque

Joffrey Outtier

Joffrey Outtier est le fondateur de sforsecure.fr, ce blog sur la sécurité informatique a été créé pour partager mes connaissances en cybersécurité et sensibiliser les utilisateurs aux dangers du numérique. Pour le suivre sur Twitter : @JoffreyO.