Attaque man in the middle : comment se protéger d’une cybermenace ultra-sophistiquée ?

Par Jennifer Montérémal
Le 31/08/2022
definition backgroundAttaque man in the middle : comment se protéger d’une cybermenace ultra-sophistiquée ?

Avez-vous déjà entendu parler de l’attaque man in the middle (MITM) ?

Cette menace cybernétique peut s’avérer fatale pour n’importe quel business, attendant bien sagement que vous baissiez la garde. Ça traficote votre réseau. Ça se faufile dans vos tchats internet sans crier gare. Ça manipule vos informations en douce. Puis ça repart, ni vu ni connu.

Alors, comment se prémunir des vols de données ? Comment affronter et empêcher cet envahisseur invisible de pénétrer dans votre coffre-fort numérique ?

Voici tous nos conseils pour braver la vague « man in the middle ».

Qu’est-ce que l’attaque man in the middle ?

L’attaque man in the middle (MITM), que nous traduirons par « attaque de l’homme du milieu », est une cyberattaque stratégique bien particulière.

En effet, elle permet aux hackers de prendre le contrôle, en temps réel, sur l’ensemble des activités « connectées » de l’entreprise, y compris vos interactions avec une entité tierce :

  • un client,
  • un serveur informatique,
  • un site (y compris les réseaux sociaux),
  • ou une application web.

La plupart du temps, cette attaque cible les transactions financières, en se focalisant sur un seul réseau/individu, a contrario du phishing qui repose essentiellement sur l’envoi de mails frauduleux ou la création de sites web « fake ».

💡 Plateformes e-commerces, interfaces de banques en ligne et autres espaces nécessitant une clé d’entrée sont les proies privilégiées des experts de l’attaque man in the middle 💸.

Le pire dans tout ça ? Les intrus peuvent se faire passer pour ce qu’ils ne sont pas.

À la manière d’une armada de caméléons, ils subtilisent votre identité, celle de vos interlocuteurs ou agissent en mode sous-marin silencieux. Et se positionnent au beau milieu dudit échange d’informations ou du transfert de données, histoire d’en tirer parti.

À quoi sert une attaque man in the middle ?

Les leaders de la fronde « man in the middle » ont une seule lubie : vous voler des données confidentielles, particulièrement intéressantes (informations bancaires, documents stratégiques, identifiants de connexion, etc.), ou intercepter voire s’immiscer dans vos communications online qui peuvent leur rapporter gros.

Les flibustiers nouvelle génération éprouvent un malin plaisir à espionner, détourner et transférer les informations les plus sensibles vous concernant, sans parler de vos clients.

Touchant en plein cœur le manque (voire l’absence totale) de sécurité sur la toile, les hackers extorquent vos données, via des outils de piratage performants. S’ensuit une analyse massive de cette data particulièrement juteuse.

Cela passe par :

  • la configuration d’accès Wi-Fi malveillants ou qui reproduisent à la perfection vos réseaux de connexion, ceci dans le but d’épier vos moindres faits et gestes (pour dérober un ou deux mots de passe et quelques noms d’utilisateurs au passage, avant d’accéder aux données dites sensibles) ;
  • le paramétrage d’un cheval de Troie (ou virus), qui contamine instantanément tout type de device (ou appareil connecté), dans le but de récupérer la part du butin telle que des transactions et paiements en ligne ;
  • le détournement de session de messageries à des fins d’escroquerie ;
  • le « hack » de cookies, en vue d’exploiter vos données personnelles (l’usurpation d’identité mail, ça vous dit quelque chose ?).

☝️ Il est donc primordial de comprendre les tenants et aboutissants d’une attaque de l’homme du milieu, avant de passer aux choses sérieuses, pour pouvoir réagir très rapidement.

Attaque MITM : comment ça fonctionne ?

L’attaque man in the middle est un processus bien rodé qui se décompose en deux étapes, à savoir la captation et le décryptage de vos données.

La captation des données

La première phase du plan, soit la captation/l’interception de données, consiste à vous couper la route, purement et simplement.

Les « hommes du milieu » vont déployer leur sens de l’écoute active… et du réseau Wi-Fi auquel vous avez l’habitude de vous connecter. Généralement, ils créent un faux réseau, plus vrai que nature, et qui ressemble en tous points à une borne d’accès (en libre-service et sans mot de passe).

Bon, ils ont quand même pris un maximum de précautions, ceci pour s’assurer que vous ne puissiez jamais atteindre votre destination finale. Voici donc leurs techniques de prédilection :

Usurper l’adresse de Protocole Internet (IP)

Lorsque vous surfez sur internet, votre tablette/ordinateur/smartphone, qui communique avec d’autres appareils en réseau, émet et reçoit une tonne d’informations, sous forme de paquets.

Si vous vous « baladez » à visage découvert, il est fort probable que les hackers :

  • vous « reniflent » (d’où le terme spoofing, en anglais) ;
  • altèrent ces fameux paquets ;
  • et dupent votre système informatique pour se l’accaparer.

Vous vous connectez à l’URL d’un site web que vous pensez « fiable » ? En réalité, il n’est rien d’autre qu’un leurre.

S’emparer de l’ARP (Address Resolution Protocol)

Ici, les pirates infiltrent votre réseau local (ou réseau LAN), via le serveur DHSCP (ou protocole DHSCP, alias Dynamic Host Configuration Protocol).

Une tromperie ingénieuse, puisqu’ils parviennent à vous faire croire qu’ils appartiennent à votre réseau. Sur la base d’envois de faux protocoles de résolution ARP, ils connectent leur adresse MAC (Media Access Control) à votre adresse IP.

Résultat ? C’est open-bar pour les cybercriminels, s’abreuvant de toutes les données qui vous sont transmises.

Contaminer le DNS, aka « l’empoisonnement » du cache DNS (Domain Name System)

Si vous êtes victime d’une usurpation de DNS (ou « DNS cache poisoning »), c’est que les attaquants man in the middle ont modifié votre serveur DNS pour rediriger votre trafic web vers un site-écran.

Comment ? En infectant l’entrée DNS du site sur lequel vous vous rendez.

De la sorte, ils peuvent remplacer l’adresse IP du site web licite par la leur et vous berner. Idem, vos données personnelles seront à la merci des pirates.

Le décryptage des données

La seconde phase de l’attaque man in the middle se concentre sur le décryptage de vos données chiffrées. Les cyber attaquants peuvent donc :

S’approprier l’identité HTTPS de votre appareil (ou « HTTPS spoofing »)

L’usurpation d’une URL en HTTPS est monnaie courante.

Cette méthode repose sur la création et l’envoi d’un faux certificat de sécurité à votre navigateur web, qui n’y verra que du feu. De facto, il vous conduira les yeux fermés vers un site malveillant, permettant aux ravisseurs d’obtenir une clé de chiffrement, pour toucher le Graal (données personnelles, informations financières, etc.).

Prendre de vitesse le protocole SSL (Secure Sockets Layers)

Lorsque vous saisissez l’URL d’un site via le protocole Internet HTTP (non chiffré), vous êtes automatiquement redirigé vers une connexion sécurisée (soit HTTPS), certificat de sécurité à l’appui.

Ou plutôt, vous y croyez franchement.

Eh oui ! L’attaque MITM se déclenche avant votre réacheminement, pour que les hommes du milieu puissent « capturer » vos communications HTTP, afin d’en tirer parti.

Se faire la main avec le stripping SSL

Là, il suffit aux pirates informatiques de vous forcer à utiliser une connexion HTTP, en remplaçant le certificat HTTPS par le certificat HTTP (à l’aide d’un serveur proxy ou d’un empoisonnement de cache ARP).

Comment détecter et prévenir une attaque man in the middle ?

Détecter la menace

Il est temps d’entrer dans le vif du sujet, afin de traiter le problème en amont.

Si vous ou vos collaborateurs êtes confrontés à des phénomènes étranges tels que :

  • des déconnexions subites, et clairement inattendues,
  • un temps de chargement de page web plus long que prévu,
  • des métamorphoses quasi imperceptibles (www.appviZer.com au lieu de appvizer.com par exemple),

il se pourrait bien que vous soyez victime d’une attaque man in the middle (même si dans certains cas, il peut s’agir d’un problème de réseau, indépendant du reste).

Prévenir l’attaque

Anticiper ce genre d’embuscade, c’est aussi savoir adopter un comportement adéquat et « appliquer » les gestes qui sauvent !

Primo, observez attentivement l’adresse URL saisie et vérifiez qu’« HTTPS » la précède, dans la barre prévue à cet effet (exemple : https://www.oustleshackers.com). Un pictogramme symbolisant un cadenas doit également figurer dans cette même barre d’adresse, vous confirmant que la connexion chiffrée, garantie par l’autorité de certification SSL, protège vos données.

Deuxio, suivez ces quelques précieux conseils :

  1. Ayez recours, autant que faire se peut, à des outils adaptés pour transmettre vos données sensibles. LockTransfer, par exemple, est un logiciel de partage de fichiers sécurisé français et certifié par l’ANSSI, suffisamment simple d’utilisation pour favoriser son adoption par les équipes (plugin directement intégré à Outlook et Office365). Et grâce à la fonctionnalité « Boîte de dépôts », bénéficiez d’espaces d’échange de documents sécurisés avec vos collaborateurs externes, sans que ces derniers aient besoin de créer de compte.

  2. Dès que cela est possible, abstenez-vous des accointances avec le réseau Wi-Fi public ou ceux qui ne nécessitent aucun mot de passe. D’autant plus, dans le cadre d’un transfert de données personnelles/confidentielles.

  3. Utilisez le réseau VPN (réseau privé virtuel) hors de chez vous ou du bureau. Votre activité en ligne sera masquée et chiffrée (adresse IP invisible), vous permettant de profiter d’une navigation Internet sécurisée et privée.

  4. Pensez antivirus ! Lors d’une attaque man in the middle, ce sont généralement des logiciels malveillants qui s’en prennent à vous. Donc, devancez-les !

  5. Renforcez vos mots de passe, par le biais de l’authentification multifacteurs et optez pour un gestionnaire de mots de passe.

  6. Lorsque vous avez terminé ce que vous aviez à faire, assurez-vous d’être déconnecté des sites que l’on pourrait qualifier de « névralgiques » (en gros, tout ce qui a trait à de la data concernant votre entreprise, vos clients et vos ressources financières).

Attaque man in the middle : pour résumer

Il nous semblait important d’observer de plus près les coulisses du centre d’opérations, là où se tiennent les baroudeurs de l’attaque man in the middle. Ce qu’ils flairent ? L’appât du gain et les données confidentielles. 🤑 Ce qu’ils attendent ? Que vous tombiez dans leurs filets, et leur apportiez un tas d’informations.

Dans ce contexte, dotez-vous de solutions efficaces, relatives à la cybersécurité. Ainsi, vous pourrez naviguer en toute sécurité, et anticiper les tours de passe-passe des hommes du milieu.

En d’autres termes, pour déjouer les pièges de l’attaque man in the middle, il vous faut sortir l’artillerie lourde. Prêt à vaincre la menace connectée et à partager vos fichiers en entreprise en toute sécurité ? Désormais, c’est vous, le capitaine de la sécurité informatique ! ⚓

La transparence est une valeur essentielle pour Appvizer. En tant que média, nous avons pour objectif d'offrir à nos lecteurs des contenus utiles et de qualité tout en permettant à Appvizer de vivre de ces contenus. C'est pourquoi, nous vous invitons à découvrir notre système de rémunération.   En savoir plus