Attaque Man in The Middle (MitM)
⌚: 4 minutes
Une attaque de type « Man in The Middle » (MiTM) est une attaque dans laquelle l’agresseur intercepte et relaie secrètement des messages entre deux parties qui croient communiquer directement l’une avec l’autre. L’attaque est une forme d’écoute clandestine dans laquelle l’attaquant contrôle l’ensemble de la conversation. Parfois appelé « détournement de session », MiTM a de fortes chances de réussir lorsque l’attaquant peut se faire passer pour chaque partie après de l’autre. Les attaques MiTM constituent une menace sérieuse pour la sécurité en ligne car elles donnent à l’attaquant la possibilité de capturer et de manipuler des informations sensibles en temps réel.
Une méthode courante d’exécution d’une attaque MiTM consiste à distribuer des logiciels malveillants qui permettent à l’attaquant d’accéder au navigateur web d’un utilisateur et aux données qu’il envoie et reçoit lors de transactions et de conversations. Une fois que l’attaquant a le contrôle, il peut rediriger les utilisateurs vers un faux site qui ressemble au site que l’utilisateur s’attend à atteindre. L’attaquant peut alors créer une connexion avec le vrai site et agir comme un proxy afin de lire, d’insérer et de modifier le trafic entre l’utilisateur et le site légitime. Les sites de banque en ligne et de commerce électronique sont fréquemment la cible d’attaques MITM, de sorte que l’attaquant peut saisir les identifiants de connexion et d’autres données sensibles.
La plupart des protocoles cryptographiques comprennent une forme d’authentification des points d’extrémité, spécifiquement pour prévenir les attaques MITM. Par exemple, le protocole TLS (Transport Layer Security) peut être requis pour authentifier une ou les deux parties en utilisant une autorité de certification de confiance mutuelle. Cependant, à moins que les utilisateurs ne tiennent compte des avertissements lorsqu’un certificat suspect est présenté, une attaque MITM peut toujours être réalisée avec des certificats faux ou falsifiés.
Un attaquant peut également exploiter les vulnérabilités de la configuration de sécurité d’un routeur sans fil causées par des mots de passe faibles ou par défaut. Par exemple, un routeur malveillant, également appelé « jumeau malveillant », peut être installé dans un lieu public comme un café ou un hôtel pour intercepter les informations qui transitent par le routeur. Les attaquants utilisent souvent d’autres moyens pour mener des attaques de type « man-in-the-middle », notamment l’usurpation du protocole de résolution d’adresse (ARP), l’usurpation du système de noms de domaine (DNS), la manipulation du protocole STP (Spanning Tree Protocol), le vol de port, l’usurpation du protocole DHCP (Dynamic Host Configuration Protocol), la redirection du protocole ICMP (Internet Control Message Protocol), le tunnelage du trafic et la manipulation des itinéraires.
