Attaque de type « Man-in-the-middle » : définition et types

Qu'est-ce qu'une attaque de type « Man-in-the-middle » ?

Une attaque de type « homme du milieu » ou « Man-in-the-middle »  (MITM), aussi appelée attaque de l'intercepteur, consiste pour un cybercriminel à s'interposer entre deux parties en communication, généralement un client (tel que l'ordinateur ou le téléphone d'un utilisateur) et un serveur. Une fois en position, l'attaquant peut intercepter des données telles que des mots de passe, des numéros de carte de crédit ou des messages pendant leur transit.

Les auteurs d'attaques MITM réorientent essentiellement les connexions directes vers un nouveau chemin qui les inclut en tant qu'intermédiaires. Cela signifie qu'ils peuvent non seulement voir les données transmises, mais aussi les modifier, en altérant des e-mails avant qu'ils n'atteignent leur destinataire, par exemple.

Cette technique de piratage permet aux attaquants de capturer des données sensibles à des fins frauduleuses, dans le cadre d'attaques d'ingénierie sociale plus larges, ou pour diffuser du contenu malveillant, tel que des malwares, auprès de la victime.

En cas de tentative d'intercepter vos données via une attaque de type « Homme du milieu », vous pourriez remarquer les signes suivants :

• Des avertissements de certificat dans votre navigateur (comme « Votre connexion n'est pas privée »).
• Des erreurs de connexion fréquentes et inattendues sur des sites web (erreurs 404).
• Des notifications concernant des connexions non autorisées à vos comptes en ligne.
• Des redirections automatiques vers une URL différente lorsque vous cliquez sur un lien.
• Des fenêtres contextuelles, des messages ou des publicités inhabituels.

Fonctionnement des attaques de type « Man-in-the-middle »

Les attaques de type « Man-in-the-middle » se déroulent généralement en deux phases : l'interception et le déchiffrement. À l'issue de ces deux phases fondamentales, les attaquants peuvent exploiter leur accès pour espionner ou manipuler les données. Le processus se déroule généralement comme suit :

1. Interception : les cybercriminels ciblent généralement les réseaux publics non sécurisés ou mal sécurisés, car il est plus facile d'y dérober des données non chiffrées. Ils utilisent des techniques telles que l'ARP spoofing ou le DNS spoofing pour accéder au réseau et s'interposer entre l'appareil de la victime et le serveur.
2. Déchiffrement : une fois positionnés entre deux parties sur un réseau vulnérable, les attaquants déploient des outils pour déchiffrer et lire les données transmises par la victime. S'ils ciblent une connexion chiffrée (comme HTTPS), les attaquants peuvent recourir à des méthodes telles que le SSL stripping pour dégrader la connexion vers un protocole HTTP non sécurisé.
3. Espionnage et modification : si leur attaque réussit, les attaquants peuvent consulter les données qui transitent sur le réseau, qu'il s'agisse d'identifiants de connexion, d'informations bancaires ou d'autres informations personnelles. Ils peuvent ensuite exploiter ces informations pour commettre une usurpation d'identité ou une fraude financière, ou les modifier dans le cadre d'une attaque d'ingénierie sociale. Ils peuvent également injecter des malwares ou rediriger les utilisateurs vers des sites web frauduleux et malveillants.

Une forme spécifique d'attaque de type « Man-in-the-middle », appelée attaque du « jumeau maléfique », consiste pour des cybercriminels à créer de faux réseaux Wi-Fi imitant des réseaux réels, souvent dans des espaces publics. Une victime peut alors se connecter par erreur à l'un de ces faux réseaux, et toutes les données qu'elle transmet au cours de sa session transitent par l'appareil de l'attaquant, la laissant potentiellement exposée à des piratages de compte, à des fraudes financières ou à une usurpation d'identité.

Principales attaques de type « Man-in-the-middle »

Toutes les attaques de type « homme du milieu » ou « Man-in-the-middle »  visent à intercepter et à dérober des données en transit, généralement en exploitant l'absence de chiffrement ou en le supprimant. Ce qui distingue les différents types, c'est la manière dont l'attaquant se positionne et les couches réseau qu'il cible. Découvrez les principales variantes des attaques MITM et les signes d'alerte caractéristiques de chaque type.

• Usurpation HTTPS : si une URL commence par « https », cela indique que le site web est sécurisé par chiffrement, ce qui signifie que les attaquants ne peuvent pas lire les données que vous partagez. Pour contourner cette protection, les auteurs d'usurpation HTTPS peuvent créer une copie malveillante du site web original, utilisant le protocole HTTP moins sécurisé. Leur objectif est alors de vous inciter à visiter ce faux site, notamment en utilisant une attaque de phishing avec un lien frauduleux.
• SSL/TLS stripping : même les sites web généralement sécurisés avec HTTPS peuvent être vulnérables aux attaques MITM. Des attaquants expérimentés peuvent être en mesure de dégrader des sites web vers une connexion HTTP non sécurisée grâce aux techniques de SSL stripping. Le principal signe d'alerte à surveiller est l'absence de certificat SSL, détectable par l'absence de cadenas dans la barre d'adresse de votre navigateur ou par une URL commençant par « http ».
• Usurpation d'adresse IP : lors d'une attaque MITM, les attaquants peuvent modifier l'adresse IP source des données qu'ils retransmettent pour faire croire qu'elles proviennent d'une source de confiance. Cette technique leur permet de vous faire croire que vous interagissez avec un site web ou une personne de confiance, afin de vous soutirer des informations sensibles.
• Usurpation DNS : l'usurpation DNS (Domain Name Server) est une technique qui redirige un utilisateur vers un faux site web plutôt que vers celui qu'il souhaitait visiter. Comme pour de nombreuses autres attaques MITM, il est généralement possible de détecter cette attaque si le certificat SSL est incorrect ou absent, ou si l'URL du site web présente une légère anomalie.
• Détournement d'e-mails : les cybercriminels accèdent parfois aux comptes de messagerie d'entreprise en interceptant des identifiants de connexion. Dans le cadre d'une escroquerie par compromission de messagerie d'entreprise (BEC), les attaquants peuvent intercepter des communications sensibles pour modifier des instructions financières ou envoyer de fausses factures. En cas d'attaque de ce type, vous pouvez recevoir des notifications concernant des connexions inhabituelles à votre compte ou des demandes de paiement inattendues.
• Attaques de type « Evil Twin » : les cybercriminels peuvent créer des points d'accès Wi-Fi aux noms crédibles, imitant souvent un réseau Wi-Fi public authentique. Une fois qu'un utilisateur se connecte au réseau « jumeau maléfique », l'attaquant peut surveiller son activité en ligne et potentiellement intercepter ses identifiants de connexion, ses informations de carte de paiement, et bien plus encore. Parmi les signes d'alerte courants figurent l'apparition soudaine de fenêtres contextuelles et des erreurs de certificat.
• ARP spoofing : les attaquants peuvent manipuler les messages du protocole ARP (Address Resolution Protocol), qui associent des adresses IP à des adresses MAC (adresses physiques uniques attribuées à chaque appareil sur un réseau). Cela leur permet de rediriger le trafic via leur appareil en faisant croire au réseau que leur adresse MAC est la passerelle légitime ou le serveur de destination. Les signes d'ARP spoofing incluent des ralentissements inhabituels du réseau ou des déconnexions fréquentes.
• Détournement de session : les criminels volent des cookies de session ou des identifiants d'authentification pour usurper l'identité d'utilisateurs légitimes et accéder à des systèmes, des sites et des applications. En cas de vol de session, vous pourriez être déconnecté, recevoir une alerte signalant un trop grand nombre de sessions actives, ou constater une activité inhabituelle sur votre compte.
• Attaques par rejeu : les attaquants enregistrent des données de connexion ou des messages de transaction valides et les rejouent ultérieurement pour usurper l'identité d'utilisateurs ou reproduire des paiements. Comme les données capturées restent valides pendant un court laps de temps, les criminels peuvent accéder à des systèmes ou dupliquer des transactions même après que l'utilisateur légitime s'est déconnecté. Il est donc possible de constater des débits en double et des confirmations de transaction répétées.

Conseils pour éviter les attaques de type « Man-in-the-middle »

Les attaques MITM peuvent vous exposer à des pertes financières et à une usurpation d'identité. Heureusement, quelques mesures simples permettent de mieux se protéger : utiliser uniquement des sites web sécurisés avec HTTPS, se limiter aux réseaux connus et de confiance, et apprendre à détecter les escroqueries courantes. Voici un résumé détaillé des mesures à prendre pour mieux se protéger contre les attaques de type « Man-in-the-middle » :

• Évitez les réseaux non fiables : n'utilisez que des réseaux Wi-Fi de confiance et évitez autant que possible les réseaux Wi-Fi publics. Si vous devez utiliser un réseau public, activez un VPN et évitez de vous connecter à des comptes sensibles pour mieux protéger vos données.
• Vérifiez la sécurité des sites web : si vous avez des doutes sur la sécurité d'un site web, vérifiez que l'URL dans votre barre d'adresse commence par « https » (et non par « http ») avant de saisir des informations personnelles ou financières. Ce n'est pas une méthode infaillible contre les escroqueries, mais c'est un bon point de départ.
• Utilisez un réseau privé virtuel (VPN) : un réseau privé virtuel chiffre votre trafic Internet, ce qui sécurise davantage votre navigation sur les réseaux Wi-Fi publics ou d'autres réseaux auxquels vous ne faites pas entièrement confiance. Utilisez Norton VPN pour une meilleure protection contre les attaques MITM et autres menaces pesant sur la sécurité de vos données.
• Définissez des mots de passe forts : utilisez des mots de passe complexes et uniques, plus difficiles à deviner ou à craquer pour les pirates, et activez l'authentification à deux facteurs pour ajouter une couche de sécurité supplémentaire (sous la forme d'un code envoyé sur votre téléphone, par exemple). Si cela ne vous protège pas directement des attaques MITM, vos comptes en ligne seront plus difficiles à pirater pour les cybercriminels en possession de données volées.
• Méfiez-vous des applications de messagerie non sécurisées : évitez de partager des informations personnelles ou financières sensibles sur des applications de messagerie, à moins d'être certain qu'elles offrent une protection suffisante, comme le chiffrement de vos communications.
• Essayez un détecteur d'escroquerie : utilisez un détecteur d'escroqueries pour analyser les e-mails et messages suspects avant de cliquer sur leurs liens ou de télécharger leurs pièces jointes. De nombreuses attaques MITM débutent par des messages de phishing dans votre boîte de réception, et ne pas tomber dans leur piège peut vous éviter d'être redirigé vers un faux site qui vole vos données.
• Optez pour une protection en matière de cybersécurité : Norton 360 Deluxe offre une protection contre le piratage, un générateur et gestionnaire de mots de passe, un détecteur d'escroqueries et un VPN. Combinées, ces fonctions constituent un kit complet pour chiffrer vos données transmises, bloquer les connexions non sécurisées et détecter les escroqueries ou attaques de phishing dès leur apparition, vous aidant à vous protéger contre les attaques de type « Man-in-the-middle » et autres cybermenaces.

Exemples d'attaques de type « homme du milieu » ou « Man-in-the-middle » 

Les attaques MITM peuvent être menées par des gouvernements, des entreprises ou des pirates individuels, et ce pour des raisons très diverses. Découvrez quelques attaques de type « Man-in-the-middle » marquantes du passé et la manière dont elles se sont déroulées.

• L'attaque MITM DigiNotar : en 2011, l'autorité de certification néerlandaise DigiNotar a été compromise, permettant à des attaquants d'émettre plus de 500 faux certificats SSL/TLS pour des sites web de confiance. Ces faux certificats ont été utilisés pour mener une attaque de type « Man-in-the-middle », en faisant croire aux navigateurs web qu'ils se connectaient à un site légitime, permettant ainsi aux attaquants d'intercepter et de déchiffrer des données sensibles.
• Surveillance de la NSA : en 2013, l'ancien contractant de la NSA Edward Snowden a révélé que l'agence nationale de sécurité américaine (NSA) menait des programmes de surveillance d'Internet à grande échelle depuis le début des années 2000. L'un de ces programmes consistait à intercepter les câbles à fibres optiques reliant les centres de données de Google et Yahoo pour collecter d'importants volumes de données d'utilisateurs, dont certaines pouvaient appartenir à des utilisateurs américains.
• L'attaque par adware Superfish de Lenovo : à partir de 2014, Lenovo a commencé à préinstaller l'adware Superfish sur ses PC. Ce logiciel agissait comme un proxy de type « Homme du milieu », en installant un certificat racine malveillant lui permettant d'intercepter, de déchiffrer et de rechiffrer des connexions HTTPS sécurisées. En possession des données de navigation interceptées, le fabricant avait pour objectif d'afficher des publicités ciblées sans le consentement des utilisateurs.

Protégez-vous des attaques MITM

De la sécurisation de vos connexions grâce à un VPN robuste à la détection des tentatives de phishing avant qu'elles ne vous redirigent vers des sites malveillants, Norton 360 Deluxe vous aide à mieux protéger vos données sensibles. Adoptez-le dès aujourd'hui pour renforcer la protection de vos comptes contre les nombreuses cybermenaces auxquelles vous pourriez être exposé.