Qu’est-ce qu’une attaque man-in-the-middle (MITM) ?

Saviez-vous que des hackers peuvent espionner vos moindres faits et gestes lorsque vous vous connectez à un réseau public ? Avec l’attaque man-in-the-middle, un attaquant peut vous tromper pour mieux voler vos données personnelles.

Man-in-the-middle (MITM) ou homme du milieu (HDM)

Qu’est-ce que c’est ?

L’attaque de l’homme du milieu (« man-in-the-middle attack ») est un type d’attaque qui se produit sans que vous en ayez conscience. Les pirates informatiques créent des réseaux wifi libres d’accès auxquels ils donnent des noms rassurants (le nom du café dans lequel vous utilisez votre ordinateur, par exemple). Dès que vous vous connectez à Internet via ce réseau que vous croyez être légitime, votre activité est espionnée par les cybercriminels. Le nom « man-in-the-middle », ou « homme du milieu », vient du fait qu’un individu mal intentionné se trouve entre vous et le site que vous contactez pour espionner vos communications (voir nos guides Arnaque hangout et Logiciel espion). 

Grâce à une « man-in-the-middle attack », les pirates espionnent l’activité de leurs victimes jusqu’à ce qu’ils trouvent un moyen de gagner de l’argent. Par exemple, un pirate qui intercepte la connexion d’un employé d’une entreprise peut avoir accès à la messagerie de ce dernier. Il peut alors envoyer des e-mails frauduleux en demandant un transfert d’argent auprès d’un prestataire. Le pirate fournit alors son propre RIB au lieu de celui de l’entreprise pour recevoir les fonds. Ce type de cybermenace concerne en particulier les dirigeants des entreprises qui sont habilités à réaliser ce type d’opération, mais ils peuvent aussi s’attaquer aux particuliers en leur volant leurs données bancaires.

Méthodes d’attaque

Comment fonctionne une attaque man-in-the-middle ?

Pour communiquer de manière sécurisée, deux systèmes possèdent chacun deux clés, l’une privée, l’autre publique. Alice (A) tente de communiquer avec Bob (B) via une connexion cryptée. Alice demande donc à Bob sa clé publique. Un pirate informatique crée un système (C) qui espionne cette communication. Lorsque Bob répond, C intercepte le message et le crypte avec sa propre clé publique puis le transfère à Alice. Alice envoie alors un message à Bob avec la clé publique de C croyant qu’il s’agit de celle de Bob. C peut déchiffrer le message avec sa clé privée et le transférer à Bob en le cryptant avec la clé publique de ce dernier pour passer inaperçu. Bob reçoit le message et le décrypte avec sa clé privée, ne sachant pas que le message a été lu, voire modifié par C.

ARP Cache-Poisoning

Aussi appelée ARP Spoofing, ou empoisonnement ARP, cette attaque exploite une faille dans le protocole ARP (address resolution protocol). Lorsqu’un ordinateur souhaite échanger des données avec un autre système, il envoie une requête ARP pour recevoir l’adresse MAC et IP du système récepteur. Celui-ci répond à l’ordinateur en indiquant ses infos. Si un pirate informatique se trouve sur le même réseau LAN que l’ordinateur demandeur, il peut se faire passer pour un routeur ou un point d’accès wifi pour envoyer de fausses adresses et accéder aux données de sa victime. 

DHCP Spoofing

Le DHCP (dynamic host configuration protocol) attribue une configuration réseau à des systèmes sur un réseau local. Il fournit notamment l’adresse de serveur DNS, le masque de sous-réseau et l’adresse IP locale. En se faisant passer pour un serveur DHCP, les hackers contrôlent l’attribution des adresses IP locales et interceptent les communications. Ils doivent pour cela être sur le même réseau local que leurs victimes. Une variante de ce type d’attaque existe avec l’empoisonnement du cache DNS (système de nom de domaine). Les hackers modifient alors les adresses IP fournies par le serveur DNS pour rediriger leurs victimes vers des sites web frauduleux (voir notre guide Changer d’adresse IP).

Attaque man-in-the-middle : quelle protection ?

Les protections les plus efficaces contre une attaque man-in-the-middle sont :

  • Évitez de vous connecter aux réseaux wifi ouverts, surtout si vous saisissez des données sensibles, comme le numéro de votre carte bancaire. 
  • En deuxième lieu, utilisez toujours un navigateur web à jour. Les dernières mises à jour incluent des correctifs de sécurité pour détecter des attaques MITM.
  • Assurez-vous également que vous naviguez sur des sites sécurisés, dont l’adresse commence par HTTPS et affiche un petit cadenas. Ce protocole utilise un certificat d’authentification obtenu auprès d’une autorité reconnue (voir notre guide Site non sécurisé).
  • Utilisez Kaspersky VPN (Kaspersky Secure Connection). Ce système fonctionne comme un tunnel crypté entre votre appareil et le serveur VPN. Les attaques de l’homme du milieu perpétrées par les gouvernements pour espionner les citoyens peuvent être déjouées grâce à un serveur VPN situé dans un pays extérieur à celui dans lequel on se trouve.
Découvrez Kaspersky Total Security