Comment fonctionne l'attaque de l'homme du milieu (MitM)
Pour réaliser une attaque MitM, l'attaquant doit atteindre deux objectifs. Tout d'abord, ils doivent s'insérer dans la communication d'une manière qui leur permette d'intercepter le trafic en cours d'acheminement vers sa destination. Voici quelques-uns des moyens par lesquels un attaquant pourrait y parvenir :
- Wi-Fi malveillant : Tout le trafic Wi-Fi passe par un point d'accès (PA) sans fil. Un pirate qui contrôle un PA sans fil et peut inciter les utilisateurs à s'y connecter peut donc intercepter l'ensemble de leur trafic.
- Piratage ARP (ARP Spoofing) : Le protocole de résolution d'adresses (ARP) est utilisé pour faire correspondre les adresses IP aux adresses MAC. En utilisant de faux messages ARP, un attaquant fait correspondre l'adresse IP de la cible à son adresse MAC, ce qui fait que le trafic de la cible lui est envoyé à la place.
- L'usurpation d'identité DNS : Le système de noms de domaine (DNS) établit une correspondance entre les noms de domaine et les adresses IP. L'empoisonnement d'un cache DNS avec de faux enregistrements DNS peut entraîner l'acheminement du trafic vers le domaine cible à l'adresse IP de l'attaquant.
- Détournement du protocole BGP : Le protocole Border passerelle Protocol (BGP) est utilisé pour identifier le système autonome (AS) ayant la meilleure route vers une adresse IP particulière. Le détournement BGP consiste à annoncer une fausse route pour faire transiter un certain trafic par les systèmes de l'attaquant.
Une fois au milieu d'une communication, l'attaquant doit pouvoir lire les messages ; or, un pourcentage important du trafic internet est crypté à l'aide de SSL/TLS. Si le trafic est crypté, la lecture et la modification des messages nécessitent la capacité d'usurper ou de rompre la connexion SSL/TLS.
Cela peut se faire de différentes manières. Si un pirate peut amener l'utilisateur à accepter un faux certificat numérique pour un site, il pourra alors décrypter le trafic du client et le lire ou le modifier avant de l'envoyer au serveur. Un attaquant peut également rompre la sécurité de la session SSL/TLS à l'aide d'attaques de dépouillement ou de rétrogradation de SSL.
Exemples d'attaques de type Man-in-the-Middle
Les attaques MitM peuvent être menées de différentes manières, qui dépendent du protocole attaqué et de l'objectif de l'attaquant. Par exemple, il est plus facile d'effectuer une attaque MitM lorsque le flux de communication n'est pas crypté et que l'attaquant se trouve naturellement sur la route qu'empruntera le trafic cible.
Scénario 1 : IoT/Mobile vulnérables application
L'utilisateur moyen a appris à déterminer si sa session de navigation sur le web est cryptée en se basant sur l'icône https et le cadenas dans la barre d'URL. Cependant, il est plus difficile de vérifier que les flux de données sont cryptés avec les applications mobiles et L'internet des objets (Appareil IdO. Il n'est pas rare qu'ils soient peu sécurisés et qu'ils utilisent des protocoles non cryptés, tels que Telnet ou HTTP, pour communiquer.
Si c'est le cas, un attaquant peut facilement lire et potentiellement modifier les données circulant entre l'application mobile ou l'appareil IdO et le serveur. En utilisant un point d'accès sans fil ou une forme d'usurpation d'identité, l'attaquant peut s'intercaler dans le flux de communication de manière à ce que tout le trafic passe par lui. Comme ces protocoles ne comportent pas de contrôles intégrés de l'intégrité ou de l'authenticité des données, l'attaquant peut modifier le contenu du trafic à sa guise.
Scénario 2 : Faux certificats numériques
SSL/TLS est conçu pour protéger contre les attaques de type MitM en assurant la confidentialité, l'intégrité et l'authentification du trafic réseau. Cependant, il repose sur le fait que l'utilisateur n'accepte que des certificats numériques valides pour un domaine particulier. Si l'attaquant peut inciter l'utilisateur à visiter un site de hameçonnage, le convaincre d'accepter un faux certificat ou compromettre le certificat numérique qu'une entreprise utilise pour l'inspection SSL, ces protections sont rompues.
Dans ce scénario, l'attaquant maintient deux sessions distinctes cryptées avec SSL/TLS. Dans l'un d'eux, il se connecte au client en se faisant passer pour le serveur et en utilisant son faux certificat SSL. Dans l'autre, il se fait passer pour un client se connectant au serveur légitime. Comme l'attaquant contrôle les deux sessions, il peut décrypter les données d'une session, les inspecter et les modifier, puis les recrypter pour l'autre session.
Prévention des attaques de type "Man-in-the-Middle
Les attaques MitM dépendent de la capacité de l'attaquant à intercepter et à lire le trafic. Voici quelques bonnes pratiques en matière de sécurité Internet pour éviter ce genre de situation :
- Méfiez-vous des réseaux Wi-Fi publics : le trafic des réseaux Wi-Fi publics passe par le point d'accès, qui peut être contrôlé par un pirate. Ne vous connectez qu'à des réseaux Wi-Fi connus et fiables.
- Utiliser un RVP : Les réseaux privés virtuels (VPN) cryptent le trafic entre un utilisateur ou un site distant et le poste RVP. Cela empêche un attaquant MitM de lire ou de modifier le trafic intercepté.
Validez les certificats numériques : Un site web légitime doit toujours disposer d'un certificat numérique qui apparaît comme valide dans un navigateur. Faire confiance à un certificat suspect peut permettre une attaque MitM.
Protégez-vous contre le MITM avec Point de contrôle
Les VPN d'accès à distance de Point de contrôle peuvent contribuer à protéger les employés distants contre les attaques MitM et autres cyberattaques. Pour en savoir plus sur les cybermenaces auxquelles votre organisation est confrontée, consultez le rapport 2023 sur la cybersécurité. Ensuite, faites le bilan de sécurité gratuit pour savoir comment votre organisation peut améliorer sa position en matière de sécurité.
Commentaires