Qu’est-ce qu’une attaque de l’homme du milieu ?
Imaginez que vous vous trouvez dans une pièce avec de nombreuses autres personnes et que vous discutez avec un ami, pensant que votre conversation reste privée. Soudain, une autre personne s’immisce entre vous deux et écoute vos propos dans l’intention de les rendre publics ou même de les utiliser plus tard pour vous faire chanter. C’est à peu près le principe d’une attaque de l’homme du milieu dans le monde cyber : des cybercriminels interceptent clandestinement vos échanges en ligne – qu’il s’agisse d’e-mails ou de messages – pour dérober des informations ou les manipuler sans que vous le sachiez.
À première vue, cette pratique peut sembler anodine, mais l’inquiétante augmentation de ces attaques, également appelées « attaques de l’intercepteur », met les entreprises à rude épreuve. Une grave cyberattaque menée contre une start-up israélienne a permis d’intercepter un virement bancaire entre la société et l’un de ses fournisseurs en Asie. En infiltrant les canaux de communication, les cybercriminels ont détourné 1 million de dollars vers un compte tiers, à l’insu des deux parties.
Au cours du premier trimestre 2023, le nombre d’attaques MitM a augmenté de 35 % par rapport à 2022. L’émergence rapide de cette menace souligne l’importance de bien comprendre son fonctionnement, ses formes les plus fréquentes et les méthodes à la disposition des sociétés pour détecter les attaques de l’homme du milieu et s’en protéger.
Comment fonctionne une attaque de l’homme du milieu ?
Dans les interactions en ligne, il existe plusieurs manières d’établir un contact entre deux parties : il peut s’agir d’une communication entre un ordinateur et une application Web, de deux serveurs e-mails qui échangent des messages ou de personnes qui tchattent sur des plateformes comme WhatsApp, Zoom ou Facebook Messenger. Or, des hackers cachés dans l’ombre du cyberespace peuvent tenter de s’immiscer entre les deux parties sans qu’aucune d’elles ne s’en doute. Grâce à des techniques comme l’usurpation d’identité ARP ou DNS, et la compromission de périphériques sur un réseau, ils cherchent à s’accaparer les informations échangées.
Une fois positionnés « au milieu » de la communication, les pirates masquent leur présence afin que l’échange paraisse se dérouler normalement, alors que le flux de données est contrôlé en arrière-plan. Ils peuvent se faire passer pour l’un ou l’autre des interlocuteurs donnant ainsi l’impression que la communication est directe. En réalité, ils interceptent clandestinement toutes les informations qui transitent entre les deux parties, qu’il s’agisse d’e-mails, de photos, de messages ou d’autres types de données, même si elles sont chiffrées.
Après avoir obtenu ce qu’ils cherchaient, les attaquants se retirent de l’échange sans laisser de traces. Ils exploitent ensuite les informations dérobées dans le cadre de différentes actions frauduleuses : fraude financière, chantage, extorsion, violation de données, phishing ou autre forme d’attaque susceptible de compromettre la confidentialité et l’intégrité de vos données à caractère personnel.
Attaque « on-path » ou « man-in-the-middle » ?
En cybersécurité, les termes d’attaque « man-in-the-middle » (de l’homme du milieu) et d’attaque « on-path » (sur le chemin) sont souvent utilisés comme des synonymes. Il existe pourtant quelques différences. Dans les deux cas, il s’agit de situations où un attaquant intercepte la communication entre deux parties pour, éventuellement, la détourner. La différence réside cependant dans la position de l’attaquant au sein du réseau.
Dans les attaques « sur le chemin », le hacker se trouve déjà dans la trajectoire du flux de données, pour ainsi dire. Par exemple, il partage le même serveur que l’émetteur et le récepteur des messages et a donc la possibilité d’intercepter naturellement les données sans avoir à les faire dévier de leur route. En revanche, les attaques de l’homme du milieu ne nécessitent pas obligatoirement que le pirate informatique se trouve directement dans le circuit de communication utilisé par les victimes. L’attaquant doit alors prendre des initiatives pour s’immiscer dans le flux de données : en rusant pour amener sa cible à se connecter à un réseau Wi-Fi corrompu ou par le biais d’une usurpation ARP, par exemple. Une fois qu’il s’est introduit dans l’échange, l’« homme du milieu » peut soit épier tranquillement la conversation, soit trafiquer les données qui transitent d’un interlocuteur à l’autre. Les protocoles et couches de réseau visés par les attaquants varient et peuvent aller des sessions chiffrées aux communications basées sur IP.
En bref, les attaques « on-path » peuvent être considérées comme des attaques de l’homme du milieu, mais l’inverse n’est pas vrai. Les attaques « on-path » sont, en quelque sorte, un sous-genre des attaques MitM et se caractérisent par une approche plus discrète, plus passive, avec un positionnement stratégique sur le canal de communication.
Types d’attaque de l’homme du milieu
Les cybercriminels ont beaucoup d’imagination et ont inventé de nombreuses méthodes pour intercepter ou détourner des communications via des attaques de l’homme du milieu. Voici quelques-unes des techniques les plus fréquemment utilisées :
- Détournement de session ou Session hijacking : dans ce scénario, l’attaquant se place entre l’ordinateur de la victime et le serveur Web soit en piratant un réseau WiFi, soit en utilisant un logiciel spécial. Il peut alors surveiller les données échangées. Si le site Web n’utilise pas de chiffrement sécurisé, l’attaquant peut facilement lire les données, y compris les cookies qui contiennent un identifiant de session. Ceux-ci lui permettent de se faire passer pour la victime et de pirater l’accès à l’application en ligne sans avoir besoin du nom d’utilisateur ni du mot de passe.
- Usurpation ARP ou ARP spoofing : le sigle ARP signifie Address Resolution Protocol. C’est une méthode utilisée par les ordinateurs sur un réseau local pour identifier l’adresse physique (MAC) de leur interlocuteur. L’usurpation ARP consiste à envoyer de faux messages ARP pour tromper les ordinateurs et les amener à associer l’adresse MAC du hacker avec une adresse IP qui ne lui appartient pas. Le terminal du pirate informatique récupère ainsi les données qui étaient destinées à un autre appareil.
- Usurpation DNS ou DNS spoofing : le sigle DNS signifie Domain Name System. C’est une sorte de carnet d’adresses pour Internet qui répertorie les adresses IP correspondant à chaque nom de domaine. L’usurpation d’identité DNS consiste à trafiquer ce système en redirigeant un nom de domaine vers une autre adresse IP qui est généralement celle d’un site Internet ou d’un serveur corrompu. Ainsi, alors que l’internaute pense surfer sur un site fiable, il est en réalité redirigé ailleurs. L’objectif ultime de cette manipulation est de pousser les utilisateurs à interagir avec le site trafiqué et à y saisir des informations sensibles.
- Détournement de SSL/TLS ou SSL/TLS hijacking : les protocoles SSL (Secure Sockets Layer) et TLS (Transport Layer Security) ont pour mission de chiffrer les données qui transitent entre votre navigateur Web et le serveur. Ce type d’attaque consiste à essayer de casser ou de contourner le protocole de sécurité (SSL, ou sa version mise à jour : TLS) qui protège les communications entre l’ordinateur de l’utilisateur et le serveur. Les hackers peuvent ainsi intercepter ou modifier les données échangées. Pour ce faire, ils exploitent souvent les vulnérabilités des implémentations SSL/TLS, telles que des défauts de configuration ou l’utilisation de versions obsolètes.
- Écoute clandestine du Wi-Fi ou Wi-Fi eavesdropping : dans un monde où nous sommes constamment entourés de bornes Wi-Fi, les attaquants n’hésitent pas à créer des réseaux corrompus qui se fondent dans la masse. Ne se doutant de rien, les utilisateurs se connectent à ces hotspots apparemment authentiques, ignorant qu’ils ouvrent ainsi la voie à des pirates qui vont intercepter et espionner leurs données.
- Détournement de HTTP/HTTPS ou HTTP/HTTPS spoofing : très ingénieuse, cette tactique consiste à créer une page Web qui contrefait de manière troublante un site de confiance. Inconscients de tomber dans un piège, les utilisateurs y saisissent des informations confidentielles en toute bonne foi.
- Reniflage de mot de passe : le reniflage de mot de passe consiste à surveiller le trafic sur le réseau, en ciblant généralement un réseau peu ou pas protégé, afin de récupérer les identifiants de connexion. Pour tenter d’obtenir des identifiants de connexion ou des informations sensibles, l’attaquant « renifle » (c’est-à-dire collecte) des paquets de données sur le réseau.
- Usurpation d’e-mail ou Email hijacking : l’usurpation d’e-mail est une attaque de l’homme du milieu qui consiste à intercepter ou à trafiquer les e-mails échangés entre deux interlocuteurs sans que ceux-ci s’en doutent. L’attaquant se place au centre de l’échange et peut ainsi lire, modifier ou rediriger les messages. Les deux victimes peuvent totalement ignorer que leur communication a été captée par un tiers.
Exemples réels d’attaques de l’homme du milieu
Ces dernières années, les cyberattaquants ont réussi à s’infiltrer dans différents organismes par le biais d’attaques MitM. Voici quelques cas qui sont restés dans les annales :
10 000 entreprises victimes de phishing contournant le MFA d’Office 365
Le piratage des comptes Microsoft 365 est une attaque de l’homme du milieu qui a beaucoup fait parler d’elle. En 2022, des chercheurs en sécurité ont découvert une vaste campagne de compromission des e-mails professionnels. Cette attaque de l’homme du milieu a piégé plus de 10 000 entreprises en usurpant la page de connexion de Microsoft 365. Elle poussait la supercherie jusqu’à afficher les écrans personnalisés que les victimes avaient l’habitude de voir pour accéder au compte de leur entreprise. Les attaquants se servaient d’une solution qui faisait tampon entre le formulaire de connexion légitime à Microsoft 365 et une page de phishing, afin de voler les informations d’identification et le cookie de session généré lors de la demande d’authentification multifacteur. Suite à cette découverte, Microsoft s’est appuyée sur cet incident pour rédiger un rapport (en anglais) avec des explications sur le mode d’action utilisé et des recommandations pour aider les entreprises à se protéger de ce type d’attaques.
Une attaque de l’homme du milieu doublée de phishing frappe Reddit
Un récent incident survenu en 2023 a ciblé le réseau social américain Reddit, sous la forme d’une attaque de phishing sophistiquée dirigé spécifiquement contre l’un des employés de la société. Celui-ci ayant cliqué sur un lien qui lui avait été envoyé s’est trouvé redirigé vers un portail Intranet imitant à la perfection celui de Reddit. Il a saisi ses informations de connexion sans se douter que des hackers étaient en train de les récupérer. Cette attaque s’est soldée par la compromission des coordonnées de centaines de collaborateurs. Par bonheur, les attaquants n’ont pas pu obtenir d’accès en écriture aux systèmes contenant les données de sauvegarde, le code source et d’autres données de logs. Quoi qu’il en soit, cet incident a été l’occasion d’attirer l’attention de la communauté sur les vulnérabilités existantes et l’importance de mesures de cybersécurité fortes.
Des documents de l’OTAN exposés lors d’une attaque contre le gouvernement portugais
En septembre 2022, le piratage de l’État-major des Forces armées portugaises a eu des retombées à grande échelle. La violation de données a, en effet, provoqué la fuite de documents de l’OTAN classifiés comme secrets et confidentiels, ainsi que leur mise en vente sur le Dark Web. Cette affaire extrêmement grave a suscité beaucoup d’inquiétudes sur la scène internationale. L’enquête a révélé que la violation de données était due à une sécurisation insuffisante des moyens de communication utilisés, une faille critique qui a permis aux attaquants de dérober ces informations. Cette cyberattaque est d’autant plus troublante qu’elle était totalement indétectable : pendant longtemps, les attaquants ont travaillé dans l’ombre, collectant toutes les données partagées via des canaux non sécurisés.
Comment éviter une attaque de l’homme du milieu
Pour éviter une attaque de l’homme du milieu (MitM), il faut adopter une approche proactive qui alimente une attitude vigilante tout en consolidant les défenses numériques. Pour prévenir ce type d’attaques, il existe plusieurs mesures à la portée des entreprises comme des particuliers :
- Consultez essentiellement des sites Internet HTTPS : si un symbole de cadenas apparaît sur votre navigateur ou que l’adresse URL commence par « HTTPS », c’est signe que vous êtes sur une page sécurisée. Bien que ce ne soit pas une preuve infaillible, ce sont généralement des sites auxquels vous pouvez accorder une certaine confiance, en particulier si vous devez saisir des informations personnelles ou des coordonnées bancaires.
- Méfiez-vous des URL usurpées : pour les détecter, cherchez quel est le véritable nom de domaine de l’adresse que vous souhaitez consulter. Il est parfois difficile de faire la part entre une URL légitime, mais complexe, et une URL usurpée. Dans l’URL, cherchez la première barre oblique simple (en dehors des doubles barres obliques) ou le premier point d’interrogation en partant de la gauche. Remontez ensuite vers la gauche jusqu’au deuxième point de l’adresse. Tout ce qui se trouve entre ces deux éléments constitue le nom de domaine. S’il ne correspond pas au site Internet que vous pensiez être en train de consulter ou s’il contient des fautes d’orthographe, ne faites pas confiance à ce site. La copie d’écran ci-dessous est tirée de l’un de nos modules d’apprentissage en ligne : elle présente les éléments qui peuvent vous aider à identifier les différentes parties de l’URL (qui figure dans la barre d’adresse) :
- Connectez-vous à des réseaux sécurisés : ne vous connectez pas à n’importe quel réseau. Lorsque souhaitez consulter des informations sensibles ou effectuer des transactions financières, faites-le depuis un réseau sécurisé et fiable. Évitez les réseaux WiFi publics : ils sont souvent la cible d’attaques MitM.
- Activez l’authentification multifacteur : chaque fois que vous le pouvez, ayez recours à une authentification multifacteur (MFA). Celle-ci renforce la sécurité puisque le mot de passe ne suffit pas pour obtenir l’accès aux données. Confrontés à la MFA, les attaquants auront beaucoup plus de mal à se faire passer pour vous.
- Mettez régulièrement à jour vos logiciels : actualisez systématiquement votre système d’exploitation, vos navigateurs Web et votre antivirus. Les mises à jour contiennent souvent des correctifs qui renforcent la protection contre les attaques MitM.
- Méfiez-vous des e-mails de phishing : soyez extrêmement prudent chaque fois que vous cliquez sur un lien ou que vous téléchargez une pièce jointe. Les attaques de l’homme du milieu commencent souvent par des e-mails de phishing. Vérifiez la provenance du mail et son contenu avant de faire quoi que ce soit.
- Utilisez un VPN (Virtual Private Network) : utilisez un VPN fiable, en particulier si vous vous connectez à des réseaux Wi-Fi publics. Ces outils VPN cryptent votre trafic et les liaisons via des serveurs sécurisés ce qui complique considérablement la tâche de pirates informatiques qui chercheraient à intercepter ou à manipuler vos données.
- Vérifiez les signatures numériques : lorsque vous téléchargez des fichiers ou des mises à jour de logiciels, vérifiez qu’ils comportent la signature numérique de leur auteur. Celles-ci servent d’authentification et garantissent l’intégrité du contenu.
- Faites attention aux messages d’avertissement concernant les certificats numériques : lorsque vous surfez sur un site Internet, votre navigateur contrôle la validité du certificat SSL/TLS. En cas d’anomalie, il affiche un message d’avertissement. Si une alerte relative au certificat apparaît sur votre navigateur Web ou sur votre client de messagerie, ne l’ignorez pas et renseignez-vous sur son origine. Elle peut être le signe d’une tentative d’attaque MitM ou de certificats numériques compromis. Il s’agit généralement d’un message indiquant « Votre connexion n’est pas sécurisée » sur votre navigateur ou d’une fenêtre pop-up qui s’ouvre dans votre logiciel de messagerie.
- Formez les utilisateurs finaux : dans le cadre d’une entreprise, il est essentiel de sensibiliser les employés aux questions de cybersécurité. Encouragez-les à signaler rapidement toute anomalie survenant sur le réseau, tout message d’erreur ou problème de sécurité qu’ils peuvent rencontrer : c’est ce qui vous permettra de mettre en place une ligne de défense collective contre les menaces d’attaques MitM.
Sécuriser les communications : comment protéger votre société des attaques de l’homme du milieu
À l’heure où le numérique fait partie intégrante de notre quotidien, il est vital de bien comprendre les rouages des attaques de l’homme du milieu (MitM) et d’être prêts à y faire face. Nous avons ici affaire à des adversaires qui agissent dans l’ombre pour tenter de compromettre nos données sensibles et confidentielles. Sans préparation ni connaissances adéquates, nous risquons de tomber dans leurs pièges.
La meilleure solution pour sécuriser votre entreprise est de sensibiliser les employés en leur apprenant à détecter ces attaques et à les prévenir. Nos modules de formation en ligne gamifiée sont justement conçus pour motiver vos équipes, les former efficacement et les aider à toujours garder à l’esprit les principes de sécurité. Le contenu est personnalisé, basé sur une approche narrative et associé à des éléments de gamification qui augmentent l’engagement des utilisateurs.
Cependant, pour qu’une formation à la cybersécurité soit vraiment efficace, il faut que les employés aient l’occasion d’appliquer ce qu’ils ont appris dans des situations concrètes. SoSafe répond à ce besoin en proposant des simulations de phishing qui reproduisent le scénario de véritables attaques, mais dans un environnement contrôlé et sécurisé. Ces exercices permettent aux sociétés de tester les capacités de leurs collaborateurs à gérer différentes tactiques de phishing généralement utilisées dans les attaques de l’homme du milieu, notamment l’usurpation URL. Vous aurez ainsi un aperçu du niveau de cyberrésilience de vos équipes et pourrez renforcer votre culture de la sécurité.
Notre vigilance et notre aptitude à contrer les menaces en perpétuelle évolution sont déterminantes pour assurer notre sécurité sur le Net. En sensibilisant vos employés aux menaces cyber émergentes et en adoptant de solides mesures de sécurité, vous renforcez vos défenses, sécurisez vos interactions en ligne et restez protégés des pièges des hackers.