Tout sur les attaques de l’homme du milieu

Lukas Grigas
Rédacteur en cybersécurité
man in the middle attacks

Le monde en ligne est plein de menaces pour la sécurité. L’une de ces menaces est connue sous le nom d’attaque de l’homme du milieu, ou man in the middle, un type d’attaque au cours de laquelle un pirate intercepte secrètement les communications électroniques entre deux personnes.

Qu’est-ce qu’une attaque de l’homme du milieu ?

Une attaque de l’homme du milieu (HDM) est une cyberattaque par laquelle des personnes mal intentionnées interceptent une conversation entre un utilisateur et une application. Les attaques HDM peuvent prendre différentes formes. Cependant, par essence, une attaque HDM peut être définie comme une interception malveillante des communications. En général, l’objectif de l’attaque HDM est de voler des données sensibles telles que des noms d’utilisateur, des mots de passe, des numéros de carte bancaire, des adresses électroniques et d’autres éléments d’information que les attaquants peuvent utiliser à des fins lucratives.

Comment fonctionne une attaque de type homme du milieu ?

Une attaque HDM comprend deux phases, l’interception et le décryptage.

Interception

Au cours de la première étape de l’attaque HDM, un pirate doit d’abord intercepter les communications. Dans la plupart des cas, les pirates interceptent les communications en prenant le contrôle d’un réseau Wi-Fi public ou en créant de faux points d’accès Wi-Fi. Dès que la victime se connecte à un réseau Wi-Fi malveillant, l’attaquant a une vue complète de tous les échanges de données.

Déchiffrement

Comme tout le trafic en ligne bidirectionnel est chiffré par SSL, les pirates doivent le déchiffrer, sinon les données interceptées restent illisibles, ce qui les rend inutilisables. Au cours de la phase de déchiffrage, les pirates utilisent diverses techniques, mais nous y reviendrons plus tard.

Célèbres attaques de l’homme du milieu

  • En 2013, il a été découvert que le navigateur Xpress de Nokia déchiffrait le trafic HTTPS, ce qui permettait d’accéder en clair au trafic chiffré de ses clients.

  • En 2011, l’autorité de certification néerlandaise DigiNotar fut victime de certificats frauduleux utilisés pour percer les barrières de sécurité d’un site, sans que les utilisateurs ne s’en rendent compte.

  • Plus récemment, le 21 septembre 2017, Equifax a découvert que ses visiteurs étaient redirigés vers un faux site de phishing, autre fruit d’une attaque HDM. Ici, le malfaiteur avait changé le nom de domaine equifaxsecurity2017.com en securityequifax2017.com.

Types d’attaques de l’homme du milieu

Les pirates peuvent lancer une attaque de l’homme du milieu de différentes manières. Cependant, toutes comportent des phases d’interception et de déchiffrement. Voici quelques exemples de types d’attaques HDM.

  • L’usurpation d’adresse IP se produit lorsque des cybercriminels modifient l’adresse IP source d’un site web ou d’un appareil pour la masquer. Dès lors, les utilisateurs non avertis croient qu’ils échangent avec un site ou un appareil digne de confiance alors qu’en réalité, toutes les données partagées sont recueillies par des cyberescrocs.

  • L’usurpation d’adresse DNS est, par essence, assez similaire à l’usurpation d’adresse IP. Cependant, plutôt que de modifier l’adresse IP, les pirates changent le nom de domaine pour rediriger le trafic vers un faux site. Les utilisateurs qui accèdent à un site web affecté par une usurpation d’adresse DNS peuvent penser qu’ils sont arrivés sur un site authentique. Malheureusement, ils se retrouvent sur un faux site web souvent conçu pour voler les identifiants de connexion.

  • Une usurpation d’adresse HTTPS se produit lorsque des cyberescrocs créent un site web qui envoie un faux certificat au navigateur de la victime potentielle afin d’établir une fausse connexion sécurisée. Par conséquent, les pirates peuvent collecter toutes les données que l’utilisateur concerné saisit sur un site web usurpé.

  • Le détournement de SSL est une technique au cours de laquelle des pirates transmettent de fausses clés d’authentification à l’utilisateur et à l’application au moment où la poignée de main TCP a lieu. À première vue, il s’agit d’une connexion sécurisée. Malheureusement, la réalité est que l’attaquant contrôle entièrement la session et tout le flux de données.

  • Le détournement de courrier électronique se produit lorsque les attaquants prennent le contrôle du compte de courrier électronique d’une entité légale et l’utilisent pour commettre une fraude financière ou même une usurpation d’identité.

  • L’attaque d’écoute, ou Wi-Fi eavesdropping, est probablement le type d’attaque HDM le plus courant. Lors des écoutes Wi-Fi, les attaquants prennent le contrôle des points d’accès Wi-Fi publics ou créent de faux réseaux Wi-Fi publics auxquels les victimes potentielles se connectent.

  • Le détournement de session est en fait ce que l’on appelle un vol de cookies. Pendant un détournement de session, les pirates accèdent à vos cookies et les utilisent pour voler des données sensibles. Comme vous le savez peut-être, les cookies stockent certaines des informations les plus importantes, telles que votre nom d’utilisateur et vos données personnelles.

Comment détecter une attaque de l’homme du milieu ?

Détecter une attaque de l’homme du milieu peut être difficile. Sans surveillance active des communications, une attaque HDM peut passer inaperçue, jusqu’à ce qu’il soit trop tard. Pour garder une longueur d’avance sur les malfaiteurs, il est essentiel d’être prudent en matière de sécurité des communications. Connaître vos habitudes de navigation et comprendre les zones potentiellement dangereuses peut s’avérer essentiel pour assurer la sécurité de votre réseau.

L’un des signes évidents d’une attaque de l’homme du milieu est la perturbation inopinée et répétée d’un service ou d’un site. Les agresseurs interrompent les sessions des utilisateurs pour intercepter la connexion et collecter des données, ce qui constitue la raison probable de ces perturbations.

Les URL suspectes ou méconnaissables sont un autre indice d’une attaque HDM. Par exemple, vous remarquerez peut-être qu’au lieu de google.com, votre navigateur essaie en fait de charger g00glee.com.

Si vous pensez avoir été victime d’une attaque HDM, arrêtez votre connexion à Internet. Dans la mesure où des pirates ont pu mettre la main sur vos données sensibles, comme vos identifiants, nous vous recommandons vivement de changer les mots de passe de vos comptes pour éviter tout préjudice supplémentaire. Vous pouvez le faire rapidement et facilement en utilisant un générateur de mot de passe , un outil conçu pour créer des mots de passe forts et uniques à la volée.

Comment se protéger des attaques de l’homme du milieu ?

  • Évitez d’utiliser le Wi-Fi public

    Les points d’accès Wi-Fi publics sont plus dangereux que votre réseau domestique, car ils ne disposent généralement pas des mesures de sécurité suffisantes pour garantir la sécurité de la connexion. En évitant d’utiliser les réseaux Wi-Fi publics, vous réduisez considérablement le risque d’être victime d’une attaque HDM.

  • Utilisez un VPN pour sécuriser votre connexion

    L’utilisation d’un VPN peut empêcher les attaques de l’homme du milieu. Un VPN constitue une strate de sécurité supplémentaire qui chiffre vos données et les met donc à l’abri des attaques.

  • Surveillez les notifications du navigateur qui signalent qu’un site n’est pas sûr

    Les navigateurs actuels sont relativement sophistiqués en termes de sécurité. La plupart d’entre eux envoient des avertissements si vous arrivez sur un site dont les standards de sécurité sont peu fiables. Assurez-vous de consulter des sites web dont la barre d’URL comporte la mention HTTPS au lieu de simplement HTTP. HTTPS indique que le site web est sécurisé.

  • Évitez les e-mails de phishing

    Les escroqueries par phishing, ou hameçonnage, sont devenues monnaie courante. Les cyberescrocs utilisent les attaques par phishing pour inciter les internautes à télécharger des fichiers malveillants et à divulguer leurs données sensibles. En général, les messages de phishing se font passer pour une source légitime dans le but de tromper les utilisateurs et de les inciter à interagir. Restez donc vigilants si vous remarquez un e-mail suspect. Pour en savoir plus sur le phishing en général et sur la manière de détecter ce type d’escroquerie, consultez notre précédent article.

S’abonner aux actualités de NordPass

Recevez les dernières actualités et astuces de NordPass directement dans votre boîte de réception.