Le monde numérique est truffé de menaces pour la sécurité. L'une d'entre elles est connue sous le nom d'attaque de l'homme du milieu (ou "man-in-the-middle" en anglais). Cette dernière désigne une attaque au cours de laquelle un individu mal intentionné intercepte secrètement les communications électroniques entre deux personnes.
Qu'est-ce qu'une attaque de l'homme du milieu ?
Une attaque de l'homme du milieu (HDM) est une cyberattaque par laquelle des personnes mal intentionnées interceptent une conversation entre un utilisateur et une application. Les attaques HDM peuvent prendre différentes formes. Mais, essentiellement, une attaque HDM peut être définie comme une interception malveillante de communications. Généralement, l'objectif de l'attaque HDM est de voler des données sensibles comme des noms d'utilisateur, mots de passe, numéros de cartes bancaires, adresses e-mail et autres informations que les attaquants peuvent exploiter.
Comment fonctionne une attaque de l'homme du milieu ?
Une attaque HDM comporte deux phases : interception et déchiffrement.
Interception
Lors de la première phase d'une attaque HDM, l'agresseur doit intercepter les communications. Le plus souvent, les pirates informatiques parviennent à capter les communications en prenant le contrôle d'un réseau Wi-Fi public ou en créant de faux points d'accès. Dès que la victime se connecte au réseau malveillant, le hacker obtient une vue complète de tous les échanges de données.
Déchiffrement
Comme tous les échanges bidirectionnels en ligne sont chiffrés par SSL, les malfaiteurs doivent les déchiffrer. Sinon, les données interceptées restent illisibles et donc sans utilité. Pendant le déchiffrement, les pirates utilisent diverses techniques pour déchiffrer les données, nous y reviendrons plus tard.
Célèbres attaques de l'homme du milieu
En 2013, il fut découvert que le navigateur Xpress de Nokia déchiffrait le trafic HTTPS. Cela offrait alors un accès en clair au trafic chiffré de ses utilisateurs.
En 2011, l'autorité de certification néerlandaise DigiNotar fut victime de certificats frauduleux utilisés pour percer les barrières de sécurité d'un site, sans que les utilisateurs ne s'en rendent compte.
Plus récemment, le 21 septembre 2017, Equifax a découvert que ses visiteurs étaient redirigés vers un faux site de phishing, autre fruit d'une attaque HDM. Ici, le malfaiteur avait changé le nom de domaine equifaxsecurity2017.com en securityequifax2017.com.
Types d'attaques de l'homme du milieu
Les pirates peuvent lancer une attaque de l'homme du milieu de différentes manières. Cependant, toutes comportent des phases d'interception et de déchiffrement. Voici quelques exemples de types d'attaques HDM.
L'usurpation d'adresse IP survient lorsque des cybercriminels modifient l'adresse IP initiale d'un site ou d'un appareil. Dès lors, les utilisateurs non avertis croient qu'ils échangent avec un site ou un appareil digne de confiance alors qu'en réalité, toutes les données partagées sont recueillies par des cyber-escrocs.
L'usurpation de DNS est assez similaire à l'usurpation d'IP. Cependant, plutôt que de modifier l'adresse IP, les pirates changent le nom de domaine pour rediriger le trafic vers un faux site. Les utilisateurs qui arrivent sur un site affecté par une usurpation de DNS pensent qu'ils atterrissent sur un site légitime, mais, ils se retrouvent en fait sur un faux site conçu pour dérober leurs identifiants.
L'usurpation HTTPS se produit quand des cybercriminels créent un site qui transmet un faux certificat au navigateur de la victime pour établir une fausse connexion sécurisée. Ainsi, les malfaiteurs collectent toutes les données que l'utilisateur visé entre sur le site usurpé.
Le détournement SSL est une technique par laquelle les agresseurs glissent de fausses clés d'authentification à l'utilisateur et à l'application au moment de la poignée de main TCP. À première vue, cela peut ressembler à une connexion sécurisée. Malheureusement, l'attaquant a en réalité le contrôle total de la session et de tous les flux de données.
Le détournement d'e-mail survient quand des agresseurs prennent le contrôle de la messagerie d'une partie légitime et l'utilisent pour réaliser des opérations financières frauduleuses ou des vols d'identité.
L'écoute Wi-Fi est sans doute le type d'attaque HDM le plus courant. Lors de celle-ci, les pirates prennent le contrôle de points d'accès Wi-Fi publics ou créent de faux réseaux auxquels les victimes potentielles se connectent.
Le détournement de session correspond à ce que l'on appelle le vol de cookies. Au cours d'un détournement de session, les malfaiteurs obtiennent l'accès à vos cookies et les utilisent ensuite pour voler vos données sensibles. Comme vous le savez peut-être, les cookies contiennent des informations importantes, comme vos identifiants et vos données personnelles.
Comment détecter une attaque de l'homme du milieu ?
Détecter une attaque de l'homme du milieu peut être difficile. Sans surveillance active des communications, une attaque HDM peut passer inaperçue, jusqu'à ce qu'il soit trop tard. Pour garder une longueur d'avance sur les malfaiteurs, il est essentiel d'être prudent en matière de sécurité des communications. Connaître vos habitudes de navigation et comprendre les zones potentiellement dangereuses peut s'avérer essentiel pour assurer la sécurité de votre réseau.
L'un des signes évidents que vous subissez une attaque de l'homme du milieu est la perturbation inopinée et répétée d'un service ou d'un site. Les agresseurs interrompent les sessions des utilisateurs pour intercepter la connexion et collecter des données, ce qui constitue la raison probable de ces perturbations.
Les adresses suspectes ou méconnaissables sont un autre indice d'une attaque HDM. Par exemple, vous remarquerez peut-être qu'au lieu de google.com, votre navigateur essaie en fait de charger g00glee.com.
Si vous pensez avoir été victime d'une attaque HDM, arrêtez votre connexion à Internet. Dans la mesure où des malfaiteurs ont pu mettre la main sur vos données sensibles, comme vos identifiants, nous vous recommandons vivement de changer les mots de passe de vos comptes pour éviter tout préjudice supplémentaire. Vous pouvez effectuer cela rapidement et facilement avec un générateur de mot de passe - un outil conçu pour créer des mots de passe forts et uniques.
Comment se protéger des attaques de l'homme du milieu ?
Évitez d'utiliser le Wi-Fi public
Les points d'accès Wi-Fi publics sont plus dangereux que votre réseau domestique, car ils ne disposent généralement pas des mesures de sécurité suffisantes pour garantir la sécurité de la connexion. En évitant d'utiliser les réseaux Wi-Fi publics, vous réduisez considérablement le risque d'être victime d'une attaque HDM.
Utilisez un VPN pour sécuriser votre connexion
L'utilisation d'un VPN peut empêcher les attaques de l'homme du milieu. Un VPN constitue une strate de sécurité supplémentaire qui chiffre vos données et les met donc à l'abri des attaques.
Surveillez les notifications du navigateur qui signalent qu'un site n'est pas sûr
Les navigateurs modernes sont relativement sophistiqués en termes de sécurité. La plupart d'entre eux envoient des avertissements si vous arrivez sur un site dont les standards de sécurité sont peu fiables. Assurez-vous de visiter des sites qui comportent "HTTPS" dans leur URL plutôt que "HTTP". "HTTPS" confirme en effet que le site est sécurisé.
Évitez les e-mails de phishing
Les escroqueries par phishing, ou hameçonnage, sont devenues monnaie courante. Les cyber-escrocs utilisent les attaques par phishing pour inciter les internautes à télécharger des fichiers malveillants et à divulguer leurs données sensibles. En général, les messages de phishing se font passer pour une source légitime dans le bur de tromper les utilisateurs et les inciter à interagir. Restez donc vigilants si vous remarquez un courriel suspect. Pour en savoir plus sur le phishing et sur la manière de détecter ces arnaques, consultez notre précédent entrée du blog.