Qu'est-ce qu'un attaquant sur le chemin ?

Un attaquant "on-path" se place entre les victimes et les services qu'elles tentent d'atteindre, souvent dans le but de voler des données.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir un attaquant sur le chemin
  • Explorer plusieurs types d'attaques sur le chemin
  • Décrire les méthodes de protection contre les attaquants sur le chemin.

Contenu associé


Vous souhaitez continuer à enrichir vos connaissances ?

Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !

Consultez la politique de confidentialité de Cloudflare pour en savoir plus sur la manière dont nous collectons et traitons vos données personnelles.

Copier le lien de l'article

Qu'est-ce qu'un attaquant sur le chemin ?

Dans une attaque de type « on-path » (attaque de l'homme du milieu), les acteurs malveillants se placent entre deux appareils (souvent un navigateur web et un serveur web) et interceptent ou modifient les communications entre les deux. Ils peuvent alors collecter des informations et se faire passer pour l'un ou l'autre des deux agents. Outre les sites web, ces attaques peuvent également viser les communications par courrier électronique, les recherches DNS et les réseaux Wi-Fi publics. Les cibles typiques des adeptes de l'attaque de l'homme du milieu sont les entreprises SaaS, les entreprises spécialisées dans l'e-commerce et les utilisateurs d'applications financières.

Vous pouvez vous représenter un attaquant homme au milieu comme un postier véreux assis dans un bureau de poste qui intercepte les lettres écrites entre deux personnes. Ce postier peut lire les messages privés et même modifier le contenu de ces lettres avant de les transmettre à leurs destinataires.

Dans un exemple plus moderne, un attaquant de l'intercepteur peut se trouver entre un utilisateur et le site web qu'il souhaite visiter, et récupérer le nom de l'utilisateur et son mot de passe. Cela peut être fait en ciblant la connexion HTTP entre l'utilisateur et le site web. Le détournement de cette connexion permet à un attaquant d'agir en tant que proxy, collectant et modifiant les informations envoyées entre l'utilisateur et le site. L'attaquant peut également voler les cookies d'un utilisateur (petits éléments de données créés par un site web et stockés sur l'ordinateur d'un utilisateur à des fins d'identification ou autres). Ces cookies volés peuvent être utilisés pour détourner la session d'un utilisateur et permettre ainsi à un attaquant de se faire passer pour cet utilisateur sur le site.

Les intercepteurs peuvent aussi cibler les serveurs DNS. Le processus de recherche DNS permet aux navigateurs web de trouver un site web en traduisant les noms de domaine en adresses IP. Dans les attaques d'intercepteurs telles que l'usurpation de DNS et le détournement DNS, un acteur malveillant peut compromettre le processus de recherche DNS et envoyer les utilisateurs vers les mauvais sites, souvent des sites qui distribuent des logiciels malveillants ou collectent des informations sensibles.

Qu'est-ce que le détournement d'e-mails ?

Une autre attaque courante est le détournement d'e-mails que les attaquants utilisent pour infiltrer les serveurs de messagerie en se plaçant entre un serveur de messagerie et le web. Une fois que le serveur est compromis, les attaquants de l'intercepteur peuvent surveiller les communications par courrier électronique à diverses fins. L'une de ces escroqueries consiste à attendre qu'une personne doive transférer de l'argent à une autre (par exemple, un client qui paie une entreprise). Les attaquants peuvent alors utiliser une adresse électronique usurpée pour demander que l'argent soit transféré sur le compte d'un attaquant. L'e-mail semblera authentique et tout à fait normal pour le destinataire (« Désolé, il y a une faute de frappe dans mon dernier mail ! Mon numéro de compte est en fait: XXX-XXXX »), ce qui rend cette attaque très efficace et financièrement dévastatrice. En 2015, un réseau de cybercriminalité en Belgique a utilisé le détournement d'e-mails pour voler plus de 6 millions d'euros à diverses entreprises européennes.

Pourquoi est-il risqué d'utiliser des réseaux WiFi publics ?

Les attaques de l'intercepteur sont fréquemment perpétrées sur des réseaux WiFi. Les attaquants peuvent créer des réseaux WiFi malveillants qui semblent soit inoffensifs, soit des clones de réseaux WiFi légitimes. Lorsqu'un utilisateur se connecte au réseau WiFi compromis, un attaquant peut surveiller l'activité en ligne de cet utilisateur. Des attaquants sophistiqués peuvent même rediriger le navigateur de l'utilisateur vers de fausses copies de sites web légitimes.

Quels sont les moyens de se protéger contre les attaquants sur le chemin ?

Les intercepteurs ayant recours à un grand nombre de méthodes, il n'existe pas de solution unique pour contrer ces attaques. L'un des moyens élémentaires de se protéger contre les attaques ciblant le trafic HTTP est d'adopter le protocoleSSL/TLS, qui crée des connexions sécurisées entre les utilisateurs et les services web. Malheureusement, il ne s'agit pas d'une solution infaillible, car des intercepteurs plus sophistiqués peuvent contourner la protection SSL/TLS. Pour mieux se protéger contre ce type d'attaques, certains services web appliquent le protocole HTTP Strict Transport Security (HSTS), qui impose des connexions SSL/TLS sécurisées avec n'importe quel navigateur ou application et qui bloque toute connexion HTTP non sécurisée et empêche également le vol de cookies. Pour en savoir plus sur HSTS, consultez le blog de Cloudflare.

Les certificats d'authentification peuvent également être utilisés pour se protéger contre les attaques. Une organisation peut implémenter une authentification basée sur les certificats sur tous ses appareils, de sorte que seuls les utilisateurs disposant de certificats correctement configurés peuvent accéder à leur système.

Pour empêcher le détournement d'e-mails, des extensions de messagerie Internet sécurisées/polyvalentes (S/MIME) peuvent être utilisées. Ce protocole chiffre les e-mails et permet aux utilisateurs de signer numériquement des e-mails avec un certificat numérique unique, permettant au destinataire de savoir que le message est authentique.

Les utilisateurs individuels peuvent également se protéger contre les attaques de l'homme du milieu en évitant de soumettre des informations sensibles sur n'importe quel réseau WiFi public à moins qu'ils ne soient protégés par un réseau privé virtuel (VPN) sécurisé.