Qu'est-ce qu'une attaque de l'homme du milieu ?

Dans une attaque de l'homme du milieu (Man-In-The-Middle), le cyberattaquant se place entre les victimes et les services qu'ils tentent d'atteindre, souvent dans le but de voler des données.

Share facebook icon linkedin icon twitter icon email icon

Homme du milieu

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Définir une attaque de l'homme du milieu
  • Explorer plusieurs types d'attaques de l'homme du milieu
  • Décrire les méthodes de protection contre les attaques de l'homme du milieu

Qu'est-ce qu'une attaque de l'homme du milieu ?

Dans une attaque de type homme du milieu (man-in-the-middle), les cyberattaquants se placent entre deux appareils (souvent un navigateur web et un serveur web) et interceptent ou modifient les communications entre les deux. Les attaquants peuvent alors collecter des informations et se faire passer pour l'un ou l'autre des deux agents. En plus des sites web, ces attaques peuvent cibler les communications par e-mail, les recherches DNS et les réseaux WiFi publics. Les cibles typiques des attaques de l'homme du milieu comprennent les activités en mode SaaS, les entreprises de commerce électronique et les utilisateurs d'applications financières.

Man-in-the-middle Attack

Vous pouvez vous représenter un attaquant homme au milieu comme un postier véreux assis dans un bureau de poste qui intercepte les lettres écrites entre deux personnes. Ce postier peut lire les messages privés et même modifier le contenu de ces lettres avant de les transmettre à leurs destinataires.

Dans un exemple plus moderne, un attaquant homme du milieu peut se trouver entre un utilisateur et le site web qu'il souhaite visiter, et récupérer le nom de l'utilisateur et son mot de passe. Cela peut être fait en ciblant la connexion HTTP entre l'utilisateur et le site web. Le détournement de cette connexion permet à un attaquant d'agir en tant que proxy, collectant et modifiant les informations envoyées entre l'utilisateur et le site. L'attaquant peut également voler les cookies d'un utilisateur (petits éléments de données créés par un site web et stockés sur l'ordinateur d'un utilisateur à des fins d'identification ou autres). Ces cookies volés peuvent être utilisés pour détourner la session d'un utilisateur et permettre ainsi à un attaquant de se faire passer pour cet utilisateur sur le site.

Les attaques de l'homme du milieu peuvent également viser les serveurs DNS . Le processus de recherche DNS permet aux navigateurs web de trouver des sites web en traduisant les noms de domaine en adresses IP. Dans les attaques DNS homme du milieu telles que l'usurpation de DNS (DNS spoofing) et le détournement du DNS (DNS hijacking), un attaquant peut compromettre le processus de recherche DNS et envoyer les utilisateurs vers les mauvais sites, souvent des sites qui distribuent des logiciels malveillants et/ou collectent des informations sensibles.

Man In The Middle Attack

Qu'est-ce que le détournement d'e-mails ?

Une autre attaque courante de type man-in-the-middle est le détournement d'e-mails que les attaquants utilisent pour infiltrer les serveurs de messagerie en se plaçant entre un serveur de messagerie et le web. Une fois que le serveur est compromis, les attaquants peuvent surveiller les communications par courrier électronique à diverses fins. L'une de ces escroqueries consiste à attendre qu'une personne doive transférer de l'argent à une autre (par exemple, un client qui paie une entreprise). Les attaquants peuvent alors utiliser une adresse électronique usurpée pour demander que l'argent soit transféré sur le compte d'un attaquant. L'e-mail semblera authentique et tout à fait normal pour le destinataire (« Désolé, il y a une faute de frappe dans mon dernier mail ! Mon numéro de compte est en fait: XXX-XXXX »), ce qui rend cette attaque très efficace et financièrement dévastatrice. En 2015, un réseau de cybercriminalité en Belgique a utilisé le détournement d'e-mails pour voler plus de 6 millions d'euros à diverses entreprises européennes.

Pourquoi est-il risqué d'utiliser des réseaux WiFi publics ?

Les attaques de l'homme au milieu sont fréquemment perpétrées sur des réseaux WiFi. Les attaquants peuvent créer des réseaux WiFi malveillants qui semblent soit inoffensifs, soit des clones de réseaux WiFi légitimes. Lorsqu'un utilisateur se connecte au réseau WiFi compromis, un attaquant peut surveiller l'activité en ligne de cet utilisateur. Des attaquants sophistiqués peuvent même rediriger le navigateur de l'utilisateur vers de fausses copies de sites web légitimes.

Quels sont les moyens de se protéger contre une attaque de l'homme du milieu ?

Étant donné qu'il existe plusieurs types d'attaques de l'homme du milieu, il n'existe pas de solution unique pour ces attaques. L'un des moyens essentiels de se protéger contre les attaques de l'homme du milieu qui ciblent le trafic HTTP est d'adopter SSL/TLS qui créent des connexions sécurisées entre les utilisateurs et les services web. Malheureusement, cette solution n'est pas infaillible, car il existe des attaques de l'homme du milieu plus sophistiquées qui peuvent contourner la protection SSL/TLS. Pour se protéger davantage contre ce type d'attaques, certains services web implémentent HSTS (HTTP Strict Transport Security), qui force les connexions SSL/TLS sécurisées avec n'importe quel navigateur ou application, en bloquant toutes les connexions HTTP non sécurisées et en empêchant également le vol de cookies. En savoir plus sur HSTS sur le blog Cloudflare ou consultez votre site web pour l'utilisation de HTTPS.

Les certificats d'authentification peuvent également être utilisés pour se protéger contre les attaques de l'homme du milieu. Une organisation peut implémenter une authentification basée sur les certificats sur tous ses appareils, de sorte que seuls les utilisateurs disposant de certificats correctement configurés peuvent accéder à leur système.

Pour empêcher le détournement d'e-mails, des extensions de messagerie Internet sécurisées/polyvalentes (S/MIME) peuvent être utilisées. Ce protocole chiffre les e-mails et permet aux utilisateurs de signer numériquement des e-mails avec un certificat numérique unique, permettant au destinataire de savoir que le message est authentique.

Les utilisateurs individuels peuvent également se protéger contre les attaques de l'homme du milieu en évitant de soumettre des informations sensibles sur n'importe quel réseau WiFi public à moins qu'ils ne soient protégés par un réseau privé virtuel (VPN) sécurisé.