Qu'est-ce qu'un attaquant sur le chemin ?

Un attaquant "on-path" se place entre les victimes et les services qu'elles tentent d'atteindre, souvent dans le but de voler des données.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir un attaquant sur le chemin
  • Explorer plusieurs types d'attaques sur le chemin
  • Décrire les méthodes de protection contre les attaquants sur le chemin.

Copier le lien de l'article

Qu'est-ce qu'un attaquant sur le chemin ?

Les attaquants se placent entre deux dispositifs (souvent un navigateur web et un serveur web ) et interceptent ou modifient les communications entre les deux. Les attaquants peuvent alors collecter des informations ainsi qu'usurper l'identité de l'un ou l'autre des deux agents. Outre les sites Web, ces attaques peuvent cibler les communications par courrier électronique, les recherches DNS et les réseaux WiFi publics. Parmi les cibles typiques des attaquants on-path figurent les entreprises SaaS , les entreprises de commerce électronique et les utilisateurs d'applications financières.

Vous pouvez vous représenter un attaquant homme au milieu comme un postier véreux assis dans un bureau de poste qui intercepte les lettres écrites entre deux personnes. Ce postier peut lire les messages privés et même modifier le contenu de ces lettres avant de les transmettre à leurs destinataires.

Dans un exemple plus moderne, un attaquant de l'intercepteur peut se trouver entre un utilisateur et le site web qu'il souhaite visiter, et récupérer le nom de l'utilisateur et son mot de passe. Cela peut être fait en ciblant la connexion HTTP entre l'utilisateur et le site web. Le détournement de cette connexion permet à un attaquant d'agir en tant que proxy, collectant et modifiant les informations envoyées entre l'utilisateur et le site. L'attaquant peut également voler les cookies d'un utilisateur (petits éléments de données créés par un site web et stockés sur l'ordinateur d'un utilisateur à des fins d'identification ou autres). Ces cookies volés peuvent être utilisés pour détourner la session d'un utilisateur et permettre ainsi à un attaquant de se faire passer pour cet utilisateur sur le site.

Les attaquants sur le chemin peuvent également cibler les serveurs DNS. Le processus de consultation DNS est ce qui permet aux navigateurs web de trouver des sites web en traduisant les noms de domaine en adresses IP . Dans les attaques par le DNS sur le chemin, telles que l'usurpation de DNS et le détournement de DNS, un attaquant peut compromettre le processus de consultation du DNS et envoyer les utilisateurs vers de mauvais sites, souvent des sites qui distribuent des logiciels malveillants et/ou collectent des informations sensibles.

Qu'est-ce que le détournement d'e-mails ?

Une autre attaque courante est le détournement d'e-mails que les attaquants utilisent pour infiltrer les serveurs de messagerie en se plaçant entre un serveur de messagerie et le web. Une fois que le serveur est compromis, les attaquants de l'intercepteur peuvent surveiller les communications par courrier électronique à diverses fins. L'une de ces escroqueries consiste à attendre qu'une personne doive transférer de l'argent à une autre (par exemple, un client qui paie une entreprise). Les attaquants peuvent alors utiliser une adresse électronique usurpée pour demander que l'argent soit transféré sur le compte d'un attaquant. L'e-mail semblera authentique et tout à fait normal pour le destinataire (« Désolé, il y a une faute de frappe dans mon dernier mail ! Mon numéro de compte est en fait: XXX-XXXX »), ce qui rend cette attaque très efficace et financièrement dévastatrice. En 2015, un réseau de cybercriminalité en Belgique a utilisé le détournement d'e-mails pour voler plus de 6 millions d'euros à diverses entreprises européennes.

Pourquoi est-il risqué d'utiliser des réseaux WiFi publics ?

Les attaques de l'intercepteur sont fréquemment perpétrées sur des réseaux WiFi. Les attaquants peuvent créer des réseaux WiFi malveillants qui semblent soit inoffensifs, soit des clones de réseaux WiFi légitimes. Lorsqu'un utilisateur se connecte au réseau WiFi compromis, un attaquant peut surveiller l'activité en ligne de cet utilisateur. Des attaquants sophistiqués peuvent même rediriger le navigateur de l'utilisateur vers de fausses copies de sites web légitimes.

Quels sont les moyens de se protéger contre les attaquants sur le chemin ?

Étant donné que les attaquants on-path utilisent un certain nombre de méthodes, il n'existe pas de solution tout-en-un pour ces attaques. L'un des moyens les plus fondamentaux de se protéger contre les attaques qui ciblent le trafic HTTP est d'adopter SSL/TLS, qui crée des connexions sécurisées entre les utilisateurs et les services Web. Malheureusement, il ne s'agit pas d'une solution infaillible, car des attaquants plus sophistiqués peuvent contourner la protection SSL/TLS. Pour mieux se protéger contre ce type d'attaques, certains services web mettent en œuvre le protocole HTTP Strict Transport Security (HSTS), qui impose des connexions SSL/TLS sécurisées avec n'importe quel navigateur ou application, bloquant ainsi toute connexion HTTP non sécurisée et empêchant également le vol de cookies. Pour en savoir plus sur HSTS, consultez le blog de Cloudflare ou . Vérifiez l'utilisation de HTTPS sur votre site Web.

Les certificats d'authentification peuvent également être utilisés pour se protéger contre les attaques. Une organisation peut implémenter une authentification basée sur les certificats sur tous ses appareils, de sorte que seuls les utilisateurs disposant de certificats correctement configurés peuvent accéder à leur système.

Pour empêcher le détournement d'e-mails, des extensions de messagerie Internet sécurisées/polyvalentes (S/MIME) peuvent être utilisées. Ce protocole chiffre les e-mails et permet aux utilisateurs de signer numériquement des e-mails avec un certificat numérique unique, permettant au destinataire de savoir que le message est authentique.

Les utilisateurs individuels peuvent également se protéger contre les attaques de l'homme du milieu en évitant de soumettre des informations sensibles sur n'importe quel réseau WiFi public à moins qu'ils ne soient protégés par un réseau privé virtuel (VPN) sécurisé.

Service commercial