Man-in-the-Middle
L’attaque de l’homme-au-milieu ou Man-in-the-Middle (MITM) est une catégorie d’attaque où une personne malveillante s’interpose dans un échange de manière transparente pour les utilisateurs ou les systèmes.
Remarques : La connexion est maintenue, soit en substituant les éléments transférés, soit en les réinjectant. Une attaque connue dans cette catégorie repose sur une compromission des tables ARP (ARP Poisoning). Contrer les attaques par le milieu est aussi l’un des objectifs des infrastructures de gestion de clés
Les attaquants utilisent diverses techniques pour intercepter et décrypter les données lors d’attaques MITM. Les techniques courantes sont les suivantes :
(IP Spoofing) Usurpation d’adresse IP – Les adresses IP (« Internet Protocol ») identifient les entités en ligne telles que les sites web, les appareils et les adresses électroniques. Les attaquants MITM modifient ou créent une « usurpation » de leurs adresses IP, de sorte qu’un utilisateur croit communiquer avec un véritable hôte alors qu’il est en fait connecté à une source malveillante.
(ARP Spoofing) Usurpation d’ARP ou empoisonnement de cache ARP – Le protocole ARP (« Address Resolution Protocol ») connecte une adresse IP à l’adresse MAC (« Media Access Control ») correcte sur un réseau local. En usurpant l’adresse ARP, un pirate peut acheminer cette connexion vers sa propre adresse MAC pour extraire des informations.
(DNS Spoofing)Usurpation de DNS – Le DNS (« Domain Name System ») connecte les noms de domaine des sites web aux adresses IP qui leur sont attribuées. En modifiant un nom de domaine dans les enregistrements DNS, un attaquant MITM peut détourner les utilisateurs d’un site légitime vers un site web frauduleux.
Usurpation d’identité HTTPS – L’Hypertext Transfer Protocol Secure (HTTPS) garantit des communications sécurisées en chiffrant les données qui circulent entre un utilisateur et un site web. Les attaquants MITM dirigeront secrètement les utilisateurs vers une page HTTP standard sans chiffrement afin qu’ils puissent accéder à des données non protégées.
Détournement des SSL/TLS – Les Secure Sockets Layers (SSL) sont la technologie qui assure l’authentification et le chiffrement entre un navigateur web et un serveur web à l’aide de certificats SSL. Les attaquants MITM utilisent un faux certificat SSL pour détourner ce processus et intercepter les données avant qu’elles ne soient cryptées.
SSL stripping – Cette technique se produit lorsqu’un site web accepte les connexions HTTP entrantes avant de diriger ce trafic vers des connexions HTTPS sécurisées. Les attaquants MITM perturbent ce processus de transition afin d’accéder à des données non chiffrées avant qu’elles ne passent à une connexion HTTPS sécurisée.
