Qu’est-ce qu’une cyberattaque MITM et comment s’en protéger ?

Qu’est-ce qu’une cyberattaque MITM ?

Pour se protéger efficacement des cyberattaques, encore faut-il savoir les définir. Les attaques MITM recoupent une grande diversité de cyberattaques. Elles désignent effectivement l’ensemble des situations où une entité tierce intercepte les communications entre deux systèmes, sans que les utilisateurs de ceux-ci en aient conscience.

Définition des attaques “Man In the Middle”

Dans son glossaire en ligne sur la cybersécurité, l’Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) définit le MITM comme une “catégorie d’attaque où une personne malveillante s’interpose dans un échange de manière transparente pour les utilisateurs ou les systèmes”. On parle également d’attaque de l' “Homme Du Milieu”, ou HDM.

L’ANSSI précise que les acteurs piratés dans une attaque par HDM ne sont pas conscients de l’attaque, car la connexion entre les systèmes informatiques est maintenue. Le pirate remplace les éléments volés par d’autres, ou les "réinjecte" après les avoir subtilisés.

Dans tous les cas, le hacker s’empare d’échanges cryptés et les décode. Il se fait également passer pour l’interlocuteur prévu. Les personnes hackées pensent donc échanger avec une personne de confiance. Elles échangent en fait, activement ou passivement, avec le pirate informatique.

Différents types d’attaques par l’Homme Du Milieu

Cette même agence gouvernementale explique en outre que les attaques MITM les plus connues relèvent de ce qu’on appelle une "compromission des tables ARP”, ou “ARP poisoning”. L’ARP poisoning (“empoisonnement”) se surnomme aussi “ARP spoofing” (“usurpation”). Le hacker utilise le protocole de résolution d’adresse ARP pour s’en prendre à un réseau local, souvent un réseau ethernet ou WiFi. Il détourne alors les flux d’échanges d’information entre les appareils et leurs passerelles, qu’il s’agisse des box internet ou des routeurs.

Il existe en outre plusieurs types d’attaques HDM :

• l’ARP poisoning ;
• le DNS poisoning, soit l'empoisonnement d'un serveur DNS, Domain Name System, ou “système de nom de domaine”. Pour rappel, les systèmes DNS permettent de traduire les noms de domaines des sites internet en adresses IP ;
• le déni de service (DoS) ;
• le détournement d’email, au cours duquel le hacker intercepte les messages grâce à un logiciel malveillant installé dans le serveur de messagerie. Ces attaques se font parfois par le biais d’“analyseur de paquets”, des logiciels qui lisent les données des réseaux locaux. Le pirate informatique accède dans ce cas à des emails chiffrés, et en décode les clés cryptographiques.
• le “reniflage de paquets” consiste à écouter les données confidentielles de la victimes, par exemple en espionnant ses appareils audio et visio ;
• l’“injection de paquets” consiste à injecter des “paquets” sous forme de malwares pour hacker les réseaux de communication des victimes.

Quelles entreprises sont concernées par les attaques MITM ?

Les MITM concernent toutes les entreprises, qu’il s’agisse de PME ou de grands groupes. Les cyberpirates peuvent avoir pour objectif le vol de données sensibles en vue de faire chanter la direction générale, une logique proche de celle du rançongiciel. Ils peuvent aussi viser le détournement de fonds, par exemple par usurpation d'identité.

C’est ce qui explique que les attaques Man In The Middle s’appuient notamment sur les messageries professionnelles, les messageries instantanées, les applications bancaires, les logiciels métiers, les salles de données virtuelles et les réunions en ligne. Elles ciblent aussi particulièrement les échanges qui encadrent les opérations de fusions & Acquisitions.

Quelles conséquences pour une attaque par l’Homme Du Milieu ?

Les HDM s’attaquent à vos communications pour pirater des comptes bancaires, voler des données confidentielles en échange de rançon, ou les vendre au plus offrant. La motivation d’une attaque MITM est donc souvent financière.

Les attaques de l’homme du milieu peuvent aussi s'inscrire dans des stratégies de concurrence déloyale ou de piratage politique. Il peut s’agir d’accéder aux données clients d’une entreprise, ou à ses contrats. Un concurrent peut ainsi espionner vos contenus, et identifier une faille susceptible de vous exposer aux yeux de l’opinion publique.