MITM

Qu’est-ce qu’une cyberattaque MITM et comment s’en protéger ?

Cyberattaque MITM / Man In The Middle / Homme du milieu : qu'est-ce que c'est ? Comment ça fonctionne ? Quelles astuces faciles pour s'en prémunir ?

C-RiskC-Risk

Publié le 3 septembre 2021 14:14 (Mise à jour le 1 décembre 2021 14:56)

Le cas le plus connu d’attaque MITM remonte à 2015, année pendant laquelle Europol démantèle un groupe de 49 “cyber fraudsters”, ou “escrocs en ligne”. Ceux-ci interceptent les communications entre certaines entreprises et leurs clients dans toute l’Europe, poussant les victimes à virer de l'argent sur leurs comptes bancaires. Le contexte de 2021, marqué par la hausse des cyberattaques, réclame donc une vigilance toute particulière vis-à-vis de ces attaques “par l’homme du milieu”. Comment se déroulent-elles ? Comment s’en prémunir ?

Qu’est-ce qu’une cyberattaque MITM ?


Pour se protéger efficacement des cyberattaques, encore faut-il savoir les définir. Les attaques MITM recoupent une grande diversité de cyberattaques. Elles désignent effectivement l’ensemble des situations où une entité tierce intercepte les communications entre deux systèmes, sans que les utilisateurs de ceux-ci en aient conscience.

Définition des attaques “Man In the Middle”

Dans son glossaire en ligne sur la cybersécurité, l’Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) définit le MITM comme une “catégorie d’attaque où une personne malveillante s’interpose dans un échange de manière transparente pour les utilisateurs ou les systèmes”. On parle également d’attaque de l' “Homme Du Milieu”, ou HDM.

L’ANSSI précise que les acteurs piratés dans une attaque par HDM ne sont pas conscients de l’attaque, car la connexion entre les systèmes informatiques est maintenue. Le pirate remplace les éléments volés par d’autres, ou les "réinjecte" après les avoir subtilisés.

Dans tous les cas, le hacker s’empare d’échanges cryptés et les décode. Il se fait également passer pour l’interlocuteur prévu. Les personnes hackées pensent donc échanger avec une personne de confiance. Elles échangent en fait, activement ou passivement, avec le pirate informatique.

Différents types d’attaques par l’Homme Du Milieu

Cette même agence gouvernementale explique en outre que les attaques MITM les plus connues relèvent de ce qu’on appelle une "compromission des tables ARP”, ou “ARP poisoning”. L’ARP poisoning (“empoisonnement”) se surnomme aussi “ARP spoofing” (“usurpation”). Le hacker utilise le protocole de résolution d’adresse ARP pour s’en prendre à un réseau local, souvent un réseau ethernet ou WiFi. Il détourne alors les flux d’échanges d’information entre les appareils et leurs passerelles, qu’il s’agisse des box internet ou des routeurs.

Il existe en outre plusieurs types d’attaques HDM :

  • l’ARP poisoning ;
  • le DNS poisoning, soit l'empoisonnement d'un serveur DNS, Domain Name System, ou “système de nom de domaine”. Pour rappel, les systèmes DNS permettent de traduire les noms de domaines des sites internet en adresses IP ;
  • le déni de service (DoS) ;
  • le détournement d’email, au cours duquel le hacker intercepte les messages grâce à un logiciel malveillant installé dans le serveur de messagerie. Ces attaques se font parfois par le biais d’“analyseur de paquets”, des logiciels qui lisent les données des réseaux locaux. Le pirate informatique accède dans ce cas à des emails chiffrés, et en décode les clés cryptographiques.
  • le “reniflage de paquets” consiste à écouter les données confidentielles de la victimes, par exemple en espionnant ses appareils audio et visio ;
  • l’“injection de paquets” consiste à injecter des “paquets” sous forme de malwares pour hacker les réseaux de communication des victimes.
L’homme du milieu : un pirate

Quelles entreprises sont concernées par les attaques MITM ?

Les MITM concernent toutes les entreprises, qu’il s’agisse de PME ou de grands groupes. Les cyberpirates peuvent avoir pour objectif le vol de données sensibles en vue de faire chanter la direction générale, une logique proche de celle du rançongiciel. Ils peuvent aussi viser le détournement de fonds, par exemple par usurpation d'identité.

C’est ce qui explique que les attaques Man In The Middle s’appuient notamment sur les messageries professionnelles, les messageries instantanées, les applications bancaires, les logiciels métiers, les salles de données virtuelles et les réunions en ligne. Elles ciblent aussi particulièrement les échanges qui encadrent les opérations de fusions & Acquisitions.

Quelles conséquences pour une attaque par l’Homme Du Milieu ?

Les HDM s’attaquent à vos communications pour pirater des comptes bancaires, voler des données confidentielles en échange de rançon, ou les vendre au plus offrant. La motivation d’une attaque MITM est donc souvent financière.

Les attaques de l’homme du milieu peuvent aussi s'inscrire dans des stratégies de concurrence déloyale ou de piratage politique. Il peut s’agir d’accéder aux données clients d’une entreprise, ou à ses contrats. Un concurrent peut ainsi espionner vos contenus, et identifier une faille susceptible de vous exposer aux yeux de l’opinion publique.

​​Comment se déroule une cyberattaque par MITM ?


Pour bien comprendre les attaques Man In The Middle, en voici quatre exemples simples :

Exemple 1 : Vous pensez envoyer des emails à votre prestataire, mais un hacker s’est en réalité infiltré dans sa messagerie. Vous lui fournissez donc des informations confidentielles sur vos projets à venir. Vous ignorez confier dans le même temps ces données à un pirate, qui peut dès lors les revendre à la concurrence.

Situation 2 : Vous êtes en transit dans une gare et vous connectez votre ordinateur de bureau à un WiFi public. Celui-ci relève en réalité d’un réseau malveillant, malgré son apparence légitime. Toutes les informations que vous envoyez sur ce réseau sont donc interceptées par les hackers informatiques.

Exemple 3 : Vous vous connectez au site internet de la banque de votre entreprise pour effectuer un virement à un prestataire. Les pirates ont en réalité réalisé une copie de ce site internet, à laquelle vous vous connectez en toute confiance. Les pirates récupèrent alors les données bancaires de votre société, et ses identifiants de connexion. C’est le scénario des attaques MITM de type IP spoofing, ou ARP/DNS spoofing.

Situation 4 : Lors d’une navigation web banale, vous avez validé les cookies de plusieurs sites internet. Les pirates s’en emparent et s’en servent pour se connecter à vos différents comptes en ligne, y compris votre messagerie professionnelle. Ils sont dès lors en mesure d’envoyer des messages à votre place, et de réclamer de l'argent en votre nom.

Comment se protéger d’une cyber attaque Man In The Middle ?

Il existe de nombreuses mesures visant à se protéger contre les attaques de l’homme du milieu, de la plus basique à la plus perfectionnée. La première étape consiste à s’assurer des bonnes pratiques informatiques internes à votre entreprise.

Sécuriser les comportements informatiques des collaborateurs

Vos équipes peuvent appliquer quelques précautions de base contre les attaques HDM :

  • Un pare-feu permet de vous protéger lors de l'utilisation des connexions WiFi publiques. Si vos collaborateurs ont souvent recours à ce type de réseau, la meilleure solution reste cependant de recourir à un VPN, Virtual Private Network, ou Réseau Privé Virtuel en français.
  • Acceptez toutes les actualisations de vos logiciels de cybersécurité.
  • Assurez-vous que les sites web que vous visitez disposent de certificats d’authenticité, du protocole “https” et du symbole cadenas au niveau de leurs URLs.
  • Si vos employés utilisent beaucoup les smartphones dans le cadre de leur quotidien professionnel, munissez-vous d’un antivirus pour smartphone.
Passer par un VPN pour éviter les attaques HDM

Opter pour les technologies de protection contre les attaques de l’Homme du Milieu

D’un point de vue logiciel, la première étape consiste à s’assurer de la sécurité de vos connexions web, par exemple en passant par une solution de chiffrement de vos navigations internet. Cette démarche s’inscrit dans une logique plus globale d’adoption de d’“infrastructures à clé publique”, aussi appelée PKI, ou Public Key Infrastructures. Ces technologies sécurisent les réseaux grâce à des méthodes d'authentification, de certification et de cryptage.

Si ce n’est pas encore le cas, votre entreprise a tout intérêt à faire évoluer son site internet du protocole HTTP vers le HTTPS. Cette démarche va chiffrer la connexion web entre votre serveur et les autres appareils utilisateurs. Vous devez pour cela passer par un certificat SSL/TLS. Les certificats d'authentification consistent quant à eux à conditionner l’accès à vos terminaux et réseaux informatiques à la présence d’un certificat.

La cryptographie de vos signatures numériques vous permet de certifier que vos emails viennent bien de vous. Il existe plusieurs normes de formatage des signatures numériques, comme le Multipurpose Internet Mail Extensions (MIME). Les signatures d’email protègent de la falsification du contenu de l’email, qui ne peut plus être modifié.

Pour que le contenu des emails ne puisse ni être modifié, ni même être lu, il convient, en plus de la signature électronique, de crypter les messages. Vos emails ne peuvent alors plus être interceptés. Votre interlocuteur officiel dispose effectivement d’une clé pour pouvoir les lire.

Se protéger contre les attaques MITM avec le protocole HTTPS

FAQ

Une cyberattaque Man In The Middle (MITM) ou HDM, Homme Du Milieu, consiste, pour un hacker informatique, à intercepter les communications entre deux personnes ou deux machines pour utiliser des données confidentielles.

Ce type de cyberattaques sert aux pirates pour accéder à des informations sensibles. Elles représentent notamment des risques d’usurpation d’identité, détournements de session, détournement de compte de messagerie et de détournement de fonds.

Les attaques MITM comprennent l’usurpation HTTPS, l'usurpation de DNS, d’adresse IP, de cache ARP et le piratage SSL.