Attaque de type « Man in The Middle » (MitM) : 4 minutes
L’attaque Man in The Middle (MiTM) est un type d’attaque où l’attaquant intercepte et transmet furtivement des messages entre deux personnes qui pensent être en communication directe l’une avec l’autre. Il s’agit d’un type d’écoute où l’attaquant a le contrôle de toutes les conversations. Parfois appelée « détournement de session », l’attaque MiTM a plus de chances de réussir si l’attaquant peut se faire passer pour chaque personne qui suit l’autre. Les attaques MiTM peuvent constituer une grave menace pour la sécurité en ligne car elles donnent à l’attaquant la possibilité de collecter et de modifier des informations sensibles en temps réel.
Une méthode typique pour mener à bien une attaque MiTM consiste à diffuser un logiciel malveillant qui permet aux attaquants d’accéder au navigateur web d’un utilisateur et aux informations qu’il envoie et reçoit au cours de conversations et de transactions. Une fois que l’attaquant a le contrôle, il peut envoyer les utilisateurs vers un faux site web qui ressemble au site que l’utilisateur espère visiter. L’attaquant peut alors établir une connexion avec le site Web légitime et servir de mandataire pour lire, insérer et modifier les informations entre les utilisateurs et le site authentique. Les sites de banque en ligne et de commerce électronique sont souvent la cible d’attaques MITM, et l’attaquant pourrait être en mesure de voler les identifiants de connexion ainsi que d’autres informations confidentielles.
La majorité des protocoles cryptographiques intègrent un certain type d’authentification des points d’accès, spécifiquement pour se protéger des attaques MITM. Par exemple, le protocole TLS (Transport Layer Security) pourrait être tenu d’authentifier les deux parties auprès d’une autorité mutuellement fiable. Toutefois, si les utilisateurs ne tiennent pas compte des avertissements lorsque le certificat qui leur est présenté est suspect ou présenté, une attaque MITM peut être menée à l’aide de certificats faux ou falsifiés.
Un attaquant peut également exploiter les faiblesses de la configuration de sécurité d’un routeur sans fil en raison de mots de passe faibles ou de mots de passe par défaut. Par exemple, un routeur malveillant, parfois appelé « rogue twin », pourrait être installé dans un espace public comme un café ou un hôtel afin de voler les données qui passent par le routeur. Les attaquants utilisent généralement d’autres méthodes pour mener des attaques de type « man-in-the-middle », telles que l’usurpation du protocole de résolution d’adresse (ARP), l’usurpation du système de nom de domaine (DNS), la manipulation du protocole STP (Spanning Tree Protocol), le vol de ports, l’usurpation du protocole DHCP (Dynamic Host Configuration Protocol), la redirection du protocole ICMP (Internet Control Message Protocol), le tunnelage du trafic et la manipulation du routage.
