Quand on parle de cybersécurité et de cyberattaques, on pense tout d’abord aux virus et malwares ; on ne pense guère aux attaques où le facteur humain est impliqué et où il y a un manque de sensibilisation à la cybersécurité.
Ces types d’actions malveillantes font partie de ce que l’on appelle l’ingénierie sociale et l’attaque MITM (Man In The Middle), l’une des méthodologies les plus sophistiquées et les plus répandues.
Cette tactique consiste à s’interposer entre l’utilisateur et le serveur afin d’intercepter les messages échangés par les différents interlocuteurs. De cette manière, le cybercriminel peut se faire passer pour l’une des parties et envoyer de fausses communications, accédant à de nombreuses informations personnelles, ce qui peut avoir des conséquences assez désastreuses.
Dans une attaque d’homme du milieu, l’attaquant utilise généralement des logiciels malveillants pour espionner la conversation entre le serveur et le client.
Malwarebytes a signalé une augmentation massive de 1 677 % de la détection de logiciels espions entre le 1er janvier et le 30 juin 2020.
Pour combattre et prévenir ces types d’attaques, il est d’abord utile de les comprendre. Alors, examinons de plus près les attaques HDM et les tactiques de prévention possible.
Qu’est-ce qu’une attaque MiTM ?
Il est très difficile de savoir qu’au milieu d’une conversation que l’on croit privée, un cybercriminel porte atteinte à celle-ci, car il s’agit d’une attaque qui se déroule de manière particulièrement silencieuse.
Cependant, le danger devrait être inestimable car la communication envoyée par le cybercriminel pourrait contenir une demande de paiement, ou les messages qu’il intercepte pourraient contenir des informations sensibles, comme des coordonnées bancaires.
Pour cette raison, ce guide vous montrera en quoi consistent les attaques MiTM, quels sont les différents types qui peuvent être appliqués et donc comment pouvez-vous protéger votre identité numérique et votre appareil de cette menace.
MiTM définition
Les attaques MITM ou attaques Man In The Middle sont des cybercrimes dans lesquels les auteurs interceptent et exploitent les communications ou les transmissions de données entre deux parties. Dans le cas d’une attaque Man In The Middle, l’attaquant se place littéralement au milieu entre deux entités qui tentent de communiquer entre elles : un client (la victime) et le serveur ou le routeur. De cette façon, il parvient non seulement à intercepter les messages envoyés et reçus. Mais, s’il le souhaite, il peut aussi les modifier ou se faire passer pour l’une des deux parties. Dans le monde hors ligne, nous pouvons l’imaginer comme quelqu’un qui place de fausses factures dans notre boîte aux lettres et essaie ensuite de percevoir le paiement.
Quel est l'objectif principal d'une attaque de type man in the middle ?
Habituellement, le but de cette attaque est de voler les informations personnelles de la victime, telles que les identifiants bancaires, le nom d’utilisateur et le mot de passe, et d’autres identifiants qui pourraient être utiles pour obtenir quelque chose.
Cependant, les MiTM ne concernent pas seulement les personnes physiques, mais s’adressent souvent aussi aux entreprises. Dans de tels cas, les pirates ont recours à cette stratégie pour accéder au commerce électronique/service/SaaS de la victime, l’endommager ou voler toutes les données, puis exiger le paiement d’une rançon pour tout restaurer.
Les organisations ont une plus grande responsabilité dans la mise en place de défenses appropriées contre les attaques de l’Homme Du Milieu, compte tenu des risques de sécurité des données qu’elles font peser sur les clients, les employés, les partenaires, etc. Dans cet esprit, il est conseillé aux organisations d’investir dans une équipe de cybersécurité proactive
Avoir une équipe interne d’experts en cybersécurité est une étape importante pour protéger votre entreprise contre les attaques MITM et d’innombrables autres cybermenaces. Ces experts doivent surveiller en permanence votre réseau à la recherche d’activités suspectes, identifier les vulnérabilités et déployer des contre-mesures pour prévenir ou neutraliser les attaques. Ils devraient également disposer d’un pra informatique, ainsi que d’un plan d’intervention rapide en cas d’attaques réussies.
Quels sont les types d’attaque par MiTM ?
Certaines des techniques d’attaque de type « Man In The Middle » utilisées sont :
- Usurpation de DNS ou DNS Spoofing : L'usurpation DNS se fait en remplaçant les adresses IP stockées dans le serveur DNS par celles sous le contrôle de l'attaquant. Ainsi, chaque fois qu'un utilisateur tente d'accéder à un site Web particulier, il est dirigé vers le site Web malveillant placé par l'attaquant dans le site usurpé.
- Usurpation de cache ARP : ARP est un protocole de communication utilisé pour connaître l'adresse MAC d'un appareil particulier dont l'adresse IP est connue. Si un appareil veut communiquer avec un autre appareil sur le réseau, l'appareil émetteur utilise ARP pour trouver l'adresse MAC de l'appareil avec lequel il veut communiquer. Et ces paquets ARP peuvent être falsifiés pour se connecter à un périphérique légitime, ce que l'on appelle l'usurpation d'identité ARP. Cela permet à l'attaquant d'intercepter, de modifier et de supprimer les messages entrants.
- Usurpation HTTPS : Habituellement, le fait qu'un site utilise le protocole HTTPS au lieu du HTTP classique signifie que vous pouvez être assuré que la connexion entre les deux parties est sécurisée. Cependant, même cette certitude peut vous surprendre en cas d'attaque MiTM par usurpation HTTPS. Le pirate enregistre un domaine similaire à celui qu'il souhaite émuler, tel que instagram.com (avec un petit i) au lieu d'Instagram.com. En plus du domaine, un certificat SSL est également enregistré, pour sécuriser la navigation via le protocole HTTPS. À ce stade, tout ce que le pirate doit faire est de s'assurer que le site est visité par sa cible. Cela peut se faire de plusieurs manières, telles que le DNS spoofing lui-même (le premier type d'attaque que nous avons vu), via SMS (essentiellement une tentative de SMiShing ) ou via e-mail. Une fois que la victime se connecte au faux site, c'est tout. Le pirate pourra voir à la fois les identifiants de connexion saisis et tout ce que fait la pauvre victime sur le site.
- Écoute sans fil Wi-Fi : Un point d'accès non autorisé est un appareil qui fonctionne sur le réseau sans l'autorisation d'un administrateur, ce qui constitue une menace pour la sécurité. Ils sont configurés pour tromper les ordinateurs qui se connectent automatiquement au Wi-Fi en se faisant passer pour des réseaux publics légitimes. Ces réseaux malveillants surveillent souvent le trafic et volent des informations sensibles. L'attaquant pourrait utiliser ce point d'accès malveillant comme Wi-Fi public d'un café pour contrôler et intercepter toutes les communications passant par ce réseau.
- Piratage SSL : SSL/TLS est un protocole cryptographique sécurisé utilisé pour communiquer des informations sensibles. La sécurité du protocole est établie en créant une connexion cryptée entre deux parties. Lorsqu'un utilisateur saisit un nom de domaine ou lorsqu'une requête HTTP non sécurisée est envoyée, le serveur répond via HTTP puis redirige l'utilisateur vers HTTPS. L'utilisateur envoie alors une requête HTTPS sécurisée et la session sécurisée est lancée.
Exemple d’attaque par l’homme du milieu
Les attaques MitM existent depuis longtemps, et bien qu’elles ne soient pas aussi courantes que le phishing et les logiciels malveillants ou même les ransomwares, elles font généralement partie d’attaques ciblées avec une intention spécifique. Par exemple, un attaquant qui souhaite voler un numéro de carte de crédit peut espionner le Wi-Fi d’un café pour ces données. Un autre attaquant pourrait utiliser les techniques MitM dans le cadre d’un plan plus vaste visant à pénétrer dans une grande entreprise.
La première attaque de l’homme du milieu enregistrée dans l’histoire a eu lieu bien avant même l’invention d’Internet et implique Guglielmo Marconi, un lauréat du prix Nobel considéré comme l’inventeur de la radio. Lorsqu’un conseiller juridique de Marconi, le professeur Fleming, faisait une démonstration de transmission sans fil d’un endroit à un autre, un certain M. Maskelyne, avec son propre récepteur, a intercepté le message qui devait être envoyé de Cornwall à l’Institut royal, puis transmis son propre message.
Comment savoir si je suis victime de MiTM ?
La première ligne de défense consiste sans aucun doute à maintenir une capacité d’attention élevée et à prendre conscience que le risque de subir une attaque est toujours présent. Cela dit qu’il existe quelques techniques simples pour essayer de déterminer si vous êtes (ou avez été) victime d’une attaque MiTM.
Voici quelques signes indiquant qu’il peut y avoir des auditeurs supplémentaires sur vos réseaux.
Certificats SSL/TLS invalides
Un certificat SSL n’est pas simplement un joli cadenas à côté d’une URL de site Web. Il a été créé pour assurer un échange de données sécurisé entre le visiteur et le site Web en protégeant ces parties de toute intrusion potentielle, telles que les attaques de Man In The Middle.
Une fois qu’un certificat SSL a été installé sur le serveur, toute intervention de tiers, comme les attaques de l’Homme Du Milieu, est exclue. Même s’il peut avoir la possibilité d’intercepter les données, le pirate ne peut pas les déchiffrer car il ne possède pas la clé privée. La clé privée appartient exclusivement au serveur.
Pour tromper le client qu’il est le serveur, le pirate doit utiliser son propre certificat. Étant donné que les certificats SSL sont généralement émis par des autorités de certification réputées, le pirate ne peut falsifier aucun certificat SSL de confiance pour donner l’impression qu’il le possède. S’il essaie de le faire et de fournir sa propre clé privée, la signature de l’AC contenue dans le certificat sera détruite et le navigateur identifiera le certificat comme « invalide ».
Les pages Web ont changé
Si vous commencez à voir des sites Web qui ont une apparence complètement différente de ce qu’ils étaient auparavant, par exemple, des sites proposant de faux produits ou services, cela pourrait indiquer une attaque MiTM.
Un autre signe d’un faux site Web est son utilisation d’une URL légèrement différente de l’URL légitime. Par exemple, vous essayez peut-être d’accéder à facebook.com, mais à la place, vous voyez une légère variation telle que facebOok.com. C’est un signe que votre connexion a été interceptée et que votre trafic a été redirigé vers le faux site du criminel.
Connexions réseau lentes
L’examen de la latence est un moyen de détecter une attaque MiTM. Si un utilisateur reçoit un trafic inattendu ou si sa connexion Internet devient plus lente et plus instable, cela peut indiquer une attaque MiTM. Le cybermalveillant peut avoir ralenti la connexion pour intercepter les données.
Utilisation suspecte de votre compte
Si vous remarquez des activités inhabituelles sur votre compte en ligne, comme des achats que vous n’avez pas effectués ou des connexions depuis des endroits que vous ne connaissez pas, cela peut indiquer une attaque MiTM. L’attaquant peut avoir obtenu vos informations d’identification et les utiliser pour accéder à votre compte.
Que dois-je faire si j'ai été victime de MiTM ?
Si vous pensez que votre entreprise a été victime d’une attaque MITM, il est essentiel d’agir rapidement. Avertissez votre équipe de sécurité et enquêtez minutieusement sur l’incident. La restauration des données à partir de sauvegarde externalisée, la modification des mots de passe la surveillance du réseau et quelques autres mesures décrites ci-dessous peuvent aider à atténuer les dommages causés par une attaque.
Cessez immédiatement toute communication sensible
Déconnectez votre appareil d’Internet et de tout réseau auquel il est lié. Cela réduira le risque de propagation du logiciel malveillant dans votre système.
Lorsque vous êtes connecté à Internet, vous devez éviter d’envoyer données sensibles. Cela peut aider à empêcher que vos données privées ne tombent entre de mauvaises mains pour être utilisées à des fins frauduleuses.
Changez tous vos mots de passe
Vous devez changer immédiatement tous les mots de passe concernés ou vulnérables.
Créez de nouveaux mots de passe forts pour les réseaux sociaux, les services bancaires et tous les autres services que vous utilisez, et évitez de réutiliser les mêmes mots de passe sur plusieurs comptes. De cette façon, si une attaque MiTM se reproduit à l’avenir, les dommages pourraient être limités.
Signalez l'attaque
Il arrive généralement qu’après avoir subi une attaque informatique, l’entreprise contacte son informaticien de confiance pour résoudre le problème, mais ces informaticiens chargés de résoudre les problèmes matériels sur les ordinateurs ou d’y installer de nouveaux logiciels ne sont pas des experts en cybersécurité, ils leur manquent donc les connaissances et les ressources nécessaires pour faire face à un problème d’une telle ampleur.
C’est pourquoi il s’agit d’une erreur très courante, alors que la bonne réponse serait de demander l’aide d’experts en cybersécurité tels qu’un administrateur réseau, une société informatique, ou votre fournisseur de services internet pour résoudre le problème de la meilleure façon possible et revenir à la normale le plus rapidement possible.
Vérifiez les logiciels malveillants
Effectuez une analyse complète de votre système à l’aide de votre logiciel antivirus. Cela peut être fait hors ligne, alors ignorez les fenêtres contextuelles vous demandant de vous connecter à Internet. Si vous trouvez des logiciels malveillants, suivez les instructions du logiciel sur la façon de mettre en quarantaine ou de supprimer les fichiers malveillants.
Mettez à jour vos logiciels
Lorsqu’il est temps de mettre à jour vos logiciels, ne tardez pas. Les mises à jour peuvent prévenir les problèmes de sécurité et elles peuvent corriger les vulnérabilités de sécurité qui peuvent être exploitées lors d’une attaque MiTM.
À chaque mise à jour logicielle, pensez à mettre à jour les mots de passe pour un autre niveau de protection.
Utilisez une connexion sécurisée
La mise en place d’une connexion sécurisée assure une protection raisonnable contre les écoutes clandestines et les imitateurs. Sans utiliser de connexions sécurisées, votre trafic Internet n’est pas crypté.
N’utilisez pas de points d’accès Wi-Fi publics sans utiliser une connexion VPN, en particulier si vous connectez un PC ou un appareil professionnel.
L’utilisation d’une connexion VPN crypte le trafic entre votre appareil et le serveur VPN ; cela rend plus difficile pour un intrus de renifler vos données. C’est l’un des meilleurs moyens de sécuriser votre session de navigation.
Si le site Web auquel vous accédez prend en charge le cryptage SSL (Secure Sockets Layer), vous pouvez sélectionner cette option pour que toutes les informations soient envoyées via une connexion sécurisée. Le Secure Sockets Layer (SSL) est un protocole de transmission de documents privés via Internet. Le SSL utilise un système cryptographique qui utilise deux clés pour chiffrer les données, une clé publique connue de tous et une clé privée ou secrète connue uniquement du destinataire du message.
Surveillez les activités suspectes
Si vous commencez à voir des niveaux de trafic inhabituels transiter par vos réseaux, cela peut indiquer une attaque MiTM en cours. Ce type d’activité peut facilement être déguisé en activité normale, il est donc important de surveiller de près votre réseau pour toute activité suspecte.
Les SIEM englobent une variété d’outils et de solutions qui surveillent et contrôlent l’activité du réseau. Lorsque vous utilisez un SIEM, votre équipe peut identifier les violations en cours. Cette détection en temps réel permet des temps de réponse rapides.
Comment se protéger de MiTM ?
Il est rarement possible pour les personnes concernées de savoir si une attaque de l’homme du milieu s’est produite ou non. Cependant, les attaques MITM peuvent être évitées en formant ses employés à la cybersécurité, en réalisant un test d’intrusion (établi avec une fréquence régulière), et en suivant certaines bonnes pratiques.
Utilisez des connexions sécurisées
Les sites Web HTTPS empêchent les attaquants d’intercepter les communications en cryptant les données. Une excellente méthode pour contourner l’usurpation HTTPS consiste à saisir manuellement l’adresse Web dont vous avez besoin au lieu de vous fier aux liens.
Vous pouvez également vérifier si le lien auquel vous souhaitez accéder commence par « https:// » ou comporte un symbole de cadenas, suggérant qu’il est sécurisé.
Évitez les réseaux Wi-Fi publics non sécurisés
Évitez de vous connecter à des réseaux Wi-Fi publics non sécurisés, car ils peuvent être facilement infiltrés par des attaquants. Si vous devez vous connecter à un réseau Wi-Fi public, utilisez un VPN pour chiffrer vos données.
N’oubliez pas non plus de vous assurer que le Wi-Fi public auquel vous vous connectez est authentique et, en cas de doute, évitez de donner des informations importantes lorsque vous utilisez des points d’accès non sécurisés.
L’authentification forte au niveau du point d’accès empêche les utilisateurs indésirables de rejoindre votre réseau simplement en étant à proximité. Un mécanisme de cryptage faible peut permettre à un attaquant de s’introduire par force brute dans un réseau et de lancer une attaque de type Man In The Middle. Plus la mise en œuvre du cryptage est forte, plus votre réseau sera sécurisé.
Si possible, évitez l’accès aux réseaux Wi-Fi publics, autrement, limitez au maximum l’accès aux services, notamment ceux impliquant des paiements en ligne ou l’échange de données sensibles.
Vérifiez les certificats SSL/TLS
Lorsque vous visitez des sites Web, vérifiez que les certificats SSL/TLS sont valides.
Pour vérifier un certificat SSL sur n’importe quel site Web, il vous suffit de suivre deux étapes simples : Tout d’abord, vérifiez si l’URL du site Web commence par HTTPS, où S indique qu’il possède un certificat SSL. Deuxièmement, cliquez sur l’icône du cadenas dans la barre d’adresse pour vérifier toutes les informations détaillées relatives au certificat.
Utilisez des outils de sécurité
Bien que basique, cette pratique permet de détecter et neutraliser la plupart des menaces réseau, en particulier lorsque l’attaque Man in the Middle est mise en scène à l’aide de logiciels malveillants. De même, les antivirus, ainsi que les pare-feu peuvent interagir avec les navigateurs en détectant facilement les situations de faux domaine et de redirection vers de faux sites.
De nombreux antivirus incluent également des outils anti-hameçonnage, qui peuvent vous aider à identifier et à reconnaître les sites clones ou suspects. Cela dit, même s’il échoue, un bon antivirus comme Norton 360 empêchera au moins votre ordinateur d’être infecté par des logiciels malveillants, même si vous vous retrouvez sur les mauvais sites.
Soyez vigilant avec les e-mails et les liens
Ne cliquez pas sur les liens contenus dans les e-mails d’expéditeurs inconnus qui pourraient vous conduire à un site malveillant. Même si les liens de messagerie provenant d’expéditeurs inconnus semblent légitimes, observez attentivement avant d’utiliser ces liens. Cela peut vous amener à devenir victime de phishing.
Mettez à jour vos logiciels
Une politique de mise à jour logicielle vous aide à sceller les points d’accès potentiels pour une attaque HDM, car les systèmes à jour incluent tous les correctifs de sécurité actuels pour les problèmes connus. Il en va de même pour tous les routeurs ou appareils IoT connectés à votre réseau.
Changez régulièrement vos mots de passe
Mettez fréquemment à jour les mots de passe pour accéder aux services et essayez d’utiliser des identifiants différents pour chaque compte, de sorte que même si le pirate parvient à s’en procurer, son champ d’action serait au moins dans un premier temps plutôt limité.
