Une attaque de type man-in-the-middle (MITM) est un type de cyberattaque dans le cadre de laquelle un cybercriminel espionne la conversation entre un utilisateur du réseau et une application web. L’objectif d’une attaque de type man-in-the-middle est de collecter subrepticement des informations, telles que des données personnelles, des mots de passe ou des coordonnées bancaires, et/ou d’usurper l’identité d’une partie afin d’obtenir des informations supplémentaires ou de susciter une action. Par exemple, modifier des identifiants de connexion, exécuter une transaction ou effectuer un transfert de fonds.
Global Threat Report 2022 De Crowdstrike
Téléchargez le Global Threat Report 2022 pour découvrir les tendances observées par nos équipes chez les cyberpirates en matière de techniques, tactiques et procédures.
TéléchargerSi les cyberattaquants qui ont recours aux attaques MITM ciblent souvent les particuliers, ils représentent également une source de préoccupation importante pour les entreprises de toutes tailles. Les applications SaaS (Software-as-a-Service), telles que les services de messagerie, les systèmes de stockage de fichiers ou les applications de télétravail, constituent un point d’accès courant pour les cyberpirates. En effet, ceux-ci peuvent utiliser ces applications en tant que porte d’entrée vers le réseau étendu de l’entreprise, et compromettre potentiellement un certain nombre de ressources, notamment les données des clients, les éléments de propriété intellectuelle (PI) ou des informations propriétaires ou sensibles concernant l’entreprise et ses collaborateurs.
Comment fonctionne une attaque de type man-in-the-middle ?
Une attaque MITM comprend généralement deux phases : l’interception et le déchiffrement.
Phase 1 : interception
Lors de la phase d’interception, les cybercriminels accèdent à un réseau par le biais d’un routeur Wi-Fi ouvert ou mal sécurisé et/ou en manipulant les serveurs DNS (Domain Name System). Ils analysent ensuite le routeur pour identifier les vulnérabilités et les points d’entrée potentiels. La plupart du temps, ils profitent d’un mot de passe faible, mais ils peuvent également utiliser des méthodes plus avancées telles que l’usurpation d’adresses IP ou l’empoisonnement du cache.
Une fois la cible identifiée, le cyberattaquant déploie généralement des outils de capture de données pour accéder aux données transmises par la victime et les collecter, rediriger le trafic de façon stratégique ou manipuler de toute autre façon l’expérience web de l’utilisateur.
Phase 2 : déchiffrement
La seconde phase d’une attaque MITM est le déchiffrement. C’est au cours de cette phase que les données volées sont déchiffrées et rendues lisibles pour les cybercriminels. Les données déchiffrées peuvent ensuite être exploitées à de nombreuses fins malveillantes, notamment l’usurpation d’identité, des achats non autorisés ou des activités bancaires frauduleuses. Dans certains cas, les attaques MITM sont menées dans le seul but manifeste de perturber les opérations commerciales et de semer le chaos chez les victimes.
Techniques MITM
Les cybercriminels ont recours à toute une série de techniques pour mener les attaques MITM, notamment :
- Imitation d’un protocole Internet établi pour inciter les utilisateurs à fournir des informations personnelles ou à effectuer une action, comme un virement bancaire ou un changement de mot de passe
- Redirection d’un utilisateur d’une destination connue vers un faux site web pour détourner le trafic et/ou recueillir des identifiants de connexion et d’autres informations personnelles
- Simulation d’un point d’accès Wi-Fi pour intercepter les activités web et recueillir des informations personnelles
- Création de certificats SSL (Secure Sockets Layer) illégitimes, qui donnent aux utilisateurs l’impression que la connexion est sécurisée alors qu’elle a été compromise
- Redirection du trafic vers un site web non sécurisé, qui recueille ensuite des identifiants de connexion et des informations personnelles
- Espionnage des activités sur le Web, notamment les e-mails, pour recueillir des informations personnelles et informer d’autres activités frauduleuses, telles que les tentatives de phishing
- Vol de cookies de navigateur contenant des donnée personnelles
Exemple d’attaque de type man-in-the-middle
Une cyberattaque de type MITM identifiée récemment par CrowdStrike était un module Trickbot appelé shaDll. Le module a installé des certificats SSL illégitimes sur les ordinateurs infectés, ce qui a permis à l’outil d’accéder au réseau de l’utilisateur. Il a ensuite pu rediriger les activités web, injecter du code, prendre des captures d’écran et collecter des données.
Ce qui était particulièrement intéressant dans cette attaque, c’est qu’il s’agissait apparemment d’une collaboration entre deux groupes cybercriminels connus : LUNAR SPIDER et WIZARD SPIDER. Le module utilisait le module de proxy BokBot de LUNAR SPIDER comme base et déployait ensuite le module TrickBot de WIZARD SPIDER pour conclure l’attaque. La collaboration probable entre ces deux cyberadversaires témoigne de la sophistication croissante des attaques MITM et souligne la nécessité d’une sensibilisation accrue.
Prévention des attaques de type man-in-the-middle
Détecter les attaques de type man-in-the-middle s’avère de plus en plus difficile à mesure que celles-ci gagnent en sophistication. À bien des égards, les techniques de prévention offrent la meilleure protection contre ce type d’attaque. Toutefois, les entreprises peuvent également souhaiter renforcer leur sécurité grâce à des fonctionnalités de surveillance et de détection. CrowdStrike adresse aux entreprises les recommandations suivantes pour les aider à mieux protéger leurs réseaux contre les attaques MITM :
- Exigez des utilisateurs du réseau qu’ils choisissent des mots de passe forts et les modifient régulièrement.
- Activez l’authentification à plusieurs facteurs sur toutes les ressources et applications du réseau.
- Développez et déployez des protocoles de chiffrement robustes.
- Dotez toutes les ressources du réseau de fonctionnalités de réseau privé virtuel (VPN).
- Déployez une solution complète de surveillance et de détection des menaces.
- Segmentez le réseau afin d’assurer le confinement des compromissions potentielles.
- Sensibilisez vos collaborateurs aux risques que présentent les réseaux Wi-Fi ouverts.
S’il n’est pas forcément pratique pour les particuliers d’installer des fonctionnalités de détection des attaques de type man-in-the-middle, le respect des techniques générales de cybersécurité peut contribuer à prévenir les intrusions. Nous recommandons aux particuliers de mettre en œuvre les bonnes pratiques suivantes :
- Installez un logiciel de détection des logiciels malveillants.
- Créez des mots de passe forts et modifiez-les régulièrement.
- Activez les fonctionnalités d’authentification à plusieurs facteurs.
- Évitez d’utiliser des réseaux Wi-Fi ouverts et/ou des réseaux publics mal sécurisés.
- Veillez à toujours naviguer sur des sites web sécurisés, affichant https:// dans l’URL.