L'ABC de la Cybersécurité : M comme Man-in-the-Middle

Une attaque man-in-the-middle (MitM ou attaque de l'homme du milieu) est une procédure qui permet à un attaquant de s'interposer entre vous et l'ordinateur à distance avec lequel vous communiquez, pour lire la conversation ou la modifier. La procédure était très fréquente avant le passage massif au HTTP-Secure, bien qu'un peu plus compliquée à effectuer, il est très commun de la retrouver encore aujourd'hui.

Après avoir ciblé des PC pendant des années, les omniprésentes attaques man-in-the-middle ont été redirigées vers les mobiles. Ignorant tout des risques de ces attaques, les particuliers connectent leurs téléphones à des réseaux publics pour rester en ligne, surtout en vacances.

La plus grande menace provient du faible taux de détection. Les utilisateurs ne peuvent pas toujours savoir si le réseau sur lequel ils se trouvent est légitime ou si certaines personnes interceptent les informations, que ce soit à l'aéroport, l'hôtel ou bien le café en bas de la rue. Notre dépendance à internet nous a également incités à avoir le même appareil pour une utilisation professionnelle et personnelle, s'exposant automatiquement aux risques. Les employés sont la principale menace pour les entreprises. Une fois connectés à un réseau non fiable, des données d'entreprise, les informations d'identification ou d’e-mail pourraient être divulguées.

Comment les attaques Man-in-The-Middle fonctionnent-elles ?

Lorsque deux parties commencent une conversation, elles établissent généralement une connexion et un échange, c’est ce que l'on appelle des clés publiques – clés utilisées pour chiffrer les conversations avant qu'elles ne soient envoyées à travers les câbles.

Imaginons Jeanne et Louis en train de chatter sur le web. Quand Jeanne s’adresse à Louis, elle envoie sa clé publique. Louis va chiffrer tous les messages de Jeanne avec cette clé. Louis, à son tour, envoie à Jeanne sa propre clé publique. Quand Jeanne reçoit le message chiffré de Louis, elle le déchiffre avec sa clé et peut le lire.

Imaginez maintenant une troisième personne entre Jeanne et Louis. Il s'appelle Pierre. Pierre intercepte la clé publique de Jeanne alors qu'elle est envoyée à Louis et la remplace par sa propre clé publique. Il intercepte aussi la clé publique de Louis et la substitue par la sienne au moment de l’envoi vers Jeanne. Maintenant, Jeanne et Louis chiffrent l'information avec la clé publique de Pierre et ce dernier peut les déchiffrer avec sa propre clé privée. Après le déchiffrement, il lit les messages, peut même les modifier, puis les chiffrer à nouveau avec la clé publique de Jeanne préalablement interceptée. Il interroge toutes les communications de Louis et de Jeanne et aucun des deux ne sait qu'il est écouté.

Frauduleux ou non protégés, les réseaux Wi-Fi ne sont pas le seul point d'entrée qu'un pirate peut utiliser pour lancer une attaque man-in-the-middle. Chaque fois que vous allez en ligne et utilisez un service de proxy pour rendre anonyme votre adresse IP ou pour contourner les restrictions sur votre lieu de travail, n'oubliez pas que le serveur proxy agit normalement comme man-in-the-middle.

Les pages que vous visitez et autres activités en ligne comme les transferts de fichiers, les transactions financières ou les courriels peuvent être capturés par des cybercriminels via un serveur proxy hostile. Exposant toutes vos informations à des tiers.

Les serveurs d’un service VPN sécurisé de confiance doivent protéger votre infrastructure en gardant votre connexion chiffrée. Des serveurs VPN compromis peuvent permettre à des tiers de voler vos données, pire encore, ils peuvent rediriger votre trafic et utiliser votre connexion Internet à des fins illégales. En l'absence d'une connexion sécurisée, il se pourrait qu’il soit trop tard le moment où vous constaterez que vous avez installé un programme malveillant ou avez visité un site Web compromis.

Comment identifier un man-in-the-middle ?

Si vous êtes peu à l'aise avec l’informatique, vous n’avez pas beaucoup de marge de manœuvre. Les attaques de type man-in-the-middle sont très difficiles à détecter, il vaut donc mieux prévenir que guérir.

Si vous êtes en vacances et que votre téléphone se connecte automatiquement à un réseau, vous pourriez être victime d'une attaque MitM. Si on vous demande d'installer une application VPN ou d'accepter un certificat numérique, vous êtes en pole position pour une attaque man-in-the-middle.

La façon la plus simple d'identifier les attaques man-in-the-middle consiste à vérifier si le certificat SSL est émis pour l'entité que vous visitez. Idéalement, il devrait avoir été délivré par une autorité de certification légitime et digne de confiance. Si votre navigateur s'oppose à la validité ou à la légitimité d'un certificat, fermez-le immédiatement et demandez de l'aide avant de saisir des informations d'identification. La vérification du certificat SSL peut se faire en regardant dans le coin supérieur gauche de votre navigateur pour vous assurer qu'il indique "https" en vert. Cela signifie que votre connexion est chiffrée et que vos données sont masquées.

Tous les man-in-the-middle ne sont pas mauvais

Un man-in-the-middle n’a pas que des mauvais côtés. Cette technique peut être utilisée pour votre sécurité.

De plus en plus de sites et de logiciels malveillants se tournent vers des protocoles sécurisés (https) pour exfiltrer des données et s'assurer que votre solution antivirus ne puisse pas intercepter le trafic illicite, c’est pour cette raison que certaines solutions de sécurité utilisent des proxys SSL (modules qui déchiffrent le trafic SSL / TLS), inspectent les logiciels malveillants, puis les chiffrent à nouveau avant de le faire parvenir au destinataire. Certaines solutions de contrôle parental utilisent aussi cette technique pour s'assurer que les conversations chiffrées de votre enfant ne comportent aucun contenu qui devrait vous inquiéter.

Comment vous protéger contre les man-in-the-middle ?

Parce qu'aucun moyen ne permet de détecter correctement ces attaques, il est préférable de jouer en toute sécurité dès le début :

• Assurez-vous que les connexions sont en https et non http
• Vérifiez que le certificat SSL n'est pas expiré et est émis par un fournisseur fiable
• Évitez les VPN gratuits ou inconnus. Utilisez Bitdefender Premium VPN pour sécuriser votre trafic avec un chiffrement de niveau militaire, rendant impossible tout accès indésirable
• Changez régulièrement vos mots de passe et ne les réutilisez pas
• Protégez tous vos appareils connectés sous Windows, Mac OS, Android et iOS avec Bitdefender Total Security, la meilleure protection antimalware récompensée par les instituts de test indépendants du monde entier
• Évitez de vous connecter aux réseaux publics suspects, méfiez-vous même lorsqu’il s'agit du Wi-Fi officiel de votre hôtel préféré, et n'installez ni ne téléchargez quoi que ce soit si vous êtes connecté à ces réseaux WI-Fi
• Si vous n’avez d’autre choix que de vous connecter à un réseau dont vous n’êtes pas certain, évitez de faire des paiements et de vous connecter à vos comptes de réseaux sociaux ou à votre boite mail

Octobre est le mois de la sensibilisation aux bonnes pratiques de sécurité en ligne. Retrouvez ici nos 12 articles de l'ABC de la cybersécurité, plus 5 articles bonus sur les menaces mobiles Android.