Il est notoirement difficile de détecter une attaque de type man-in-the-middle. Ces attaques s’accompagnent toutefois de certains signes subtils, par exemple atterrir sur un site Web manifestement faux, ou voir votre connexion internet devenir mystérieusement peu fiable. De plus, les attaques de type man-in-the-middle se produisent souvent sur des réseaux publics ouverts et non chiffrés. Il est donc très important d’être conscient de votre environnement en ligne à tout moment.
Lisez la suite pour découvrir ce qu’est une attaque de type man-in-the-middle, comment elles fonctionnent, quels signes surveiller et comment vous en protéger.
Qu’est-ce qu’une attaque de type Man-in-the-Middle ?
Les attaques de type Man-in-the-middle (MITM) sont un type de cyberattaque dans lequel un cybercriminel intercepte les données transférées entre deux appareils, souvent un ordinateur ou un appareil mobile exécutant un navigateur Web et un serveur hôte. Les cybercriminels utilisent fréquemment les attaques MITM pour voler les identifiants de connexion et les informations bancaires ou relatives aux cartes de paiement. Les cybercriminels peuvent également tenter de modifier les données échangées pour installer des logiciels malveillants et compromettre votre appareil.
Les attaques MITM tirent parti des vulnérabilités des réseaux dont la sécurité est faible, en particulier les réseaux Wi-Fi publics gratuits. L’utilisateur final, sur son appareil mobile ou son ordinateur, peut avoir l’impression que tout est normal alors même qu’une attaque MITM est en cours.
L’expression « attaque de type man-in-the-middle » est un terme générique utilisé pour décrire plusieurs types de cyberattaques impliquant l’interception de données. L’un des types d’attaques MITM les plus fréquents, connue sous le nom d’attaque « evil twin » (jumeau maléfique), cible les utilisateurs de réseaux Wi-Fi publics gratuits, notamment ceux que l’on trouve dans les hôtels, les restaurants, les aéroports, les magasins et d’autres lieux publics. Ces réseaux sont souvent non chiffrés et ne requièrent aucun mot de passe, ou seulement un mot de passe faible.
Dans ce type d’attaque MITM, l’auteur de la menace met en place un faux réseau Wi-Fi « sosie » dont le nom est très similaire au vrai. Par exemple, si le réseau réel s’appelle YourHotel, le réseau fictif peut s’appeler YourHote1. Le cybercriminel contrôle ce réseau, donc il peut écouter toute personne qui s’y connecte et voir son activité sur le Web et les applications. Cela inclut non seulement les sites qu’elle visite, mais aussi les identifiants de connexion qu’elle utilise pour se connecter à ses comptes. Dans certains cas, l’auteur de la menace peut modifier les données transmises et/ou rediriger les utilisateurs vers des sites malveillants qui recueillent les identifiants de connexion ou diffusent des logiciels malveillants.
Autres attaques de type man-in-the-Middle
Nous avons examiné les faux points d’accès Wi-Fi. Penchons-nous maintenant sur d’autres attaques courantes de type man-in-the-middle.
Usurpation du protocole HTTPS
Le protocole HTTPS (Hypertext Transfer Protocol Secure) garantit que toutes les données envoyées entre un navigateur et un site Web sont chiffrées. Cependant, ce n’est pas parce que le protocole HTTPS est activé sur un site Web que le site lui-même est légitime.
L’usurpation du protocole HTTPS est une technique MITM selon laquelle un cybercriminel enregistre un domaine très similaire à un domaine légitime populaire. Par exemple, au lieu de www.example.com, l’auteur de la menace enregistrera www.examp1e.com, puis créera un site Web malveillant et le sécurisera avec HTTPS. Les utilisateurs qui visitent par inadvertance le faux site peuvent ne pas remarquer que l’URL est décalée d’un caractère, d’autant plus que leur navigateur affiche un cadenas vert indiquant que le site utilise le protocole HTTPS.
Usurpation d’adresse IP
Une adresse IP (Internet Protocol) est l’identifiant unique d’un appareil ou d’un réseau local. L’usurpation d’adresse IP crée de fausses adresses IP pour cacher l’identité du cybercriminel, se faire passer pour une adresse légitime ou les deux. L’usurpation d’adresse IP fait souvent croire aux utilisateurs qu’ils communiquent avec une source légitime afin qu’ils se sentent à l’aise pour partager des informations sensibles avec l’adresse IP usurpée. En outre, l’usurpation d’adresse IP est utilisée dans les attaques DDoS afin que le système attaqué ne sache pas d’où vient réellement le trafic, et que l’attaque soit difficile à stopper.
Usurpation de DNS
Le DNS (Domain Name System) est le répertoire en ligne d’adresses IP numériques qui relie l’appareil d’un utilisateur à un site Web. L’usurpation de DNS, souvent utilisée dans le cadre du pharming, modifie les enregistrements DNS et redirige les utilisateurs vers des sites Web frauduleux qui volent les identifiants de connexion, téléchargent automatiquement des logiciels malveillants sur l’ordinateur du visiteur, ou les deux.
Manipulation SSL
Le SSL (Secure Sockets Layer) est un protocole de sécurité qui fournit une liaison chiffrée entre un site Web et un utilisateur. La manipulation SSL, ou piratage de SSL, est un type d’attaque MITM dans laquelle un auteur de menace génère de faux certificats SSL pour les domaines des sites HTTPS. Lorsqu’un utilisateur tente de visiter le site, il est redirigé vers un site malveillant qui ressemble au vrai.
Piratage de session
Le piratage de session, ou piratage de cookie, est un type d’attaque MITM qui se produit lorsqu’un cybercriminel prend le contrôle de votre session Internet en volant les cookies de votre navigateur. Les cookies sont des éléments d’information que les sites Web utilisent pour garder une trace de leurs visiteurs, dont l’authentification des sessions de connexion des utilisateurs vers des sites Web sécurisés, tels que les sites bancaires, d’achat, de jeux ou d’abonnement. Une fois en possession du cookie de session, le cybercriminel peut l’utiliser pour se faire passer pour l’utilisateur original et se connecter à son compte.
Signes d’attaques de type man-in-the-Middle
Les attaques de type man-in-the-middle peuvent être très difficiles à détecter, car elles sont conçues pour se produire en arrière-plan, à votre insu. Cependant, il existe des signes subtils auxquels il faut prêter attention.
Erreurs de certificat SSL
Si votre navigateur affiche un message d’erreur concernant un certificat SSL non valide ou expiré lorsque vous essayez de visiter un site Web, c’est le signe d’une possible manipulation du protocole SSL. Le certificat SSL peut avoir été fabriqué pour vous rediriger vers un site Web malveillant ayant l’apparence d’un site légitime. Le faux site Web vous demandera vos identifiants de connexion et votre MFA, que le cybercriminel utilisera ensuite pour se connecter au site Web légitime.
Connexion internet peu fiable
Les temps de latence inexpliqués et les déconnexions fréquentes sont les symptômes de nombreux problèmes différents, notamment une mauvaise configuration du réseau ou un problème de la part de votre fournisseur d’accès internet. Elles peuvent cependant également indiquer une attaque MITM, en particulier si vous avez exclu toutes les autres causes possibles.
Faux site Web
Les cybercriminels veillent à ce que les faux sites Web utilisés dans les attaques MITM aient l’air légitimes, mais il y a souvent des différences subtiles au niveau de la police, de la couleur ou des logos. Si quelque chose ne vous semble pas normal, vérifiez attentivement l’URL du site Web pour vous assurer qu’elle est correcte. Par exemple, vous pouvez voir http:// au lieu de https:// ou go0gle.com au lieu de google.com. Soyez également attentif à toute autre anomalie sur le site Web, comme des fenêtres publicitaires aléatoires ou des demandes suspectes.
Les attaques de type man-in-the-middle sont très difficiles à détecter, donc la meilleure protection est d’empêcher qu’elles ne se produisent. Voici les meilleurs moyens de vous protéger contre les attaques MITM.
Évitez le Wi-Fi public
Les attaques MITM ciblent souvent les utilisateurs de points d’accès Wi-Fi publics. La meilleure façon d’éviter les attaques MITM est donc de ne pas utiliser de Wi-Fi public non sécurisé. Si vous avez besoin d’une connexion internet pendant vos déplacements, connectez-vous à la connexion de données de votre téléphone portable ou utilisez un VPN. En outre, assurez-vous que votre PC portable et vos appareils mobiles sont configurés pour ne pas se connecter automatiquement au Wi-Fi public.
Utilisez un VPN
Un réseau privé virtuel (VPN) est un service qui protège votre activité en ligne en cachant votre adresse IP et en chiffrant vos données. Si vous devez utiliser le Wi-Fi public, utilisez un VPN pour créer une connexion sécurisée et chiffrer les données transmises. Un VPN empêche les cybercriminels de vous écouter et vous permet d’utiliser les points d’accès Wi-Fi publics en toute sécurité.
Utilisez un gestionnaire de mots de passe
Un gestionnaire de mots de passe est un outil qui stocke de manière sécurisée tous vos identifiants de connexion et vos informations sensibles dans un coffre-fort chiffré. Assurez-vous que votre gestionnaire de mots de passe utilise le chiffrement Zero-Knowledge pour protéger tout ce que vous stockez dans votre coffre-fort, afin que personne d’autre que vous n’y ait accès.
Un gestionnaire de mots de passe vous protège notamment contre les attaques MITM en empêchant le remplissage automatique de vos identifiants sur un faux site Web. Vous ne pouvez peut-être pas faire la différence entre exemple.com et examp1e.com (surtout sur un appareil mobile), mais votre gestionnaire de mots de passe le peut. Un gestionnaire de mots de passe vous avertira si vous êtes sur un site Web non sécurisé et que vous essayez de remplir manuellement vos identifiants de connexion.
Activez la MFA
L’authentification multifacteur (MFA) ajoute une couche de sécurité supplémentaire en vous demandant de fournir une forme d’identification supplémentaire pour pouvoir accéder à un compte en ligne. Par exemple, vous devez fournir un code à usage unique ou insérer une clé de sécurité en plus de votre nom d’utilisateur et de votre mot de passe. Une fois la MFA activée, même si vos identifiants de connexion sont compromis lors d’une attaque MITM, les cybercriminels ne pourront plus s’en servir sans le facteur d’authentification supplémentaire.
Les cybercriminels développent sans cesse de nouvelles méthodes pour voler vos informations personnelles. Formez-vous aux cybermenaces pour les reconnaître et les éviter à l’avenir. Appliquez également les bonnes pratiques en matière de cybersécurité, notamment en utilisant des mots de passe forts et en ne partageant des informations sensibles que si c’est absolument nécessaire.
Évitez les attaques de type Man-in-the-Middle avec Keeper
Les attaques de type man-in-the-middle représentent une menace sérieuse, car elles peuvent se produire à votre insu, surtout lorsque vous voyagez. Ces attaques se produisent souvent sur des réseaux Wi-Fi publics et des sites Web suspects. La meilleure façon de faire face à ces types d’attaques est de vous en protéger. Keeper Password Manager offre un chiffrement Zero-Knowledge pour sécuriser et partager vos informations sensibles en toute sécurité. Commencez votre essai gratuit et protégez-vous des attaques MITM.