Vous avez sans doute entendu parler de l’attaque du type « Man-in-the-Middle » (MiTM).
Nous définissons ici cette méthode d’attaque et nous vous expliquerons comment se produit une attaque MiTM.
Ensuite, nous vous montrons comment empêcher une telle attaque et comment mieux sécuriser vos appareils et vos réseaux informatiques.
Qu’est-ce qu’une attaque du type « Man-in-the-Middle » ?
Les attaques MiTM sont souvent citées comme une menace, mais en quoi consistent-elles exactement ?
Comme leur nom l’indique, il s’agit d’un scénario dans lequel une personne s’insère entre deux systèmes de communication dans le but d’intercepter les conversations ou les données envoyées entre les deux.
Il s’agit de l’équivalent informatique de l’écoute d’un appel téléphonique où aucune des parties n’est consciente que sa conversation n’est pas privée et confidentielle.
Dans le cas d’un appel téléphonique, l’écoute permettrait à un pirate de recueillir une foule d’informations sensibles, lesquelles sont divulguées verbalement entre les deux parties. Dans ce scénario, le pirate n’influence pas la conversation. Il doit attendre qu’une précieuse pépite d’informations soit divulguée par l’une ou l’autre des parties.
Une attaque MiTM vise à intercepter les données transférées entre deux parties. Il peut s’agir de données envoyées via une application pour Smartphone vers un serveur, via une application de messagerie instantanée telle que WhatsApp, ou par le biais d’un email entre les deux parties. Il peut également s’agir d’une communication entre le navigateur d’un utilisateur et un site web.
Contrairement au scénario de l’appel téléphonique, qui est passif, dans une attaque MiTM, l’attaquant peut influencer ce qui est dit. Lors d’une attaque MiTM, les deux personnes ou systèmes qui croient échanger des données ou informations sensibles ne communiquent pas vraiment entre eux.
En réalité, chacun d’eux communique avec l’attaquant.
Prenons l’exemple de la messagerie électronique. Si une personne A entamé une conversation par email avec une personne B et demande un virement bancaire pour payer un quelconque service rendu. La personne A peut fournir les coordonnées bancaires, et la personne B accepte le virement. Divers détails sont discutés et le virement est finalement effectué.
Il peut y avoir 10 messages ou plus envoyés par chaque partie lors de la conversation. Pourtant, chaque email échangé entre les deux parties peut être modifié par l’attaquant, notamment les coordonnées bancaires pour le virement. Aucune des deux personnes n’a communiqué avec l’autre, mais les deux parties pourraient être dupées et convaincues qu’elles le font vraiment.
Quelques types d’attaques MiTM
L’objectif d’une attaque MiTM est d’intercepter des informations sensibles, généralement dans un but de réaliser un gain financier. Mais les pirates peuvent utiliser différentes manières pour y escroquer ses victimes. En règle générale, une attaque MiTM peut se faire de quatre manières principales :
- Le reniflage de paquets (packet sniffing)
- L’injection de paquets
- Le détournement de session
- La redirection des utilisateurs des sites malveillants.
Le reniflage de paquets est l’une des méthodes d’attaque MiTM les plus courantes et constitue une forme d’écoute ou de mise sur écoute, sauf que ce ne sont pas des conversations téléphoniques que les pirates essayent d’obtenir. Il s’agit de paquets de données envoyés entre les deux systèmes.
Le reniflage de paquets est beaucoup plus facile lorsque les données sensibles ne sont pas chiffrées, par exemple lorsque des informations sont divulguées entre un navigateur et un site web HTTP, plutôt que HTTPS où la connexion est chiffrée.
Les attaques par reniflage et leurs types
Le reniflage est le processus de surveillance et de capture de tous les paquets de données qui passent par un réseau informatique par le biais des renifleurs de paquets. Les administrateurs réseau utilisent les renifleurs de paquets pour suivre le trafic de données qui passent par leur réseau. Dans ce cas, ils sont appelés analyseurs de protocole réseau. De la même manière, les pirates informatiques utilisent ces outils pour capturer des paquets de données dans un réseau à des fins malveillantes.
Les pirates utilisent ensuite les paquets de données capturés sur un réseau pour extraire et voler des données sensibles comme des noms d’utilisateur, des mots de passe, des informations sur les cartes de crédit, etc. Les cybercriminels installent ces renifleurs dans votre système sous forme de matériel ou de logiciels. En réalité, il existe différents types d’outils de reniflage qui peuvent être utilisés, notamment BetterCAP, Ettercap, Tcpdump, WinDump, Wireshark, etc.
Quelle est la différence entre reniflage de paquets et usurpation d’identité ?
En reniflant les paquets, le pirate « écoute » le trafic de données de votre réseau et capturent les paquets de données à l’aide de renifleurs de paquets. Lors d’une usurpation d’identité, il tente de voler les informations d’identification d’un utilisateur dans le but de les utiliser dans un système en tant qu’utilisateur légitime.
Les différents types de reniflage
Le reniflage peut être classé en deux principales catégories : le reniflage actif et le reniflage passif.
En ce qui concerne le reniflage actif, il est effectué sur un réseau commuté, c’est-à-dire qu’il y a un appareil (commutateur) qui relie deux appareils de réseau entre eux. Le commutateur utilise l’adresse MAC ou « Media Access Control » pour transmettre des données à leurs ports de destination. Pour permettre le reniflage et en tirent profit, les pirates informatiques injectent du trafic dans le réseau local.
Quant au reniflage passif, le principe consiste à utiliser des commutateurs qui fonctionnent de la même manière que les commutateurs actifs, mais ils utilisent l’adresse MAC pour lire les ports de destination des données. L’attaquant se contente donc de se connecter simplement au réseau local pour pouvoir renifler le trafic de données dans votre réseau.
Le reniflage peut causer beaucoup de préjudices à l’utilisateur ou à un système de réseau, car le pirate peut renifler divers types d’informations (trafic de courrier électronique, trafic web, mots de passe FTP, sessions de chat, mots de passe Telnet, configuration du routeur, trafic DNS, etc.).
L’injection de paquets
Comme toute entreprise ou toute autre organisation, la collecte et l’analyse de données sont essentielles. Ceci nécessite l’utilisation des ressources internes. Pour contrôler ces ressources à distance, on peut installer un logiciel directement sur un ordinateur, utiliser un téléphone ou d’autres types d’appareils. Ce sont les moyens privilégiés par les pirates de surveiller les informations, mais ce ne sont pas les seuls.
L’injection de paquets sans fil peut également être utilisée pour accéder et surveiller le trafic sur votre réseau, voire exécuter des attaques par déni de service (DDoS). Cependant, de nombreux pirates préfèrent utiliser des outils et des logiciels d’injection de paquets comme Aircrack-ng pour les tests de pénétration des réseaux WiFi.
Il est important de comprendre l’injection de paquets, car les pirates peuvent l’utiliser pour voler les informations que vous envoyez sur les réseaux publics. Ils peuvent également s’en servir pour accéder à votre réseau personnel ou pour installer un botnet sur vos appareils IoT.
Le détournement de session
Le terme « détournement de session » est une pratique lors de laquelle un pirate parvient à prendre le contrôle d’une partie d’une session — souvent une conversation via un réseau — et à agir comme l’un des participants. Le détournement de session est généralement une extension du reniflage, sauf que le reniflage est passif et que le détournement de session requiert une participation active.
Le principe du détournement est d’exploiter les faiblesses des réseaux et de protocoles non chiffrés. Le reniflage exploite également les mêmes faiblesses. Mais en plus de surveiller les informations, les pirates peuvent également utiliser le détournement pour injecter un paquet ou une trame qui prétend être l’un des hôtes de communication.
Dans la plupart des cas, lorsqu’un employé se connecte à une application web, son serveur place un cookie de session temporaire dans son navigateur afin de se souvenir qu’il est actuellement connecté et authentifié. Pour effectuer un détournement de session, le pirate doit donc connaître son identifiant de session. Pour ce faire, il peut voler le cookie de session ou persuader l’employé de cliquer sur un lien malveillant contenant un identifiant de session usurpé. Dans les deux cas, une fois que l’employé s’est authentifié sur le serveur de l’entreprise, le pirate peut prendre le contrôle (c’est-à-dire détourner) la session en utilisant le même identifiant de session pour sa propre session de navigateur. Le serveur pourrait alors traiter la connexion du pirate comme la session valide de l’employé.
Qu’est-ce qu’un pirate informatique peut faire après un détournement de session réussi ?
En cas de succès, le cybercriminel peut effectuer toutes les actions que l’employé est autorisé à faire pendant une session active. À titre d’exemple, il peut transférer de l’argent de son compte bancaire ; se faire passer pour l’employé pour accéder à des informations sensibles et détaillées en usurpant son identité ; voler les données personnelles des clients ou chiffrer des données précieuses de son entreprise, exiger une rançon pour déchiffrer des fichiers corrompus, etc.
Pour les grandes organisations, ce type d’attaque peut représenter un énorme danger. En fait, les cookies peuvent être utilisés pour identifier des utilisateurs authentifiés dans les systèmes de signature unique ou SSO (Single Sign-On). Autrement dit, si le pirate réussit à détourner une session, il aura accès à de multiples applications web, des dossiers clients, des systèmes financiers et aux systèmes de ligne d’affaires qui peuvent contenir une propriété intellectuelle précieuse.
La redirection
Il s’agit également d’une forme de menace MiTM. La redirection consiste à amener les utilisateurs vers des sites malveillants. Pour ce cas précis, même si l’employé utilise une session HTTPS — qui est censé être sécurisée – celle-ci peut être chiffrée, déchiffrée puis transformée en HTTP par les pirates pour qu’ils puissent obtenir les données sensibles de leurs victimes à leur insu.
En réalité, lorsque la victime souhaite consulter site web, il doit suivre un lien, mais il sera redirigé vers un site complètement différent. Il peut s’agir d’une publicité malveillante, d’un téléchargeur de malwares ou d’une fausse version du site légitime. Cette technique est l’un des moyens les plus courants de détourner le trafic web.
Notons toutefois que la redirection n’affecte pas toujours tous les utilisateurs. Pourtant, quelle que soit la façon dont elle fonctionne, elle peut poser de sérieux problèmes au propriétaire du site ainsi qu’aux internautes. Au cas où des redirections malveillantes s’infiltreraient sur votre site web d’entreprise, il est important de vous en débarrasser. Vous devez aussi trouver et corriger les vulnérabilités qui sont à l’origine de l’incident et améliorer la protection de votre site web.
Quelles sont les conséquences des redirections malveillantes ?
Deux types de scénarios peuvent se produire lorsque les navigateurs sont incorrectement redirigés. D’une part, le visiteur ne pourra pas retrouver le contenu qu’il cherchait. Il atterrit probablement sur une page publicitaire pour des offres de pornographie d’un site de téléchargement de malwares ou d’escroquerie. D’autre part, le site redirigé peut sembler appartenir au site légitime. Il sera donc difficile pour le visiteur de dire lequel est le pire.
Concrètement, les visiteurs peuvent être dupés et perdre de l’argent ou subir des attaques de malwares. Ils vont reconnaître ce qui s’est passé et fermer la page. Ils ne feront plus confiance même au site légitime qu’ils essayaient de visiter, et beaucoup d’entre eux ne vont plus consulter à nouveau le site web de votre entreprise. Ceci résultera en une perte de réputation de votre organisation et d’opportunités commerciales. De plus, les moteurs de recherche pourront rétrograder le classement de votre site ou l’excluront complètement.
Pour une protection solide de votre site web, utiliser des solutions qui permettent de détecter les malwares et les supprimer, tout en fournissant un pare-feu pour vos applications web. Ainsi, vos employés ne verront que les pages web qu’ils devraient voir et auront une expérience sûre pendant leur navigation sur Internet.
Exemple d’attaque de l’homme du milieu
Lors ‘une récente attaque MiTM, CrowdStrike avait identifié un module Trickbot appelé shaDll. Ce module installait des certificats SSL illégitimes sur les ordinateurs infectés, permettant à l’outil d’accéder au réseau de l’utilisateur. Ceci a permis au module de rediriger l’activité web des utilisateurs, d’injecter du code malveillant, de prendre des captures d’écran et de collecter des données sensibles.
Ce qui rendait cette attaque tout particulièrement intéressante, c’est qu’il s’agissait d’une collaboration apparente entre deux groupes cybercriminels connus, à savoir WIZARD SPIDER et LUNAR SPIDER. Le module utilisait le module proxy BokBot de LUNAR SPIDER comme base puis déployait le module TrickBot de WIZARD SPIDER pour réussir l’attaque. Une telle collaboration entre ces deux adversaires démontre la sophistication croissante des attaques MITM.
Heureusement, les attaques MiTM peuvent être difficiles à réaliser : le potentiel d’une attaque peut donc être limité.
Néanmoins, il existe des pirates informatiques qualifiés qui peuvent mener ce genre d’attaque et accéder à des données sensibles et à des comptes bancaires des victimes.
L’un des exemples les plus courants est le scénario d’un café où un attaquant crée un double point d’accès malveillant appelé « Evil Twin ».
Evil-Twin, l’une des menaces WiFi les plus dangereuses
L’attaque Evil Twin est l’une des attaques MiTM très connues et les plus utilisées par les pirates informatiques. Étonnamment, ce type de menace existe depuis près de deux décennies. Récemment, le ministère américain de la justice a accusé des cybercriminels au sein de l’agence militaire russe d’avoir mis en œuvre des attaques Evil Twin dans le but de voler des identifiants et d’implanter des logiciels espions (malwares). Ces attaques visaient des organisations comme les agences antidopage, les laboratoires de tests chimiques et les centrales nucléaires.
Comment les attaques Evil-Twin fonctionnent-elles ? En fait, le processus se fait en quatre étapes :
1. Le pirate installe de faux points d’accès sans fil
Dans un premier temps, l’attaquant met en place de faux points d’accès sans fil. Mais, avant cela, il analyse et choisit des endroits où il y a beaucoup de points d’accès, tels que les aéroports, les arrêts de bus, les supermarchés ou les hôtels. Ensuite, il fait exactement la même chose que vous faites parfois pour partager une connexion avec vos amis. Vous utilisez par exemple votre téléphone comme un hotspot, et c’est ce que fait aussi le pirate informatique. Mais au lieu d’utiliser son propre SSID (Service Set Identifier), il utilise le même nom de la connexion légitime disponible à l’endroit où il se trouve.
2. Le pirate crée un faux portail captif qui semble légitime
Si vous avez déjà utilisé le WiFi public, vous avez certainement remarqué qu’il y a une page qui, en général, demande quelques informations de base sur vous. Cette page peut aussi vous inviter à entrer un identifiant et un mot de passe WiFi. C’est ce qu’on appelle le « portail captif ». Si le réseau WiFi est ouvert au public et n’a pas besoin d’un identifiant, le pirate passera outre. Par contre, si le réseau WiFi en a besoin, le pirate peut falsifier un portail captif qui lui permettra d’obtenir des informations de connexion et se connecter au réseau.
3. L’utilisateur se connecte au réseau Evil-Twin
Le pirate a maintenant réussi à mettre en place un double point d’accès WiFi et créé le faux portail captif. Il devra maintenant tromper les gens pour qu’ils se connectent au réseau malveillant. Ainsi, pour attirer les utilisateurs, ils peuvent, soit tenter de créer un signal WiFi plus puissant (en se positionnant plus près de leurs victimes), soit ils inondent le réseau légitime avec des paquets de désauthentification. De cette manière, les appareils connectés au réseau légitime seront déconnectés, ce qui ramènera les utilisateurs à leur page de connexion WiFi. Dès qu’ils voient un autre wifi du même nom (le SSID malveillant) et avec une connexion forte, ils s’y connectent.
4. Redirection
Enfin, lorsque les internautes saisissent leurs identifiants de connexion dans le faux portail captif, le cybercriminel peut désormais collecter différentes sortes d’informations, surveiller le trafic du réseau et tout ce que les internautes connectés au point d’accès malveillant font en ligne.
À noter que les réseaux Evil Twin ne sont pas limités aux WiFi publics. Ces attaques peuvent se produire dans d’autres endroits comme les bureaux, les dortoirs, les hôtels… bref, partout où les victimes peuvent être amenées par la ruse à se connecter à des faux points d’accès sans fil.
Dans une entreprise, un pirate informatique peut définir son SSID comme étant le même que le point d’accès au hotspot local ou au réseau sans fil légitime de l’organisation. Il perturbe ou désactive ensuite la connexion légitime en la déconnectant, puis en dirigeant un déni de service contre elle. Il peut aussi créer des interférences autour de cette connexion. Les employés vont donc perdre leur connexion au point d’accès légitime et se reconnectent au réseau Evil Twin, ce qui permet au pirate d’intercepter tout le trafic vers cet appareil.
Comment prévenir une attaque du type « Man-in-the-Middle » ?
- Ne divulguez jamais de données sensibles lorsque vous vous connectez à un réseau WiFi public non fiable. Ne vous connectez que via un VPN et, dans l’idéal, attendez d’être sur un réseau WiFi de confiance pour accéder à vos comptes bancaires en ligne.
- Assurez-vous que le site web est protégé par un certificat SSL comme HTTPS. Toutefois, n’oubliez pas que les pirates peuvent aussi utiliser des certificats SSL. Ceci signifie que, même si un site utilise HTTPS, cela ne veut pas dire qu’il est authentique.
- N’utilisez pas les hyperliens inclus dans les emails, visitez toujours le site web directement en tapant l’URL correcte dans votre navigateur ou en cherchant l’URL correcte via une recherche Google.
- N’installez pas de logiciels non autorisés, ni d’applications provenant de magasins d’applications tiers. Ne téléchargez pas et n’utilisez pas de logiciels que vous ne connaissez pas, car ils sont souvent piratés.
- Votre entreprise doit mettre en place une solution de filtrage DNS pour protéger vos employés et les empêcher de visiter des sites web malveillants.
- Assurez-vous que vos réseaux sont sécurisés et que des outils de sécurité appropriés sont installés.
- Désactivez les protocoles SSL/TLS non sécurisés sur votre site web – seuls les protocoles TLS 1.1 et TLS 1.2 doivent être activés – et mettez en place le module STEH qui fera office de contrôleur de domaine principal.
Conclusion
Obtenir un accès gratuit ou non à Internet est une chose à la fois amusante et enrichissante. Cela peut constituer un atout concurrentiel pour une organisation, mais il existe différentes menaces qui peuvent entraîner le vol d’identifiants et de données sensibles ou encore le téléchargement de malwares. Vous devez donc être plus vigilants avant d’utiliser un réseau WiFi notamment en ce qui concerne les attaques du type MiTM.
Malheureusement, la plupart des innovations en termes de connexion sans fil se sont limitées à des éléments comme la portée radio ainsi que la vitesse de connexion, au lieu de la sécurité. Sans une meilleure prise en compte de la sécurité du WiFi, de nombreux professionnels des réseaux et de la sécurité ne parviennent pas à se protéger efficacement contre les menaces en ligne. C’est pour cela qu’il faut des couches de protection supplémentaires contre les malwares et bien d’autres attaques en ligne lancées via le WiFi. Pour plus d’informations concernant la protection de votre organisation, contactez l’équipe de TitanHQ dès maintenant.