Man in the middle : définition et fonctionnement

Man in the middle : définition et fonctionnement

Hossam M.
Calendar picto
21/9/2022
Clock picto
4 min

Depuis la popularisation d’internet et la digitalisation des données personnelles, des informations confidentielles transitent quotidiennement sur la toile mondiale. Les hackers profitent des failles des systèmes informatiques pour voler des données telles que les identifiants de connexion.

L’attaque de l’homme du milieu (HDMI) ou man in the middle attack (MITM) est une cyberattaque qui débute lorsque le hacker s’immisce secrètement entre 2 deux entités communicantes dans le but d’intercepter des données personnelles. 

Les attaques MITM font l’objet de sérieuses menaces pour la cybersécurité, puisqu’il ne s’agit pas d’une simple écoute de conversation téléphonique, mais d'une manipulation de données secrètes et personnelles. Le hacker a la possibilité de capturer toutes les informations divulguées durant la communication.

Quel est l’objectif des Man in the middle ?

Le man in the middle s’introduit dans une communication dans le but de récolter des informations personnelles telles que les adresses mails des personnes communicantes, les identifiants bancaires, les données du système de messagerie... La mission est donc de voler les données bancaires, les mots de passe, l’usurpation des identités des entités communicantes.

Le détournement de la communication peut avoir lieu lorsqu’une des parties communicantes se connecte à un réseau public. Le man in the middle pourra dès lors agir secrètement comme un participant de l’échange.

Le but des hackers est de capturer des données d’un réseau pour voler des informations sensibles telles que l’identité des personnes communicantes, les mots de passe… Par exemple, lors d’une usurpation d’identité du man in the middle tente d’utiliser les informations personnelles en tant qu'utilisateur légitime.

Comment fonctionne une attaque du Man in the middle ?

Le man in the middle peut procéder de différentes manières pour atteindre ses objectifs. L’une des méthodes la plus courante est l’ARP spoofing, le vol de données via un réseau wifi ouvert.

Les réseaux wifi public sont les plus vulnérables aux attaques de type MITM. Habituellement nommés d'une manière qui correspond à leur position, ils sont gratuits d'accès et ne sont pas protégés par un mot de passe. Dès qu’une victime se connecte à ce type de réseaux wifi, l’attaquant à une visibilité totale sur l’échange de données en ligne. Le man in the middle s'installe donc entre un des ordinateurs et le système d’exploitation dans le but d’intercepter des données telles que les identifiants de connexion.

Le réseau wifi evil twins est une méthode assez similaire à l’ARP Spoofing. La technique honeypot consiste à proposer un faux réseau Wi-fi public afin de d’exploiter les identifiants et les données personnelles de ceux qui s’y connectent. Pour atteindre leurs objectifs, les pirates informatiques passent par différentes étapes :

  • Ils piratent les réseaux wifi public dans le but de trouver les informations sur le points d’accès de leurs cibles comme le nom SSID du réseaux
  • Les cybercriminels utilisent ensuite ces informations pour créer des points d’accès aux mêmes caractéristiques d'où l'appellation “jumeau maléfique".
  • Les MITM se rapprochent ensuite des victimes et émettent un signal de connexion plus fort que celui du réseau original. Les nouveaux venus ne verront que le jumeau maléfique et s’y connecteront.
  • Le pirate peut ensuite mettre hors circuit toutes personnes actuellement connectées avec une attaque par déni de service distribué (DDoS), une attaque qui met temporairement hors ligne le serveur valide et incite à des connexions en masse.
  • Si l'utilisateur se connecte à des sites ou applications demandant des informations secrètes, le pirate peut voir tous les détails de connexion et donc les enregistrer pour une utilisation ultérieure.

L’attaquant peut aussi s'approprier les données de deux entités communicantes lors d’une authentification. Dans ce contexte, le hacker se place lors de l’inscription entre le demandeur de connexion et le vérificateur de données. Une fois l'échange de données fait, l’attaquant enregistre anonymement une copie des données dans un but malsain. Le vol d’informations personnelles peut également avoir lieu lors de l’authentification entre le déclarant et le CSP.

Le Spoofing est également une forme de piratage souvent utilisée par l’homme du milieu. Le reniflage est un processus de surveillance et de capture de tous les paquets de données qui passent par un réseau informatique par le biais de renifleurs de paquets. Ces derniers sont transmis par les cybercriminels lors d'escroqueries par hameçonnage, des pièces jointes contenant les renifleurs de paquets sont téléchargées par les victimes. Après avoir pénétré le réseau, le man in the middle peut facilement accéder aux informations personnelles et aux données privées des victimes en surveillant l’activité présente sur le réseau, comme les emails et la messagerie instantanée…

Comment prévenir ces attaques ?

L'essentiel est de faire en sorte de naviguer en toute sécurité et une connexion internet sécurisée est la première ligne de défense. Par conséquent, une connexion à des sites web sécurisés par des connexion http:// utilisant la technologie SSL est une protection supplémentaire qui empêche les attaques MITM.

L’utilisation des VPN est également une solution aux attaques MITM puisqu'ils permettent de crypter les données envoyées sur le réseau, ce qui empêche le man in the middle d’infiltrer le réseau et intercepter les données. L’utilisation de VPN protège également des cyberattaques sur un réseau wifi public.

Lors d’une attaque MITM, tout n’est pas perdu, il est toujours possible d’utiliser l'authentification multi-facteurs pour sécuriser vos mots de passe. L’AMF est l’utilisation de plusieurs technologies différentes pour l’authentification d’un utilisateur. Le but est de valider au moins deux éléments de preuves pour s'identifier. Pour cette authentification, le cybercriminel n’a qu’une partie des données et ne peut donc pas accéder à vos données personnelles.

Pour prévenir et gérer ces attaques vous pouvez vous former vous et vos équipes en cybersécurité grâce à la formation d’Analyste soc 2 proposée par Cyber University !