Qu'est-ce qu'une attaque MITM ?
Une attaque Man-in-the-Middle (homme du milieu, ou MITM) se produit lorsqu'un attaquant s'insère secrètement entre deux parties communicantes pour intercepter, lire ou modifier les échanges. Les victimes croient communiquer directement entre elles alors que tout transite par l'attaquant.
Cette technique permet d'espionner les communications, de voler des identifiants ou de modifier les données en transit sans que les parties ne s'en aperçoivent.
Fonctionnement de l'attaque
L'attaquant se positionne sur le chemin de communication entre deux entités : utilisateur et serveur web, deux employés, ou client et banque. Il intercepte tous les messages transitant entre eux.
Chaque partie pense communiquer avec l'autre alors qu'elle communique avec l'attaquant. Ce dernier peut écouter passivement pour collecter des informations sensibles, ou intervenir activement en modifiant les messages, injectant du contenu malveillant ou redirigant vers de fausses destinations.
L'attaque réussit en exploitant l'absence ou la faiblesse du chiffrement et de l'authentification des communications.
Types d'attaques MITM
Le Wi-Fi eavesdropping crée un point d'accès malveillant (Evil Twin) imitant un réseau légitime. Les utilisateurs s'y connectent et tout leur trafic passe par l'attaquant.
L'ARP spoofing sur un réseau local empoisonne le cache ARP pour rediriger le trafic via la machine de l'attaquant. Le DNS spoofing modifie les réponses DNS pour rediriger vers de faux sites web.
Le session hijacking vole ou falsifie les cookies de session pour usurper l'identité d'un utilisateur connecté. L'email hijacking intercepte ou détourne les communications email pour des fraudes ou exfiltration.
Le SSL stripping dégrade une connexion HTTPS en HTTP non chiffrée en interceptant la requête initiale. L'utilisateur croit naviguer en HTTPS alors que sa communication est en clair.
Scénarios d'exploitation
Sur un réseau Wi-Fi public, l'attaquant configure un hotspot malveillant dans un café, aéroport ou hôtel. Les victimes se connectent et leurs identifiants, emails et données bancaires sont capturés.
Dans une attaque d'entreprise, un attaquant ayant accédé au réseau interne positionne un dispositif ou compromet une machine pour intercepter les communications sensibles : propriété intellectuelle, données clients, identifiants privilégiés.
Les attaques sur mobile exploitent les applications ignorant les avertissements de certificats invalides. L'attaque de proximité utilise du matériel portable pour intercepter les communications sans fil (Wi-Fi, Bluetooth) à proximité.
Outils et techniques
Des outils comme Wireshark capturent et analysent le trafic réseau pour identifier les informations sensibles. Ettercap et Bettercap automatisent les attaques MITM avec ARP spoofing et SSL stripping.
MITMProxy intercepte et modifie le trafic HTTP/HTTPS. Aircrack-ng facilite les attaques sur les réseaux Wi-Fi. Ces outils sont utilisés légitimement par les pentesters mais aussi malicieusement par les attaquants.
Les dispositifs matériels comme les LAN taps ou Packet Squirrel peuvent être physiquement insérés sur un réseau pour l'interception permanente.
Détection des attaques MITM
Les certificats SSL/TLS suspects déclenchent des avertissements du navigateur : certificat auto-signé, non valide ou nom de domaine incorrect. Ne jamais ignorer ces alertes.
Les connexions inattendues en HTTP pour des sites normalement HTTPS indiquent un SSL stripping potentiel. Les performances réseau dégradées ou latences inhabituelles peuvent signaler une interception.
Les outils de surveillance réseau détectent les anomalies : duplications d'adresses MAC (ARP spoofing), incohérences dans les tables ARP, ou patterns de trafic suspects.
Protection technique
L'utilisation systématique de HTTPS avec le flag HSTS (HTTP Strict Transport Security) force les connexions chiffrées et empêche le SSL stripping. Les certificats à validation étendue (EV) renforcent l'authentification du serveur.
Un VPN chiffre tout le trafic dans un tunnel sécurisé, protégeant même sur des réseaux non fiables. Le chiffrement de bout en bout garantit que seuls les destinataires peuvent déchiffrer les messages.
L'authentification mutuelle (mTLS) vérifie l'identité des deux parties. Les solutions de détection d'intrusion (IDS) identifient les comportements d'attaque MITM.
Protection des utilisateurs
Éviter les Wi-Fi publics pour les opérations sensibles ou utiliser systématiquement un VPN. Vérifier que le cadenas HTTPS est présent et valide avant de saisir des informations sensibles.
Désactiver le Wi-Fi et Bluetooth lorsqu'ils ne sont pas utilisés pour éviter les connexions automatiques. Supprimer les réseaux Wi-Fi mémorisés obsolètes ou suspects.
Être vigilant aux avertissements de sécurité du navigateur et ne jamais accepter aveuglément un certificat invalide. Utiliser des applications d'authentification plutôt que SMS pour le second facteur.
Protection organisationnelle
Déployer 802.1X pour authentifier les dispositifs sur le réseau d'entreprise. Implémenter ARP inspection et DHCP snooping sur les switchs pour prévenir l'empoisonnement.
Utiliser des certificats d'entreprise pour l'authentification forte des dispositifs. Configurer le certificate pinning dans les applications pour valider les certificats spécifiques attendus.
Segmenter le réseau et monitorer le trafic inter-segments. Former les employés à reconnaître les signes d'une attaque et à utiliser des pratiques sécurisées.
Variantes modernes
Les attaques sur IoT ciblent les objets connectés mal sécurisés communiquant en clair. L'interception 5G nécessite des capacités avancées mais reste théoriquement possible sans chiffrement de bout en bout.
Les attaques sur blockchain exploitent les vulnérabilités dans les implémentations de wallets. Les compromissions de mise à jour interceptent les téléchargements de mises à jour logicielles pour injecter du code malveillant.
Les attaques MITM évoluent continuellement, nécessitant une vigilance constante et l'adoption systématique de communications chiffrées et authentifiées.