Qu’est-ce qu’une attaque de type homme au milieu (MITM) ?

Après s’être discrètement positionnés entre les protagonistes d’une communication, les attaquants MITM interceptent des données sensibles telles que des numéros de carte de crédit, des informations de compte et des identifiants de connexion. Les pirates informatiques utilisent ensuite ces informations pour commettre d’autres cybercrimes (achats non autorisés, détournement de comptes financiers et usurpation d’identité).

Outre les échanges entre un utilisateur et une application, un attaquant MITM peut également espionner les communications privées entre deux personnes. Dans ce scénario, le pirate détourne et transmet des messages entre les deux personnes, et il peut parfois modifier ou remplacer les messages pour contrôler la conversation.

Certaines organisations et certains experts en cybersécurité préfèrent renoncer au terme « homme au milieu », car ils le considèrent comme potentiellement biaisé. Le terme peut également ne pas représenter correctement les exemples où l’entité au milieu est un bot, un appareil ou un logiciel malveillant plutôt qu’une personne.

Les autres termes qui désignent ce type de cyberattaque sont les suivants : machine au milieu (« machine-in-the-middle »), attaque sur le chemin (« on-path attack »), adversaire au milieu (« adversary-in-the-middle » ou AITM) et manipulateur au milieu (« manipulator-in-the-middle »).

Les vulnérabilités des réseaux, des navigateurs web, des comptes de messagerie, du comportement des utilisateurs et des protocoles de sécurité sont le point de départ des attaques de type MITM. Les cybercriminels exploitent ces faiblesses pour s’interposer entre les utilisateurs et les applications de confiance afin de contrôler les communications et d’intercepter les données en temps réel.

Les attaques par hameçonnage sont une voie d’entrée courante pour les attaquants MITM. En cliquant sur un lien malveillant dans un e-mail, un utilisateur peut lancer sans le savoir une attaque de type homme dans le navigateur (« man-in-the-browser »). Les attaquants MITM s’appuient souvent sur cette tactique pour infecter le navigateur web d’un utilisateur avec des logiciels malveillants, qui leur permettent d’apporter des modifications discrètes aux pages web, de manipuler les transactions et d’espionner l’activité de l’utilisateur.

Autre source courante d’attaques de type MITM : les points d’accès wifi publics. Les routeurs wifi publics ont moins de protocoles de sécurité que les routeurs wifi domestiques ou professionnels. Les utilisateurs à proximité peuvent utiliser cette faiblesse pour se connecter plus facilement au réseau. La faiblesse peut également permettre aux pirates de compromettre le routeur afin d’espionner le trafic internet et de collecter des données sur les utilisateurs.

Les attaquants MITM créent parfois leurs propres réseaux wifi publics malveillants pour attirer les utilisateurs peu méfiants et collecter leurs données personnelles.

Les attaquants MITM peuvent également créer de faux sites web qui semblent légitimes mais qui collectent en fait des données critiques, comme les identifiants de connexion. Les pirates peuvent ensuite utiliser ces identifiants pour se connecter à des comptes d’utilisateurs sur des sites web authentiques. Ils peuvent également utiliser le faux site web pour inciter les utilisateurs à effectuer des paiements ou à transférer des fonds.

Pour les attaques de type homme au milieu, les cybercriminels doivent : 1) intercepter les données qui transitent entre leurs deux cibles et 2) déchiffrer ces informations.

Afin de se placer au milieu de deux cibles communicantes, comme un utilisateur et une application Web, un pirate doit intercepter les données qui circulent entre les deux. L’attaquant transmet ensuite ces informations détournées entre les cibles comme si des communications normales étaient en cours, de sorte que les victimes ne se doutent de rien.

La plupart des communications internet sont aujourd’hui chiffrées, de sorte que toutes les données interceptées par un attaquant MITM devront très probablement être décryptées avant que le pirate ne puisse les utiliser. Les attaquants peuvent déchiffrer les données en volant des clés de chiffrement, en exécutant des attaques par force brute ou en utilisant des techniques d’attaque MITM spécialisées (voir la section suivante).

Les attaquants utilisent diverses techniques pour intercepter et décrypter les données lors d’attaques MITM. Les techniques courantes sont les suivantes :

Usurpation d’adresse IP – Les adresses IP (« Internet Protocol ») identifient les entités en ligne telles que les sites web, les appareils et les adresses électroniques. Les attaquants MITM modifient ou créent une « usurpation » de leurs adresses IP, de sorte qu’un utilisateur croit communiquer avec un véritable hôte alors qu’il est en fait connecté à une source malveillante.

Usurpation d’ARP ou empoisonnement de cache ARP – Le protocole ARP (« Address Resolution Protocol ») connecte une adresse IP à l’adresse MAC (« Media Access Control ») correcte sur un réseau local. En usurpant l’adresse ARP, un pirate peut acheminer cette connexion vers sa propre adresse MAC pour extraire des informations.

Usurpation de DNS  : le DNS (« Domain Name System ») connecte les noms de domaine des sites Web aux adresses IP qui leur sont attribuées. En modifiant un nom de domaine dans les enregistrements DNS, un attaquant MITM peut détourner les utilisateurs d’un site légitime vers un site web frauduleux.

Usurpation d’identité HTTPS – L’Hypertext Transfer Protocol Secure (HTTPS) garantit des communications sécurisées en chiffrant les données qui circulent entre un utilisateur et un site Web. Les attaquants MITM dirigeront secrètement les utilisateurs vers une page HTTP standard sans chiffrement afin qu’ils puissent accéder à des données non protégées.

Détournement des SSL – Les Secure Sockets Layers (SSL) sont la technologie qui assure l’authentification et le chiffrement entre un navigateur web et un serveur web à l’aide de certificats SSL. Les attaquants MITM utilisent un faux certificat SSL pour détourner ce processus et intercepter les données avant qu’elles ne soient cryptées.

SSL stripping – Cette technique se produit lorsqu’un site web accepte les connexions HTTP entrantes avant de diriger ce trafic vers des connexions HTTPS sécurisées. Les attaquants MITM perturbent ce processus de transition afin d’accéder à des données non chiffrées avant qu’elles ne passent à une connexion HTTPS sécurisée.

Dans ce type d’attaque, les cybercriminels prennent le contrôle des comptes de messagerie d’une entreprise ou d’une organisation. Les attaquants MITM ciblent souvent les institutions financières telles que les banques ou les sociétés de cartes de crédit pour ce type d’attaque.

Les pirates surveillent les communications, collectent des données personnelles et recueillent des renseignements sur les transactions. Dans certains cas, ils usurpent l’adresse e-mail d’une entreprise pour convaincre des clients ou des partenaires d’effectuer des dépôts ou de transférer des fonds sur un compte frauduleux.

Lorsque le navigateur Web d’un utilisateur communique avec un site, il stocke temporairement
des informations sur un cookie de session. Les attaquants MITM accèdent à ces cookies et les utilisent pour usurper l’identité d’un utilisateur ou voler les informations qu’ils contiennent, notamment les mots de passe, les numéros de carte de crédit et d’autres informations liées à un compte.

Comme le cookie expire lorsque la session prend fin, les pirates doivent agir rapidement avant que les informations ne disparaissent.

Les attaquants MITM créent parfois des réseaux Wi-Fi publics et des points d’accès dans des lieux publics très fréquentés tels que les aéroports, les restaurants et les centres-villes. Les noms de ces réseaux frauduleux sont souvent similaires à ceux des entreprises à proximité ou d’autres connexions wifi publiques de confiance. Les pirates informatiques peuvent également compromettre les points d’accès wifi légitimes utilisés par le public.

Dans les deux cas, lorsque des utilisateurs peu méfiants se connectent, les attaquants recueillent des données sensibles telles que les numéros de cartes de crédit, les noms d’utilisateur et les mots de passe.

En 2017, l’agence d’évaluation du crédit Equifax a été victime d’une attaque de type homme au milieu en raison d’une vulnérabilité non corrigée dans son framework d’applications web. L’attaque a révélé les informations financières de près de 150 millions de personnes.

Dans le même temps, Equifax a découvert des failles de sécurité dans ses applications mobiles susceptibles d’exposer ses clients à de nouvelles attaques MITM. Equifax a supprimé ces applications de l’App Store d’Apple et de Google Play.

En s’appuyant sur de faux sites Web pour collecter des mots de passe, des pirates ont lancé avec succès une attaque MITM contre l’autorité néerlandaise de sécurité numérique DigiNotar en 2011.

La faille était importante, car DigiNotar a émis plus de 500 certificats de sécurité compromis à de grands sites web tels que Google, Yahoo ! et Microsoft. DigiNotar a finalement perdu sa licence en tant que fournisseur de certificats de sécurité et a été déclaré en faillite.

En 2024, des chercheurs en sécurité ont signalé qu’une vulnérabilité permettait aux pirates de lancer une attaque MITM pour déverrouiller et voler des véhicules Tesla.1

En utilisant un point d’accès Wi-Fi usurpé dans une station de recharge Tesla, un pirate informatique pourrait collecter les identifiants de compte d’un propriétaire de Tesla. Selon les chercheurs, l’attaquant pourrait alors ajouter une nouvelle « clé téléphonique », qui déverrouille et démarre le véhicule à l’insu de son propriétaire.

Il existe des mesures de cybersécurité que les organisations et les particuliers peuvent mettre en œuvre pour se protéger contre les attaques de type homme au milieu. Les experts recommandent de se concentrer sur les stratégies suivantes :

HTTPS – Les utilisateurs ne doivent visiter que des sites web disposant d’une connexion sécurisée, qui sont indiqués par « HTTPS » et une icône cadenas dans la barre d’adresses du navigateur. Les pages web qui n’offrent que des connexions HTTP non sécurisées doivent être évitées. En outre, les protocoles SSL et Transport Layer Security (TLS) pour les applications peuvent protéger contre le trafic web malveillant et empêcher les attaques par usurpation d’identité.

Sécurité des points de terminaison – Les points de terminaison tels que les ordinateurs portables, les smartphones, les postes de travail et les serveurs sont les principales cibles des attaquants MITM. La sécurité des points de terminaison, qui comprend les derniers correctifs et logiciels antivirus, est essentielle pour empêcher les attaquants d’installer des logiciels malveillants sur ces appareils.

Réseaux privés virtuels – Un VPN offre une défense solide contre les attaques MITM en chiffrant le trafic réseau. Même en cas de violation, les pirates ne seront pas en mesure de lire les données sensibles telles que les identifiants de connexion, les numéros de carte de crédit et les informations de compte.

Authentification à étapes (« multifactor authentication » ou MFA) – La MFA nécessite une étape supplémentaire au-delà de la saisie d’un mot de passe pour accéder aux comptes, aux appareils ou aux services réseau. Même si un pirate MITM est en mesure d’obtenir des identifiants de connexion, l’authentification à étapes peut aider à empêcher l’attaquant de prendre le contrôle d’un compte.

Chiffrement – Le chiffrement est une exigence fondamentale pour la sécurité des réseaux et la défense contre les attaques MITM. Un chiffrement de bout en bout robuste sur l’ensemble du trafic et des ressources du réseau, qui englobe le contenu des e-mails, les enregistrements DNS, les applications de messagerie et les points d’accès, peut contrecarrer de nombreuses attaques MITM.

Réseaux wifi publics  : les utilisateurs doivent éviter les réseaux Wi-Fi publics lors de transactions qui impliquent des données sensibles, comme des achats.