Le but de la plupart des pirates informatique, peu importe la manière dont ils s’y prennent, est de voler les données des utilisateurs. Il peut s’agir de petites attaques discrètes ciblant des particuliers ou d’attaques à grande échelle ciblant des sites Web populaires ou des bases de données financières. Les méthodes changent peut-être, mais le but est le même. Dans la majorité des cas, les pirates informatique essaient d’abord de faire pénétrer un virus sur les ordinateurs des utilisateurs, ceci étant le chemin le plus court entre eux et vos données. Mais si pour une raison quelconque ce n’est pas faisable, une autre méthode d’attaque célèbre est l’attaque de l’homme du milieu (HDM). Comme son nom l’indique, ce type d’attaque consiste à ce que le pirate informatique ou son outil malveillant se place entre la victime et une source de valeur, tel qu’un site bancaire ou une messagerie électronique. Ces attaques peuvent être très efficaces et relativement difficiles à détecter, surtout pour les utilisateurs qui ne sont pas conscients du danger qu’elles représentent.
Le concept d’une attaque de l’homme du milieu
Le concept derrière les attaques HDM est très simple, et il ne se limite pas à la sécurité informatique ou au monde numérique.
L’attaque requiert seulement que le pirate informatique se place entre les deux partis qui essaient de communiquer et qu’il soit capable d’intercepter les messages envoyés pour ensuite se faire passer pour au moins un des deux partis.
Par exemple, dans le monde hors-ligne, il pourrait s’agir d’un individu plaçant de fausses factures dans la boîte aux lettres de sa victime, pour ensuite intercepter les chèques de paiement envoyés par la victime. Dans le monde numérique, ces attaques sont un peu plus complexes, mais l’idée reste la même. Le pirate informatique se place entre la cible et la source que celle-ci tente de joindre. Pour que l’attaque soit réussie, la victime et la source légitime pour laquelle se fait passer le pirate ne doivent pas détecter la présence de celui-ci.
Différents types d’attaques de l’homme du milieu
L’attaque HDM la plus courante implique qu’un pirate informatique utilise un routeur Wi-Fi afin d’intercepter les communications des utilisateurs.
Ceci peut être effectué de différentes manières :
en installant un routeur malveillant qui apparaît être légitime,
ou en exploitant un défaut dans l’installation d’un routeur légitime dans le but d’intercepter les sessions de l’utilisateurs sur le routeur.
Dans le premier scénario, le pirate informatique peut configurer son ordinateur portable ou un autre appareil sans fil afin qu’il agisse comme une borne Wi-Fi et lui donner un nom souvent utilisé dans les lieux publics comme les aéroports ou les cafés. Ensuite, alors que les utilisateurs se connectent au « routeur » et essaient de se connecter à des sites sensibles tels que des services bancaires ou des sites d’achat en ligne, le pirate informatique pourra intercepter leurs identifiants et les utiliser plus tard. Dans le deuxième scénario, le pirate informatique identifie une vulnérabilité dans la configuration ou dans le système de chiffrement d’un routeur Wi-Fi légitime afin de l’exploiter et d’espionner les communications entre les utilisateurs et le routeur. Il s’agit du scénario le plus difficile des deux, mais il peut également être plus efficace si le pirate informatique maintient un accès permanent vers le routeur compromis pendant des heures ou des jours. Il obtient ainsi la possibilité d’espionner discrètement des sessions que ses victimes pensent sécurisées, comme par exemple, une session sur un serveur de messagerie d’entreprise et il peut également obtenir des quantités importantes de données sensibles.
Un type plus récent d’attaque HDM est connu sous le nom d’attaque « man-in-the-browser ». Dans ce scénario, le pirate informatique utilise une des nombreuses méthodes pour introduire un code malveillant dans l’ordinateur de la victime qui fonctionnera au sein du navigateur. Ce malware enregistre en silence les données envoyées entre le navigateur et les différents sites ciblés que le hacker a codé en dur dans le malware. Ces attaques sont devenues plus populaires ces dernières années car ce type d’attaque permet au pirate informatique de cibler un plus grand groupe de victimes et ce dernier n’a pas besoin de se trouver à proximité de la victime.
Défenses
Il existe différentes défenses contre les attaques HDM, mais presque toutes se situent du côté du serveur/routeur et ne permettent pas à l’utilisateur de contrôler la sécurité de sa transaction. Un type de défense qui permettrait cela, serait un chiffrement fort entre le client et le serveur. Dans ce cas, le serveur peut s’authentifier en présentant un certificat numérique et ensuite le client, ainsi que le serveur, peuvent établir un canal chiffré à travers lequel ils pourront envoyer des données sensibles.
En outre, les utilisateurs peuvent se protéger contre les attaques HDM en évitant de se connecter sur des réseaux Wi-Fi ou en utilisant des plug-ins de navigateur tels que HTTPS Everywhere ou ForceTLS qui établissent une connexion sécurisée chaque fois que l’option est disponible.
Néanmoins, chacune de ces défenses a ses limitations et on a déjà pu observer des exemples d’attaques telles que SSLStrip ou SSLSniff qui peuvent bloquer la sécurité des connexions SSL.