Qu'est-ce qu'une attaque de l'homme du milieu ?
Une attaque de l'homme du milieu est un nom générique désignant toute cyberattaque au cours de laquelle une personne intercepte vos activités en ligne : vos opérations bancaires, votre conversation avec maman, vos e-mails professionnels, vos informations de paiement... La liste est longue.
Imaginez votre facteur en train de lire votre courrier avant de vous le livrer. Utiliser la nouvelle carte de crédit que vous recevez par la poste et sur laquelle figure votre nom. Changer quelques phrases dans la lettre que vous venez d'écrire à votre ex. Partager vos détails les plus intimes avec le voisin le plus offrant.
Au cours de ce genre d'attaque, des pirates informatiques s'interposent entre vous et vos opérations bancaires en ligne, votre conversation avec maman, vos e-mails professionnels, vos informations de paiement...
Une attaque de l'homme du milieu (HDM à partir de maintenant, c'est plus court), c'est ça. La seule différence est que celle-ci se produit en ligne. Les attaques HDM permettent aux pirates informatiques d'intercepter, d'envoyer et de recevoir des données vers et depuis votre appareil secrètement jusqu'à la fin de la transaction.
Cibles fréquentes d'attaques HDM (indice : argent, argent, argent)
Les cibles les plus fréquentes des attaques HDM sont :
Sans surprise, les criminels vont là où il y a de l'argent.
Types d'attaques de l'homme du milieu
Détournements d'e-mails (ou comment perdre 500 000 dollars en un seul e-mail)
Si l'idée qu'un individu intercepte vos e-mails, et même en envoie depuis votre propre compte, vous semble être de la science-fiction, nous vous présentons les Lupton.
Les Lupton sont un couple britannique ayant décidé de vendre leur appartement. Lorsque la vente a été conclue, leur avocat leur a envoyé un e-mail leur demandant leur numéro de compte bancaire afin de pouvoir leur transférer l'argent. Les Lupton se sont exécutés avec plaisir.
Ce qu'ils ne savaient pas, c'est qu'un groupe de cybercriminels avait lu l'e-mail de leur avocat, ainsi que leur réponse. Immédiatement, ils ont envoyé un e-mail à l'avocat depuis le compte de messagerie des Lupton, lui demandant d'ignorer le numéro de compte bancaire précédent et d'envoyer l'argent sur un autre compte. C'est ainsi que ces criminels ont volé 333 000 £ (environ 500 000 dollars) à Paul et Ann Lupton.
Les Lupton n'ont pas été visés par hasard. Les outils de piratage peuvent analyser en masse les e-mails non sécurisés pour trouver la bonne combinaison de mots
Et vous devez penser : « Attendez, il faudrait être vraiment malchanceux pour que quelqu'un espionne les communications par e-mail pile à ce moment-là ». « La probabilité que cela se produise doit être infime ».
Ça ne marche pas comme ça.
Ce n'est pas un hasard si les Lupton ont été visés. (Ce n'était pas une vengeance personnelle non plus.) Les outils de piratage permettent désormais aux criminels d'analyser en masse les communications non sécurisées par e-mail, en recherchant la bonne combinaison de mots, et de trouver ce qu'ils cherchent. Comme vous l'avez vu avec l'exemple des Lupton, cela peut arriver à n'importe qui.
HDM par Wi-Fi (alias qu'est-ce que c'est que ce bazar)
L'espionnage via Wi-Fi est extrêmement fréquent. Les attaques de l'homme du milieu par Wi-Fi prennent généralement la forme de réseaux « terroristes » ou d'un « jumeau maléfique » (si vous avez déjà regardé un feuilleton de ce genre, vous savez exactement de quoi nous parlons).
-
Les réseaux véreux sont tout simplement des réseaux Wi-Fi publics configurés par des pirates informatiques avec des noms attirants comme « Wi-Fi gratuit » ou « On dirait le Wi-Fi de Starbucks mais non ».
-
Les attaques par jumeau maléfique surviennent lorsque les pirates informatiques configurent des réseaux Wi-Fi publics qui reproduisent entièrement les réseaux légitimes que vous avez utilisés par le passé. Cela peut amener vos appareils à se connecter automatiquement, car ils sont conçus pour vous simplifier la vie et vous éviter d'avoir à saisir plusieurs fois vos mots de passe.
Quoi qu'il en soit, les pirates informatiques détiennent l'intégralité de ces connexions, et lorsque des personnes se connectent, toutes leurs activités en ligne sont espionnées. Le pirate informatique peut alors voler les mots de passe, les identifiants de connexion et de paiement, ainsi que d'autres données à caractère personnel sensibles.
Les jumeaux maléfiques peuvent ressembler à leurs homologues officiels : le réseau Wi-Fi de l'hôtel dans lequel vous résidez, du café que vous fréquentez ou de l'aéroport par lequel vous transitez.
Vous vous dites sûrement : « Alors , comment savoir si le réseau Wi-Fi gratuit auquel je viens de me connecter est vrai ou faux ? Comment me protéger ? » Ne vous inquiétez pas, il y a de l'espoir et c'est relativement facile. Nous y reviendrons dans une minute.
Mais parlons d'abord...
des détournements de session (ou comment le vol de cookies est à présent une affaire de grandes personnes) ;
Un autre type d'attaque HDM se produit lorsque des criminels s'emparent des fragments de code générés par votre navigateur pour se connecter à différents sites Web. C'est ce qu'on appelle le piratage de cookies, et c'est loin d'être aussi amusant que ça en a l'air.
Ces fragments de code, ou cookies de session, peuvent contenir des tonnes d'informations personnelles essentielles, allant des noms d'utilisateur et mots de passe aux formulaires pré-remplis, à vos activités en ligne et même à votre adresse postale. Et lorsqu'un pirate informatique a mis la main sur toutes ces informations, il peut en faire toutes sortes de choses, mais rien de positif : se faire passer pour vous en ligne, se connecter à des sites Web financiers, usurper votre identité, frauder, etc.
Attaque de l'homme dans le navigateur
Vous réalisez vos transactions bancaires en ligne et consultez votre écran habituel, mais il ne s'agit que d'une couverture pour vous duper pendant que des pirates informatiques retirent l'argent de votre compte
Attaque de l'homme dans le navigateur. HDN. HN. En deux mots : un cheval de Troie infecte votre appareil, permettant aux criminels d'intercepter vos transactions en ligne (e-mails, paiements, services bancaires, etc.) et de les modifier à leur guise, sans que vous ne remarquiez rien car ils vous font voir ce qu'ils veulent.
Vous êtes peut-être en train de réaliser vos transactions bancaires en ligne habituelles, tout semble normal, mais il ne s'agit que d'une couverture pour vous duper : votre banque reçoit des demandes de la part des cybercriminels qui se font passer pour vous et vident votre compte, etc. C'est juste que vous ne pouvez pas le voir. Lorsque vous réalisez ce qui se passe, il est trop tard.
Ces chevaux de Troie HDN accèdent à votre ordinateur via les escroqueries par phishing (hameçonnage), c'est pourquoi nous vous rabâchons sans cesse combien il est important de ne pas ouvrir les e-mails suspects et de prendre les précautions nécessaires lorsque vous naviguez sur Internet.
Comment fonctionnent les attaques de l'homme du milieu ?
Une attaque HDM comporte deux étapes :
Étape 1 : Interception
La première tâche pour les hommes du milieu est d'intercepter votre trafic Internet avant qu'il n'atteigne sa destination. Il existe quelques méthodes pour y parvenir :
-
Usurpation d'IP : à l'image des braqueurs de banque qui installent de fausses plaques d'immatriculation sur leur voiture, l'usurpation d'adresse IP consiste pour les pirates informatiques à simuler la source réelle des données qu'ils envoient à votre ordinateur et à la faire passer pour une source familière et fiable. Les données sont transmises en ligne dans de petits paquets de données, chacun disposant de sa propre étiquette d'identification. Les usurpateurs d'IP échangent cette étiquette contre une autre que votre ordinateur ou votre smartphone reconnaît comme site Web ou service légitime. En fin de compte, votre appareil finit par se laisser duper et échanger des informations avec un imposteur.
-
Usurpation d'ARP : également appelée usurpation ou empoisonnement du cache ARP, cette méthode HDM voit les pirates envoyer un faux protocole de résolution d'adresse ARP (Address Resolution Protocol) sur un réseau LAN (réseau local), de sorte que l'adresse MAC (Media Access Control) du pirate informatique puisse être reliée à votre adresse IP et recevoir toutes les données qui vous sont destinées. Vous en avez déjà assez des acronymes ?
-
Usurpation du cache DNS. Tiens, en voilà un autre. DNS signifie Domain Name System. Il s'agit d'un système de traduction des noms de domaine Internet à partir d'adresses IP numériques longues et imprononçables dans des titres accrocheurs comme https://omfgdogs.com (allez-y, cliquez dessus, c'est génial) et vice versa. Pour accélérer votre navigation en ligne, les serveurs « mémorisent » ces traductions et les sauvegardent dans une mémoire cache. Dans le cas d'une attaque par usurpation ou par empoisonnement du cache DNS (c'est la même chose), les pirates informatiques accèdent au cache et modifient les traductions, de sorte que vous êtes automatiquement redirigé vers un faux site au lieu du vrai.
Étape 2 : Déchiffrement
Une fois que les pirates ont intercepté votre trafic Web, ils doivent le déchiffrer. Voici quelques méthodes de déchiffrement courantes utilisées dans les attaques HDM :
-
Usurpation HTTPS : pendant longtemps, vous étiez sûr d'être entre de bonnes mains si vous pouviez voir les lettres HTTPS (HTTP Secure) devant une adresse Internet. HTTPS est une clé de certificat de site Web indiquant que vos transactions sur ce site sont chiffrées et que vos données sont donc sécurisées. Mais au cours d'une attaque HDM HTTPS, un pirate informatique installe un certificat de sécurité racine usurpé sur votre ordinateur afin que votre navigateur pense qu'il s'agit d'un certificat fiable. Comme le navigateur lui fait confiance, il lui fournit la clé de chiffrement requise pour déchiffrer les données que vous envoyez. Le pirate informatique peut désormais recevoir, déchiffrer, lire, rechiffrer et renvoyer toutes les informations, sans que ni vous ni le site final ne sachiez que la communication a été interceptée. Sournois et dangereux. C'est ainsi par exemple que vos e-mails ou discussions en ligne sont lus au fur et à mesure que vous les envoyez.
-
Attaques SSL BEAST. Et c'est le retour des acronymes ! BEAST signifie Browser Exploit Against SSL/TLS. SSL est le protocole Secure Sockets Layer (« Secure » dans HTTP Secure). Les pirates informatiques exploitent les points faibles du chiffrement CBC (Cipher Block Chaining, encore un acronyme, désolé, et ce n'est pas fini) pour capturer et déchiffrer les données échangées entre votre navigateur et un serveur Web. Plus simplement, c'est un autre moyen pour les cybercriminels de déchiffrer notre trafic Web, et pour nous les internautes, ça craint.
-
Piratage SSL. Voici comment fonctionne une attaque de l'homme du milieu dans les cas d'un piratage SSL : lorsque vous vous connectez à un site Web, votre navigateur se connecte d'abord à la version HTTP (non sécurisée) du site. Le serveur HTTP vous redirige vers la version HTTPS (sécurisée) du site et le nouveau serveur sécurisé fournit à votre navigateur un certificat de sécurité. Bim ! Vous êtes connecté. Le piratage SSL a lieu juste avant la connexion au serveur sécurisé. Les pirates informatiques redirigent tout votre trafic en ligne sur leur ordinateur afin que vos informations (e-mails, mots de passe, détails de paiement, etc.) y transitent.
-
SSL stripping : cette attaque consiste à échanger le certificat HTTPS (sécurisé) contre un certificat HTTP (non sécurisé). Au moyen d'un serveur proxy ou de l'une des astuces d'usurpation ARP mentionnées ci-dessus, le pirate informatique s'immisce entre vous et une connexion sécurisée et vous fournit une version non sécurisée (HTTP) du site. Ainsi, il reçoit toutes vos données, vos mots de passe, vos paiements, etc. sous forme de texte clair et non chiffré. À votre insu, bien sûr.
Prévention des attaques de l'homme du milieu
Les attaques HDM peuvent faire des dégâts, mais vous pouvez prévenir et minimiser les risques afin de protéger vos données, votre argent et votre dignité.
Utilisez toujours un VPN
En bon français, un VPN est un programme ou une application qui masque, chiffre et dissimule toutes vos activités en ligne : vos e-mails, vos conversations instantanées, vos recherches, vos paiements, et même votre géolocalisation. Les VPN contribuent à vous protéger des attaques HDM et à sécuriser tous les réseaux Wi-Fi en chiffrant votre trafic Internet et en le transformant en charabia incompréhensible.
Il existe de nombreux VPN, et beaucoup d'entre eux sont nuls : trop lents, pas assez sécurisés, ou pas aussi privés qu'ils ne le revendiquent. Heureusement, votre société de sécurité en ligne préférée propose un formidable VPN digne de confiance, et vous pouvez même l'essayer gratuitement.
N'oubliez pas les conseils de sécurité essentiels concernant l'utilisation de sites Web.
Voici un petit guide idéal expliquant comment vérifier si un site Web est sûr. Vous n'avez vraiment pas besoin de beaucoup de connaissances techniques pour commencer à utiliser ces astuces et elles peuvent potentiellement vous éviter de graves problèmes, en ligne ou non.
Procurez-vous un bon antivirus
Les attaques HDM utilisent souvent des logiciels malveillants, il est donc essentiel de vous procurer un bon logiciel antivirus de confiance.
Si vous n’avez pas les moyens, commencez par cet excellent antivirus gratuit. Mais si vous souhaitez vous débarrasser des attaques de l'homme du milieu, vous pouvez également essayer une protection premium gratuite comprenant un Agent Site Web Frauduleux conçu spécifiquement pour vous éviter d'être redirigé vers des sites Web imposteurs. Il y en a pour tous les portefeuilles. Donc vous n'avez aucune excuse.
Comment prévenir les attaques de l'homme du milieu de type HTTPS
Vous vous souvenez du protocole SSL de tout à l'heure ? Il s'agit du type d'attaque HDM qui échange les certificats de sécurité HTTPS contre des certificats HTTP moins sécurisé, sans que vous ne le remarquiez.
La solution s'appelle HSTS (HTTP Strict Transport Security), une politique de sécurité Web qui oblige les navigateurs et les sites à se connecter via des connexions HTTPS sécurisées, en toutes circonstances. Connexion HTTP ? Même pas en rêve. HSTS prend non seulement en charge les attaques par stripping SSL, mais contribue également à lutter contre le vol de cookies et les détournements de session, ce qui est appréciable.
La bonne nouvelle, c'est que la politique HSTS est de plus en plus fréquente. De grands acteurs du Web comme Google, Gmail, Twitter et Paypal et des navigateurs tels que Chrome, Firefox, Safari, Edge et IE la prennent en charge depuis des années maintenant.
Il n'existe pas de bouton tout simple sur lequel cliquer pour convertir toutes vos connexions en HSTS, mais l'utilisation de l'un des navigateurs HSTS ci-dessus peut vous aider. Et si vous avez votre propre site Web ou serveur et si vous vivez dangereusement, voici quelques instructions pour intégrer la politique HSTS.
Comment détecter une attaque de l'homme du milieu
Les attaques HDM sont très difficiles à détecter lorsqu'elles se produisent. La prévention est donc le meilleur moyen de rester en sécurité.
Voici quelques indices indiquant que vous êtes victime d'une attaque HDM :
Ceci est une liste non exhaustive.
En vérité, les attaques HDM sont très difficiles à détecter lorsqu'elles se produisent. La prévention est donc le meilleur moyen de rester en sécurité : comme mentionné précédemment, Procurez-vous et utilisez un VPN, évitez de vous connecter directement au Wi-Fi public, installez un antivirus fiable, et faites attention aux escroqueries par phishing (hameçonnage).
Pour les spécialistes du domaine technique, il existe des outils fiables qui peuvent vous aider à détecter l'usurpation d'ARP indiquant une attaque HDM. Wireshark en fait partie. C'est l'analyseur de protocole réseau le plus utilisé au monde. Il est gratuit et open source.
SSL Eye est un logiciel gratuit pour Windows qui détermine les informations d'identification SSL de chaque site avec lequel vous communiquez. Il peut donc vous indiquer si vous faites l'objet d'une attaque HDM.
Liste de prévention des attaques de l'homme du milieu