Qu'est-ce qu'une attaque Man-in-the-Middle ?

> 43% des attaques réseau utilisent des techniques Man-in-the-Middle

Une attaque Man-in-the-Middle (MITM) est l'une des techniques d'attaque réseau les plus redoutables. L'attaquant s'intercale entre deux parties qui communiquent, interceptant et potentiellement modifiant leurs échanges. Comprendre cette attaque est essentiel pour s'en protéger.

Définition et principe

Concept de base

Man-in-the-Middle (MITM) signifie littéralement "homme au milieu". L'attaquant s'interpose entre deux entités qui communiquent, se faisant passer pour chacune d'elles.

Schéma classique :

Alice → [Attaquant] → Bob
       ↑
  Intercepte et modifie

L'attaquant peut :

• Intercepter toutes les communications
• Lire les données en transit
• Modifier les messages
• Injecter du contenu malveillant
• Voler des identifiants

Comment fonctionne une attaque MITM

Phase 1 : Interception du trafic

Méthodes d'interception :

1. ARP Spoofing

• Empoisonnement de la table ARP
• Redirection du trafic vers l'attaquant
• L'attaquant se fait passer pour la passerelle

2. DNS Spoofing

• Modification des réponses DNS
• Redirection vers de faux sites
• L'utilisateur pense accéder au bon site

3. Wi-Fi Rogue Access Point

• Création d'un point d'accès malveillant
• Attraction des utilisateurs
• Interception de tout le trafic

4. SSL Stripping

• Forcer la connexion en HTTP au lieu de HTTPS
• Interception des données en clair
• Contournement du chiffrement

Phase 2 : Écoute et modification

Une fois le trafic intercepté :

1. Écoute passive

• Capture de tous les paquets
• Analyse du trafic
• Extraction d'informations sensibles

2. Modification active

• Altération des messages
• Injection de contenu malveillant
• Redirection vers des sites malveillants

3. Vol d'identifiants

• Capture des mots de passe
• Vol de cookies de session
• Usurpation d'identité

Techniques d'attaque spécifiques

1. ARP Spoofing / ARP Poisoning

Principe :

L'attaquant envoie de faux messages ARP pour associer son adresse MAC à l'adresse IP de la passerelle.

Résultat :

Tout le trafic destiné à Internet passe par l'attaquant.

Outils :

• Ettercap
• Bettercap
• arpspoof

Protection :

• Détection des anomalies ARP
• Utilisation de VLANs
• Monitoring réseau

2. DNS Spoofing / DNS Cache Poisoning

Principe :

Modifier les réponses DNS pour rediriger vers de faux sites.

Exemple :

Requête : www.banque.fr
Réponse normale : 192.168.1.100
Réponse falsifiée : 192.168.1.200 (serveur de l'attaquant)

Protection :

• DNSSEC
• DNS over HTTPS (DoH)
• Vérification des certificats SSL/TLS

3. SSL Stripping / SSL Downgrade

Principe :

Forcer la connexion en HTTP au lieu de HTTPS.

Technique :

• Intercepter la requête HTTPS
• Rediriger vers HTTP
• Intercepter les données en clair

Protection :

• HSTS (HTTP Strict Transport Security)
• Vérification des certificats
• Utilisation systématique de HTTPS

4. Wi-Fi Evil Twin

Principe :

Créer un point d'accès Wi-Fi avec le même nom qu'un réseau légitime.

Scénario :

• Réseau légitime : "Café_WiFi"
• Réseau malveillant : "Café_WiFi" (créé par l'attaquant)
• Les utilisateurs se connectent au mauvais réseau

Protection :

• Vérifier le nom exact du réseau
• Utiliser un VPN
• Éviter les réseaux Wi-Fi publics

5. Session Hijacking

Principe :

Voler les cookies de session pour usurper l'identité de l'utilisateur.

Technique :

• Intercepter les cookies
• Les réutiliser pour se connecter
• Accéder au compte sans mot de passe

Protection :

• Cookies sécurisés (Secure, HttpOnly)
• Rotation des tokens de session
• Détection des anomalies de session

Outils utilisés par les attaquants

Outils populaires

1. Ettercap

• ARP spoofing
• DNS spoofing
• SSL stripping
• Interception de trafic

2. Bettercap

• Successeur moderne d'Ettercap
• Interface web
• Modules extensibles

3. Wireshark

• Analyse de paquets
• Capture de trafic
• Décodage de protocoles

4. Burp Suite

• Proxy d'interception
• Modification de requêtes
• Analyse de sécurité web

5. mitmproxy

• Proxy interactif
• Scripting Python
• Analyse de trafic HTTPS

Détection d'une attaque MITM

Signaux d'alerte

1. Certificats SSL invalides

• Avertissements du navigateur
• Certificats auto-signés
• Erreurs de validation

2. Latence réseau anormale

• Délais de réponse augmentés
• Ralentissement général
• Timeouts fréquents

3. Anomalies ARP

• Plusieurs adresses MAC pour une même IP
• Entrées ARP suspectes
• Modifications fréquentes

4. Redirections suspectes

• Sites redirigés vers des URLs inconnues
• Changements de domaine
• Erreurs DNS

Outils de détection

1. ARPWatch

• Surveillance des tables ARP
• Alertes sur les anomalies
• Détection d'ARP spoofing

2. Wireshark

• Analyse de trafic
• Détection de paquets suspects
• Identification d'attaques

3. Netstat / ss

• Affichage des connexions réseau
• Identification de connexions suspectes
• Monitoring en temps réel

Protection contre les attaques MITM

Mesures techniques

1. Chiffrement fort

• HTTPS partout
• TLS 1.3
• Certificats valides
• HSTS activé

2. Authentification mutuelle

• Certificats clients
• mTLS (Mutual TLS)
• Vérification des identités

3. DNSSEC

• Signature des réponses DNS
• Protection contre le DNS spoofing
• Validation des requêtes

4. VPN

• Tunnel chiffré
• Protection du trafic
• Masquage de l'adresse IP

5. Monitoring réseau

• Surveillance continue
• Détection d'anomalies
• Alertes en temps réel

Bonnes pratiques

1. Vérifier les certificats

• Vérifier le cadenas dans le navigateur
• Examiner les détails du certificat
• Ne pas ignorer les avertissements

2. Utiliser des réseaux sécurisés

• Éviter les Wi-Fi publics
• Utiliser un VPN sur Wi-Fi public
• Vérifier le nom du réseau

3. Mettre à jour les systèmes

• Correctifs de sécurité
• Mises à jour réseau
• Firmware à jour

4. Former les utilisateurs

• Reconnaître les signaux d'alerte
• Bonnes pratiques
• Sensibilisation

Cas d'usage : attaque réelle

Scénario : Café Wi-Fi

1. Installation

Un attaquant installe un point d'accès Wi-Fi "Café_Free_WiFi" dans un café.

2. Attraction

Les clients se connectent au réseau, pensant qu'il s'agit du réseau légitime.

3. Interception

L'attaquant intercepte tout le trafic, y compris les connexions bancaires.

4. SSL Stripping

Les connexions HTTPS sont forcées en HTTP, permettant l'interception des identifiants.

5. Exploitation

Les identifiants bancaires sont volés et utilisés pour accéder aux comptes.

Résultat : Des milliers d'euros volés en quelques heures.

Statistiques sur les attaques MITM

Fréquence

• 43% des attaques réseau utilisent des techniques MITM
• 28% des attaques Wi-Fi sont des MITM
• 15% des violations de données impliquent un MITM

Impact

• Coût moyen d'une attaque MITM : 4,2 millions de dollars
• Temps moyen de détection : 197 jours
• Données exposées : 2,3 millions d'enregistrements en moyenne

Protection pour les entreprises

Mesures organisationnelles

1. Segmentation réseau

• Isolation des segments
• Contrôle d'accès strict
• Limitation des communications

2. Monitoring avancé

• IDS/IPS
• Analyse comportementale
• Détection d'anomalies

3. Chiffrement end-to-end

• Chiffrement des communications
• Certificats valides
• Authentification mutuelle

4. Formation

• Sensibilisation des équipes
• Bonnes pratiques
• Tests réguliers

Conclusion

Les attaques Man-in-the-Middle sont redoutables car elles sont invisibles pour les utilisateurs et permettent l'interception de toutes les communications. La protection repose sur le chiffrement fort, la vérification des certificats et la vigilance.

Points clés à retenir :

• ✅ Utiliser HTTPS partout avec certificats valides
• ✅ Vérifier les certificats SSL/TLS
• ✅ Utiliser un VPN sur les réseaux non sécurisés
• ✅ Ne pas ignorer les avertissements de sécurité
• ✅ Former les utilisateurs à reconnaître les signaux d'alerte

Rappel : La meilleure défense contre les MITM est la prévention : chiffrement fort, certificats valides et réseaux sécurisés.

Votre réseau est-il protégé contre les attaques MITM ? Découvrez notre service de **pentest réseau** pour identifier les vulnérabilités de vos infrastructures.