Connaissez-vous la technique Man-in-the-middle, ce hack qui gangrène les réseaux Wi-Fi publics ?
Juin 2015. Une opération d’envergure est menée par le Centre Européen de lutte contre la Cybercriminalité et Eurojust à travers l’Italie, l’Espagne, la Pologne, le Royaume-Uni, la Belgique et la Géorgie. Le but ? Mettre fin aux agissements d’un groupe de 49 cyberarnaqueurs particulièrement virulents ayant détourné près de six millions d’euros en quelques mois. Un groupe rodé dont le mode opératoire reposait sur une technique de hacking aussi simple qu’insidieuse : le Man-in-the-middle.
Si ces cybermalandrins ont réussi à voler autant d’argent en aussi peu de temps, c’est parce que la technique du Man-on-the-middle est aussi simple à mettre en place qu’efficace. Il permet en effet de récupérer facilement, et rapidement, un tas d’informations sensibles sur les personnes qui en sont victimes. Et si dans l’affaire mentionnée plus haut, les cybercriminels ont ciblé de grosses sociétés à travers l’Europe, le Man-in-th-middle peut aussi être utilisé pour nuire à de nombreuses personnes, vous comprit. Pire, vous y avez peut-être déjà été exposés sans même le savoir…
C’est quoi exactement une attaque Man-in-the-middle ?
Le terme Man-in-the-middle, plus connu chez nous sous l’appellation d’homme du milieu, monstre du milieu ou attaque de l’intercepteur, décrit un type de cyberattaque dont le but est d’intercepter les communications entre deux entités. Le but ? Pousser l’une ou l’autre des parties en présence à dévoiler des informations personnelles (mot de passe, adresse, identité) ou techniques pour ensuite s’en servir contre eux, que ce soit pour obtenir de l’argent ou bien briser la confidentialité des données échangées.
La très grande force de cette méthode, et son aspect le plus pervers, reste sans doute que les personnes victimes d’une attaque de l’homme du milieu n’ont pas conscience d’être en train de se faire hacker, ou de divulguer des informations sensibles à une tierce personne. Vous pensiez échanger avec l’un de vos amis ? Un service client ? Votre comptable ou votre banquier ? Si vous êtes victimes d’une attaque Man-in-the-Middle, il y a de fortes chances que vous soyez en réalité en train de discuter, en toute confiance, avec votre hackeur…
Comment fonctionne une attaque Man-in-the-middle ?
Pour expliquer clairement, et simplement, le fonctionnement d’une attaque man-in-the-middle, rien ne vaut une petite mise en scène. Imaginons deux individus, Simon et Johana, qui échangent des informations via un ordinateur et un smartphone. Une troisième personne, malintentionnée (appelons-la Gaël) souhaite connaître la nature de ces échanges et récupérer un maximum d’information sur les deux compères au passage.
Pour ce faire, il va utiliser la technique du man-in-the-middle. Un procédé qui lui permet de s’intercaler entre les deux interlocuteurs, de manière totalement invisible. Les hackers qui ont recours au Man-in-the-middle ont plusieurs manières d’arriver à leur fin. Des procédés variés qui mènent tous au même résultat, et dont les principaux sont :
l’écoute de réseau Wi-Fi : c’est sans doute la manière la plus “simple” d’être victime d’une attaque de type Man-in-the-middle. De nombreux hackers peuvent surveiller ce qui transite par ce type de réseau, voir créer de toute pièce de faux réseaux Wi-Fi pour leurrer leurs victimes ;
l’ARP Spoofing : avec ce procédé, le hacker se fait passer pour une passerelle réseau à laquelle vient se connecter sa victime. De telle sorte que l’intégralité des informations de la victime transite par le hacker avant d’aller à leur destination finale ;
HTTPS Spoofing : cette technique est assez similaire à la précédente, si ce n'est que dans ce cas, le hacker fait passer un site web frauduleux pour légitime à l'aide d'une URL en HTTPS, qui est censée être sécurisée. La victime n’ayant pas lieu de se méfier, elle accepte un certificat d’authentification (SSL) qui sert ensuite au hacker pour détourner le trafic à son avantage ;
DNS Cache Poisoning : ici, le hacker utilise un faux DNS pour renvoyer sa victime vers un faux site web. En confiance, l’utilisateur va y entrer des données confidentielles et ouvrir la porte au hacker ;
autres méthodes : les hackers regorgent d’inventivité pour prendre le contrôle des communications de leurs cibles. Ils peuvent ainsi voler les cookies de session d’un individu pour se connecter à leur place à certains sites, détourner des emails à l’aide de malwares installés sur des serveurs de messagerie, surveiller les victimes grâce à leurs appareils de communication (webcam, micro, etc.) ou encore recourir à une attaque DDoS. Les moyens sont nombreux et plus variés les uns que les autres…
Quel que soit le moyen utilisé par le Gaël de notre exemple, le voilà désormais partie prenante de la conversation entre Johana et Simon. Sans que ces derniers soupçonnent quoi que ce soit, il va pouvoir observer, détourner, et influer la conversation à son avantage. Vu que l’intégralité des échanges passe par lui avant d’aller à son destinataire, il peut donc filtrer les informations qui sont transmises, retirer certaines d’entre elles voir modifier intégralement un message pour obtenir le résultat qu’il souhaite. Les deux interlocuteurs étant persuadés de parler à une personne de confiance, ils n'ont aucune raison de se méfier ou de ne pas transmettre les informations demandées par l’autre.
Quels sont les risques d’une attaque Man-in-the-middle ?
Comme on peut s’en douter, le but d’une cyberattaque est de voler les données d’une personne pour s’en servir ensuite. Dans le cas du Man-in-the-middle, la principale motivation est financière.
Le but ici est le plus souvent de détourner de l’argent, que ce soit en accédant au compte en banque de la victime, ou bien en l’amenant à effectuer un paiement qui finira dans les poches du hacker. Dans le même ordre d’idée, il est aussi possible pour les hackers de récupérer vos informations bancaires via ce procédé, toujours dans l’optique de causer un préjudice financier.
La technique man-in-the-middle est aussi fréquemment utilisé par les hackers pour s’en prendre à des entreprises, là encore à des fins d'enrichissement. Dans le cadre de l'opération mentionnée en introduction de cet article, les hackers ont utilisé le Man-in-the-middle pour accéder aux comptes mail de diverses sociétés européennes et surveiller les demandes de paiements émises par ces dernières. Il leur a suffi de modifier les informations de paiements pour rediriger les fonds vers leurs propres comptes en banque, et empocher la bagatelle de six millions d'euros.
Au-delà du vol d'argent, cette technique peut aussi être utilisée à d’autres fins. Cela peut par exemple servir à voler des informations sensibles sur des projets (dans le cadre d’espionnage industriel par exemple), ou pire, à modifier ou supprimer ces données pour causer du tort à la société ciblée.
La nature même du Man-in-the-middle, qui mise sur la confiance d’une personne envers un proche, une société ou une institution, peut avoir des répercussions qui vont bien au-delà du préjudice financier. Une attaque de ce type peut avoir de lourdes conséquences sur le plan moral : sentiment de trahison puissant, perte de confiance en l’autre, etc. Autant d’éléments qui s’avèrent désastreux pour l’image d’une société ou les relations personnelles.
Comment se protéger d’une attaque Man-in-the-middle ?
Les attaques man-in-the-middle sont-elles une fatalité à laquelle tout internaute doit, tôt ou tard, succomber ? Absolument pas. Il existe de nombreux moyens pour limiter les risques de se faire prendre au piège, et contrecarrer les plans des cyberarnaqueurs.
La première règle, et c’est une généralité dans le domaine de la cybersécurité, c’est d’adopter une hygiène numérique irréprochable. Cela signifie entre autres : éviter d’ouvrir des emails, pièces jointes, document ou programmes suspects, même provenant de contacts sûrs. Cela peut paraître idiot à dire, mais il s’agit d’une porte d’entrée privilégiée pour les hackers. Une bonne hygiène numérique, c’est aussi prendre soin de ses mots de passe en les changeant régulièrement et en évitant de les réutiliser sur plusieurs sites. Adopter un gestionnaire de mot de passe est aussi une excellente idée dans ce domaine.
Pour renforcer votre sécurité, et éviter les attaques de type man-in-the-middle, il est aussi important de respecter certaines règles. Il faut essayer, au maximum, d’éviter les réseaux Wi-Fi publics. Comme nous l’avons vu, il s’agit de la porte d’entrée préférée des hackers, et vous ne pourrez jamais avoir la certitude que le réseau où vous êtes connecté est bel et bien sécurisé. Ne prenez donc pas de risque inutilement. Dans le même ordre d’idée, essayez de vérifier autant que faire se peut la sécurité de votre connexion. Vérifiez bien que vous êtes en HTTPS et que le site sur lequel vous vous trouvez est légitime, avec le bon certificat. La tâche n’est pas toujours aisée, mais cela vaut le coup.
Enfin, n’hésitez pas à utiliser des outils de cybersécurité pour vous protéger. Les gestionnaires de mots de passe mentionnés plus haut constituent un excellent début, tout comme l’utilisation d’un pare-feu. Mais le mieux reste encore de recourir à un VPN dès lors que vous vous connectez à internet. Ce dernier crée en effet un tunnel sécurisé entre votre machine et internet, de manière que personne ne puisse savoir ce que vous faites une fois connecté.
Une contremesure extrêmement efficace, pour peu que vous soyez attentif au choix de votre VPN. S’il existe beaucoup d’acteurs gratuits, ces derniers s’avèrent bien peu fiables. Mesures de sécurité au rabais, revente de données utilisateurs à des tiers, surveillance du trafic : la solution peut parfois être aussi dommageable que le problème. Mieux vaut donc opter pour un VPN payant et bien installé sur le marché.
Un acteur comme Surfshark qui jouit d’une excellente réputation et fournit une palanquée de services pour vous aider à protéger votre vie privée et la sécurité de vos données. En ce moment, Surfshark propose ses services à partir de 2,89 euros par mois pour un engagement de deux ans, et vous offre deux mois d’abonnement supplémentaires.