Attaque Man in the Middle (MITM)

Bloqueur de pub détectée - Vous bloquez l'affichage des publicités.
Pour soutenir le site, merci de bien vouloir laisser les publicités s'afficher
Plus d'informations : Comment désactiver les bloqueurs de publicité sur un site internet

L'Attaque Man in the Middle (MITM) ou attaque de l'homme du milieu est la compromission d'un canal de données sans que les deux parties ne s'aperçoivent de quoique ce soit.
La compromission peut mener à des vols de données, des altérations de contenus ou la possibilité d'effectuer d'autres attaques comme du phishing.

Cette article vous explique le principe des attaques man in the middle.
Et enfin comment s'en protéger.

Attaque Man in the Middle (MITM)

Principe de l'attaque man in the middle

Les attaques Attaque Man in the Middle (MITM) peuvent avoir plusieurs formes reposant toujours sur un même principe.
L'attaquant intercepte des données entre deux entités, les modifient ou non avant de les envoyer à la destination prévue.
Le but est donc d'intercepter les données sans que les deux parties ne puissent s'en apercevoir.

Au sein d'un réseau, on peut imaginer deux ordinateurs qui échange des fichiers et l'attaquant qui se place entre les deux.
Ainsi ce dernier peut récupérer au passage les données avant de les envoyer à la victime.
L'attaquant peut falsifier les données si besoin.

Les deux schémas ci-dessous illustrent cette attaque de l'homme du milieu :

Cette attaque peut aussi être réalisée lors de la connexion à un site WEB, ou l'attaquant, se place entre l'ordinateur ou dans le système d'exploitation pour s'intercaler entre la victime et le site WEB.
Là aussi, cela peut permettre de récupérer des informations, comme vos identifiants/mot de passe, des cookies d'authentification etc.
L'attaque peut aussi permettre de détourner la victime du vrai site WEB afin de la faire se connecter à un faux sites pour placer une attaque de type phishing.
Par exemple, on vous connecte à un site de banque ressemblant au vrai et même avec la vrai adresse, la victime saisit ses informations bancaires qui seront récupérés par le pirate.

Voici quelques explications et méthodes utilisées pour effectuer ce type d'attaque informatique.

Les possibilités de l'attaques Man in the Middle

Passerelle Hijack

Une des premières méthodes consiste à modifier la passerelle du client.
Avant de passer aux détails, il faut bien comprendre comment fonctionne le partage de connexion internet sur un réseau LAN.
Nous allons évoquer ici un cas simple.

Lorsque vous connectez votre ordinateur à un réseau publique (cybercafé, école etc), votre carte réseau Echthernet est en DHCP.
Cela signifie que la carte réseau va demander à un serveur DHCP, la configuration IP que le serveur va lui attribuer.
Ainsi, votre ordinateur au sein du réseau récupère une adresse IP, les serveurs DNS et la passerelle.
La passerelle est, en général, l'équipement réseau, qui s'occupe d'effectuer le partage de connexion soit typiquement un routeur, comme le fait votre box chez vous.

Attaque MITM et modifications de la passerelle par défaut

Je rappelle que la commande ipconfig sur Windows permet de visualiser la configuration IP dont la passerelle.
Plus d'informations sur la page : Les commandes réseaux sur Windows

Le but du pirate est simple, se faire passer pour le routeur, ainsi, votre ordinateur va passer par le sien avant d'arriver sur le site WEB.
De cette manière, l'attaquant va s'intercaler entre votre ordinateur, et le routeur du réseau/site WEB.
Le trafic internet passant l'ordinateur du pirate, celui-ci pourra faire ce qu'il veut avec, le lire ou l'altérer.
Ainsi, la victime ne verra rien puisque le site se chargera de manière normale, le pirate lui pourra lire tout le trafic entre la victime et le site WEB puisque les données passeront par son ordinateur.

Attaque MITM et modifications de la passerelle par défaut

Comment s'opère une attaque MITM

La question qui se pose est : comment le pirate va s'y prendre ?

Une première méthode simple consiste à sur-planter le serveur DHCP légitime. Le but étant que l'ordinateur de la victime demande la configuration IP au serveur DHCP du pirate, ainsi, celui-ci pour indiquer comme passerelle l'adresse IP de son ordinateur.
Dans la mesure du possible, le pirate peut chercher à mettre hors service serveur DHCP légitime, par exemple avec une attaque DoS.
Ainsi, le pirate pourra que serveur DHCP donnera la configuration IP aux ordinateurs des futures victimes.

Une autre méthode plus complexe est possible reposant sur le protocole ARP.

Le protocole ARP s'occupe de fournir les correspondances adresses IP / Adresse MAC de l'interface réseau.
Ainsi sur un réseau avec des ordinateurs, le protocole ARP s'occupe de fournir les associations adresse IP/adresse Mac de la carte ethernet ou Wifi de l'ordinateur.
Votre ordinateur garde une table APR avec toutes ces correspondances MAC-IP, afin de ne pas avoir à faire une requête ARP sur le réseau quand il a besoin de contacter une adresse IP spécifique.

Là aussi, le pirate qui veut mettre en place une attaque Man-In-The-Middle va effectuer une usurpation ARP.
Le but est de court-circuiter la réponse de la passerelle et de retourner le couple adresse MAC / Adresse IP de la passerelle avec celui de son ordinateur.

Exemple d'attaque MiTM

Admettons que nous ayons ces trois machines :

l'adresse IP de la passerelle soit 192.168.1.1 : ee:08:6b:00:df:9b
L'attaquant : 192.168.1.100 : 52:54:05:6C:A4:33
La victime : 192.168.1.10 : 00:19:D2:5B:C4:41

L'attaquant va alors envoyer à l'aide d'outil comme arpspoof ou Scapy, une requête ARP à la machine de la victime 192.168.1.10
Cette requête ARP contiendra l'adresse IP de la passerelle 192.168.1.1 et l'adresse MAC du PC de l'attaquant.
Ainsi, l'ordinateur de la victime mettra à jour sa table ARP avec 192.168.1.1 et l'adresse Mac de l'attaquant.
Les paquets seront alors envoyés vers l'adresse Mac de l'attaquant.
Ce dernier met en place un transfert de paquet, puisque son IP n'est pas 192.168.1.1, afin de les transmettre au routeur.
Les paquets à destination 192.168.1.1 transitent donc par son ordinateur. L'attaque Man In The Middle est alors en place.
Afin de parfaire le tout,il faut effectuer la même opération sur le routeur 192.168.1.1, afin que les paquets partant du routeur et allant vers la victime passe par l'attaquant.

Les attaques Man in the middle (MITM)


Voici donc le principe d'une attaque man in the middle (MITM).
Il existe maintenant des variantes utilisées par des virus informatiques ou d'autres méthodes.

Exemples d'attaques MITM

DNS Hijack

Une autre variante consiste à modifier les serveurs DNS de l'ordinateur par un serveur DNS contrôlé par un pirate.

Un serveur DNS est en charge des transpositions adresse littérale en adresse IP (et inversement), exemple www.malekal.com = 94.23.44.69

Ainsi, le pirate contrôle la résolution DNS de l'ordinateur et peut faire pointer n'importe quelle adresse littérale vers une adresse IP de son choix.
Cela permet :

  • de remplacer les serveurs publicitaires contenus dans les sites visités par des serveurs publicitaires de son choix et ainsi utiliser l'ordinateur pour gagner de l'argent. Trojan.DNSchanger a été un des premiers virus a utilisé ces méthodes, plusieurs millions d'ordinateurs ont été touchés.
  • modifier les résultats de recherches (redirections Google), faire augmenter la valeur de certains sites WEB à travers des mots clés, rediriger les internautes vers des sites avec de fausses alertes de virus, etc
  • de rediriger l'internaute vers de faux sites et voler des cookies d'authentification ou de récupérer les identifiants/mots de passe saisis par la victime.

En 2014 / 2015, avec la poussée des PUPs/Adwares, ces méthodes sont réapparues notamment à travers DNSUnlocker et ses variantes.
Cela a permis l'injection de publicités sur de nombreux ordinateurs. Le contrôle des DNS étant effectués par DNSUnlocker

Microsoft a récemment a récemment ajouté cette famille (sous le nom de Clodaconas) au MSRT.
La page MSRT December 2016 addresses Clodaconas, which serves unsolicited ads through DNS hijacking donne cette illustration :

Les attaques Man in the middle et Hijack serveurs DNS

Les routeurs ont aussi très vite été visés par ces Hijack DNS.
Cela devrait perdurer, nous en avons parlé sur la page : Piratages de routeurs en hausse

WIFI et MITM

Il est tout à fait possible de mettre en place une attaque MITM en Wifi.
Le principe est simple, faire connecter la victime à un SSID Wifi que l'on contrôle et qui partage la connexion internet.

Le WIFI et et les attaques MITM

Pour faire connecter au SSID de l'attaquant, il *suffit* de tromper les internautes.
Par exemple, sur rendre dans un aéroport et donner le nom de "Air France Free" au SSID.
La page suivante illustre la mise en place de ce type d'attaque : https://www.troyhunt.com/the-beginners-guide-to-breaking-website/

La suite dans la page suivante.

Vous avez trouvé cet article utile et interressant, n'hésitez pas à le partager...

Trouver la solution sur le forum d'aide

Vous êtes arrivé au terme de l'article Attaque Man in the Middle (MITM) mais vous n'avez pas trouvé la solution à votre problème...
Suivez ces articles du forum pour trouver une réponse ou demandez à votre tour de l'aide sur le forum