Qu’est-ce qu’une attaque Man-in-the Middle (MITM)?


Qu’est-ce qu’une attaque Man-in-the-Middle?

Une attaque de type «  man-in-the-middle  » (MITM) est une forme de cyberattaque dans laquelle des criminels exploitant des protocoles Web faibles s’insèrent entre des entités dans un canal de communication pour voler des données.

Aucune des parties envoyant des e-mails, des SMS ou des conversations lors d’un appel vidéo n’est consciente qu’un attaquant a inséré sa présence dans la conversation et que l’attaquant vole ses données.

Alors que la plupart des cyberattaques sont silencieuses et menées à l’insu des victimes, certaines attaques MITM sont le contraire. Ils peuvent inclure un robot générant des messages texte crédibles, usurpant l’identité d’une personne lors d’un appel ou usurpant un système de communication entier pour récupérer des données que l’attaquant considère comme importantes sur les appareils des participants.

Types d’attaques de l’homme du milieu (MITM)

Jetons un coup d’œil aux différents types d’attaques MITM.

Détournement d’e-mails

Comme son nom l’indique, dans ce type d’attaque, les cybercriminels prennent le contrôle des comptes de messagerie des banques, des institutions financières ou d’autres entreprises de confiance qui ont accès à des données sensibles – et à de l’argent. Une fois à l’intérieur, les attaquants peuvent surveiller les transactions et la correspondance entre la banque et ses clients.

Dans des scénarios plus malveillants, les attaquants usurpent ou falsifient l’adresse e-mail de la banque et envoient des e-mails aux clients leur demandant de renvoyer leurs informations d’identification – ou pire, d’envoyer de l’argent – à un compte contrôlé par les attaquants. Dans cette version d’attaque MITM, l’ingénierie sociale ou l’établissement de la confiance avec les victimes est la clé du succès.

Écoute électronique Wi-Fi

Dans les écoutes Wi-Fi, les cybercriminels obligent les victimes à se connecter à un réseau sans fil à proximité avec un nom à consonance légitime. Mais en réalité, le réseau est configuré pour se livrer à des activités malveillantes. Le réseau sans fil peut sembler appartenir à une entreprise à proximité que l’utilisateur fréquente ou il peut avoir un nom générique et apparemment inoffensif, tel que «Réseau Wi-Fi public gratuit». Dans certains cas, l’utilisateur n’a même pas besoin de saisir un mot de passe pour se connecter.

Une fois que les victimes sont connectées au Wi-Fi malveillant, l’attaquant a des options: surveiller l’activité en ligne de l’utilisateur ou récupérer les informations de connexion, les informations de carte de crédit ou de paiement et d’autres données sensibles.

Pour se prémunir contre cette attaque, les utilisateurs doivent toujours vérifier à quel réseau ils sont connectés. Avec les téléphones mobiles, ils doivent désactiver la fonction de connexion automatique Wi-Fi lorsqu’ils se déplacent localement pour empêcher leurs appareils d’être automatiquement connectés à un réseau malveillant.

Usurpation DNS

L’usurpation du système de noms de domaine (DNS), ou empoisonnement du cache DNS, se produit lorsque des enregistrements DNS manipulés sont utilisés pour détourner un trafic en ligne légitime vers un site Web faux ou usurpé conçu pour ressembler à un site Web que l’utilisateur connaîtrait probablement et aurait confiance.

Comme pour toutes les techniques d’usurpation d’identité, les attaquants invitent les utilisateurs à se connecter sans le vouloir au faux site Web et à les convaincre qu’ils doivent entreprendre une action spécifique, comme payer des frais ou transférer de l’argent vers un compte spécifique. Les attaquants volent autant de données que possible aux victimes au cours du processus.

Détournement de session

Le détournement de session est un type d’attaque MITM dans lequel l’attaquant attend qu’une victime se connecte à une application, comme une banque ou un e-mail, puis vole le cookie de session. L’attaquant utilise ensuite le cookie pour se connecter au même compte appartenant à la victime mais à la place depuis le navigateur de l’attaquant.

Une session est une donnée qui identifie un échange d’informations temporaire entre deux appareils ou entre un ordinateur et un utilisateur. Les attaquants exploitent les sessions car elles sont utilisées pour identifier un utilisateur qui s’est connecté à un site Web. Cependant, les attaquants doivent travailler rapidement car les sessions expirent après un laps de temps défini, qui peut être aussi court que quelques minutes.

Détournement de Secure Sockets Layer (SSL)

La plupart des sites Web affichent aujourd’hui qu’ils utilisent un serveur sécurisé. Ils ont «HTTPS», abréviation de Hypertext Transfer Protocol Secure, au lieu de «HTTP» ou Hypertext Transfer Protocol dans la première partie de l’URL (Uniform Resource Locator) qui apparaît dans la barre d’adresse du navigateur. Même lorsque les utilisateurs saisissent HTTP – ou pas du tout HTTP – la version HTTPS ou sécurisée s’affichera dans la fenêtre du navigateur. Il s’agit d’un protocole de sécurité standard et toutes les données partagées avec ce serveur sécurisé sont protégées.

SSL et son successeur de sécurité de la couche de transport (TLS) sont des protocoles pour établir la sécurité entre les ordinateurs en réseau. Lors d’un piratage SSL, l’attaquant intercepte toutes les données passant entre un serveur et l’ordinateur de l’utilisateur. Cela est possible car SSL est un protocole de sécurité plus ancien et vulnérable qui nécessitait son remplacement – la version 3.0 était obsolète …



Source link

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *