« A man in the middle attack », ou « l’attaque de l’homme du milieu » en bon français.
Vous avez probablement souvent déjà entendu cette expression, on y fait généralement référence comme à une attaque informatique visant à intercepter et corrompre le dialogue entre deux machines.
Mais en fait, elle couvre bien d’autres aspects…
Le principe de base
Comme son nom l’indique, le MITM consiste pour l’attaquant à s’intégrer dans la chaîne de communication entre deux machines pour capturer voire altérer les échanges.
Il va pouvoir accéder à tous les échanges non chiffrés, voire chiffrés dans certaines conditions, tout cela en restant parfaitement indétectable.
De plus, les données transitant par son intermédiaire, il peut les modifier en supprimant certaines informations ou en ajoutant.
La chaîne complète
La chaîne de communication est construite de la manière suivante :
L’ordinateur se connecte à un point d’accès filaire ou Wifi pour obtenir un accès réseau, puis pour établir un dialogue entre une autre machine avec un serveur de nom DNS, afin de trouver l’adresse IP de son correspondant. Il est alors en mesure de demander et d’obtenir le chemin Internet (la route) qui le mènera vers ledit correspondant.
Une fois le dialogue établi, chaque échange (un paquet) va transiter entre le point d’accès initial, l’infrastructure Internet et le point d’accès terminal pour arriver à son destinataire.
Si le dialogue n’est pas chiffré, n’importe lequel de ces composants a accès au contenu de l’échange.
Si le dialogue est chiffré, et comme le plus souvent le chiffrement est validé par une autorité tierce de confiance, les composants n’ont accès qu’à l’identité des deux machines mais demeurent aveugles au contenu échangé.
Les points faibles
Dans le dialogue entre deux machines et éventuellement leurs utilisateurs, on trouve de nombreux éléments susceptibles d’être plus ou moins facilement compromis.
Pour faire simple on va trouver 3 méthodes sur les composants (si on exclu les malwares présents sur les machines elles-mêmes) :
– la compromission du point d’accès
– le DNS spoofing
– la compromission des infrastructures.
Sans s’étendre sur les méthodes, regardons plutôt les moyens de prévenir le problème ou au moins d’évaluer les risques encourus.
Maîtriser le risque
Tout d’abord sécurisez votre accès :
Pas de point d’accès Wifi non chiffré, c’est la technique la plus classique : un Hot-spot « WIFI gratuit » (mais votre ordinateur est supposé vous prévenir).
Attention aussi au coupleur CPL non protégé. Si vous mettez en place un réseau CPL pensez à protéger chaque équipement avec un même mot de passe.
Prenez-garde également aux portails captifs ou même à certains proxy d’entreprise qui interceptent tout le trafic. Pour les identifier, un site habituellement avec un icone SSL vert passera en rouge ou ne marchera pas.
Et puis le reste
La mauvaise nouvelle est que vos possibilités de contrôle s’arrêtent là !
Sauf à apprendre par cœur les adresses IP des sites auxquels vous voulez accéder, le DNS spoofing n’est pas identifiable, par contre il fera basculer les sites habituellement SSL vert en rouge.
Et pour les compromissions de votre box, ou des équipements du réseau Internet, vous devez vous en remettre à votre confiance dans votre fournisseur d’accès Internet comme au peu d’intérêt pour votre personne qu’ont les opérateurs du réseau Échelon, de la NSA et autres organismes gouvernementaux bienveillants…
Olivier Piochaud, Président Directeur Général d’Apsynet
