Qu’est-ce qu’une attaque de l’homme du milieu (MitM ou Man-in-the-Middle) ?

Il y a de fortes chances que votre appareil mobile n'ait pas les mêmes défenses de sécurité que votre ordinateur portable ou votre ordinateur. C'est pourquoi il est important que vous, en tant qu'utilisateur final, vous fassiez votre possible pour vous protéger des cybermenaces. Cet article se concentre sur l'attaque de l’homme du milieu (MitM) : comment voir que votre appareil mobile est infecté, quelles sont les conséquences et que devez-vous faire ?

Qu'est-ce qu'une attaque de l’homme du milieu (Man-in-the-Middle) ?

Une attaque MitM (Man-in-the-Middle) est une attaque par interception qui se produit lorsque la communication entre deux systèmes est interceptée par un tiers, alias l’homme du milieu. Elle peut survenir dans toutes les formes de communication en ligne, comme les e-mails, la navigation sur le web, les réseaux sociaux, etc.

L’homme du milieu peut utiliser une connexion à un Wi-Fi public pour écouter vos conversations, ou encore tenter d'injecter des données dans votre connexion afin d'avoir accès à votre navigateur ou votre application. Il pourra ensuite déplacer vos données ou compromettre l'intégralité de l'appareil. Une fois qu'il a accès à votre appareil, les dégâts qu'il peut faire sont sans limites. Il peut dérober des identifiants, transférer des fichiers de données, installer des logiciels malveillants ou même espionner l'utilisateur.

Quels signes indiquent une attaque de l’homme du milieu ?

Un certain nombre de signes peuvent vous mettre en garde contre une attaque par interception :

• Les réseaux Wi-Fi ouverts / publics
• Les SSID suspects (noms de réseaux Wi-Fi) qui semblent anormaux
• Les attaques de réseaux Wi-Fi Evil Twin qui simulent des réseaux connus, comme la présence de multiples réseaux « StarbucksFreeWiFi » au même endroit. Le cas échéant, il se peut que l'un d'entre eux soit factice et serve à détourner le trafic des utilisateurs par le biais d'une attaque MiTM

Une fois votre connexion interceptée, un pirate peut l'utiliser pour injecter de nombreuses choses dans votre appareil. Voici certains des signes qui indiquent que votre connexion a déjà été interceptée :

• Des fenêtres intempestives ou des pages de portail invasives qui demandent la saisie d'identifiants
• L'affichage de pages de connexion ayant l'air illégitimes
• Des fenêtres intempestives de fausse mise à jour de logiciels
• Des messages indiquant une erreur de certificat

Comment fonctionnent les attaques par interception ?

Il existe plusieurs types de techniques d'attaques MitM. Voici quelques exemples :

• Reniflage (Sniffing) : les pirates utilisent des outils de capture de paquets pour inspecter les paquets ou, en utilisant un appareil de surveillance sans fil (disponible sur Amazon pour moins de 100 USD), ils peuvent voir les paquets adressés à d'autres hôtes
• Injection de paquets : un pirate peut alors utiliser l'appareil de surveillance pour injecter des paquets malveillants dans les flux de communication des données, en les masquant au sein même de la communication
• Détournement de session (Session hijacking) : même si un pirate ne peut pas voir votre mot de passe, il peut toujours prendre le contrôle d'une session existante sur des services en ligne, comme les comptes de réseaux sociaux, par exemple
• SSL Stripping : les pirates utilisent l'enlèvement de SSL pour intercepter des paquets et altérer leurs requêtes d'adresses basées sur HTTPS pour accéder à la version HTTP du site demandé

Que devez-vous faire si vous pensez avoir été victime d'un homme du milieu ?

Un homme du milieu espionne votre connexion. Que faire maintenant ?

• Désactivez le Wi-Fi et utilisez plutôt la connexion de votre cellulaire
• Transférez votre connexion sur la solution VPN (réseau virtuel privé) ou ZTNA (accès réseau Zero-Trust) de votre entreprise, si disponible
• Restez attentif aux avertissements de vol d'identité et enregistrez une alerte de fraude sur votre compte de carte de crédit
• Ne vous connectez à aucun site web non sécurisé
• Faites attention aux sites d'hameçonnage (phishing) qui peuvent se faire passer pour des pages web fiables

Comment vous protéger des attaques de l'homme du milieu ?

Étant donné que les attaques par interception sont vraiment difficiles à détecter, votre meilleure solution reste la prévention. Restez à l'abri des attaques MitM en suivant ces conseils :

• Si vous devez utiliser votre banque en ligne dans un endroit public, désactivez votre Wi-Fi et utilisez plutôt la connexion de votre cellulaire
• Utilisez une solution VPN ou ZTNA, si disponible
• Modifiez les réglages de configuration afin que, par défaut, vos appareils ne se connectent pas automatiquement au Wi-Fi
• Vérifiez le chiffrement : vous pouvez établir si un site web est chiffré en regardant si, au niveau du https, il y a un symbole de verrou au début de l'URL
• Si vous êtes connecté à un Wi-Fi public, ne faites aucune transaction bancaire, ni ne saisissez jamais vos identifiants de connexion à votre compte
• Si vous devez vous connecter à un réseau Wi-Fi ouvert, indiquez à votre appareil « d'ignorer » le réseau, afin qu'il ne s'y connecte pas automatiquement