Attaque de l'homme du milieu

Les attaques du type "l'homme du milieu" ou "man in the middle attack" en anglais mettent en scène trois parties :

  • le client, c'est-à-dire l'internaute,
  • le serveur, c'est à dire le site Internet auquel se connecte l'internaute,
  • et le pirate.

L'objectif du pirate dans ce type d'attaque consiste à se faire passer pour le client auprès du serveur et à usurper l'identité du serveur auprès du client. Devenant ainsi "l'homme du milieu", le pirate espionne les communications entre le client et le serveur dans le but de collecter des données en les modifiant ou non durant leur transmission.

Les méthodes employées par les pirates

Plus ou moins complexes selon le type de réseau et de connexion (Internet, réseau local, WIFI, ...), les attaques "Man in the middle" s'effectuent à l'aide de logiciels spécifiques (sniffer) et quelques adaptations techniques.

Pour instaurer une attaque "man in the middle" via Internet, le pirate doit être en mesure d'observer les deux parties en présence. Il lui faut pour cela connaître les adresses IP du client (l'internaute) et du serveur (le site Internet).

Si obtenir l'adresse IP d'un serveur ne prend que quelques secondes pour un initié, il faut en revanche faire preuve d'ingéniosité pour obtenir celle d'un internaute disposant d'un accès à un site bancaire et le contraindre à se connecter au site. La méthode généralement employée est celle du phishing, c'est à dire l'envoi d'un courriel en se faisant passer pour l'établissement bancaire.

Les deux adresses IP en sa possession, le pirate oblige les communications entre le client et le serveur à transiter par son ordinateur après l'exécution d'une manipulation. Si la connexion n'est pas sécurisée, il peut prendre immédiatement connaissance des échanges et/ou en modifier le contenu ou la nature.

Dans le cadre d'une connexion sécurisée symétrique, où le client dispose d'une clé publique de cryptage et le serveur dispose d'une clé privée de décryptage, ce type d'attaque devient bien plus difficile à mettre en oeuvre car le pirate doit impérativement émettre un faux certificat de sécurité en direction du client s'il souhaite déchiffrer les données. Les tentatives de piratage peuvent donc être déjouées si le client inspecte scrupuleusement et systématiquement le certificat de sécurité des sites auxquels il se connecte.

Dans le cadre d'une connexion sécurisée asymétrique, où le client et le serveur disposent tous deux de clés publiques de cryptage et de clés privées de décryptage, ce type d'attaque ne présente plus aucun intérêt car le pirate ne sera jamais en mesure de déchiffrer les échanges, celui-ci ne pouvant disposer des clés privées de décryptage.

 

Comment se prémunir d'une attaque "man in the middle"

Dans le cadre d'une connexion standard, c'est à dire non sécurisée, les attaques de type "man in the middle" se révèlent indétectables pour un internaute ne disposant pas de solides connaissances informatiques.

En revanche, pour les connexions sécurisées dont sont équipés les sites de banque à distance, c'est à dire les connexions symbolisées par le mode HTTPS:// et l'apposition d'un petit cadenas dans le navigateur aux côtés de la barre d'adresse et/ou de statut, la meilleur des protections demeure la vigilance et l'application des principes suivants :

  • Ne cliquez jamais sur un lien fourni dans un mail expédié par un établissement bancaire même si celui-ci est de nature publicitaire, il peut s'agir d'un stratagème ;
  • Accédez uniquement à votre site de banque à distance en saisissant manuellement son adresse dans le champ de saisie de votre navigateur ;
  • Ne passez jamais outre les alertes de sécurité émises par votre navigateur, à plus forte raison si vous utilisez un point d'accès WI-FI public ;
  • Contrôlez systématiquement le certificat de sécurité du site auquel vous accédez avant de saisir tout identifiant ou mot de passe ;
  • Stoppez votre navigation si le site auquel vous accédez émet une alerte de sécurité concernant la validité de son certificat de sécurité ;
  • Stoppez votre navigation si l'aspect de votre site de banque à distance ou son mode d'authentification ou son adresse de connexion (URL) a changé de manière imprévue ;
  • En cas de doute, n'hésitez pas à contacter par téléphone, l'assistance de votre site de banque à distance.