Quest-ce que MitM ?

Pour que votre appareil puisse communiquer avec tout autre appareil dont il a besoin pour s'y connecter. Si l'autre appareil est physiquement présent, c'est assez simple. Vous pouvez simplement faire passer un câble entre les deux appareils. Il leur est nécessaire de partager une sorte de norme de communication, mais le principe de base demeure. Bien entendu, la plupart des appareils avec lesquels vous souhaitez communiquer ne sont pas physiquement présents. Au lieu de cela, vous devez vous y connecter via un réseau informatique, généralement avec Internet.

Le problème avec cela est qu'il y a maintenant potentiellement de nombreux messagers qui doivent faire passer vos communications dans les deux sens. Pour communiquer correctement par le biais d'intermédiaires, vous devez pouvoir leur faire confiance. Alternativement, vous devez être en mesure de vous assurer qu'ils ne peuvent pas lire ou modifier vos communications. C'est la base du cryptage. Il vous permet de communiquer en toute sécurité sur un canal non sécurisé.

Le fait est que même avec le cryptage en jeu, il y a encore de mauvais acteurs qui essaient d'accéder à des informations sensibles. Une façon dont ils peuvent essayer de le faire est d'effectuer une attaque Man-in-the-Middle ou MitM.

La mise en place

Pour que MitM fonctionne, l'attaquant doit être l'une des parties transmettant les données auxquelles il souhaite accéder. Il existe plusieurs façons d'y parvenir. La première est relativement simple, exécutez un point d'accès Internet, c'est exactement pourquoi vous devez vous méfier des hotspots Wi-Fi gratuits aléatoires. C'est facile à faire, le problème est qu'il peut ne pas être facile de faire en sorte qu'une personne spécifique se connecte à un réseau spécifique.

Les options alternatives consistent à configurer l'appareil de la victime pour utiliser votre appareil comme serveur proxy ou pour être un FAI pour la victime. De manière réaliste, si un attaquant peut configurer son appareil pour qu'il soit utilisé comme proxy, il a probablement plus qu'assez d'accès à votre ordinateur pour obtenir les informations qu'il souhaite. Théoriquement, le FAI de n'importe qui pourrait également les cibler lorsque leur trafic passe par leur FAI. Un fournisseur de VPN/proxy est exactement dans la même position que le FAI et peut ou non être aussi digne de confiance.

Remarque : Si vous envisagez d'obtenir un VPN pour vous protéger contre votre FAI, il est important de comprendre que le fournisseur VPN devient alors votre FAI effectif. En tant que tels, tous les mêmes problèmes de sécurité devraient également s'appliquer à eux.

MitM passif

Bien que de nombreux appareils puissent être en position MitM, la plupart d'entre eux ne seront pas malveillants. Pourtant, le cryptage protège de ceux qui le sont et contribue à améliorer votre vie privée. Un attaquant en position MitM peut simplement utiliser sa position pour "écouter" le flux de trafic. De cette façon, ils peuvent suivre certains détails vagues du trafic crypté et lire le trafic non crypté.

Dans ce type de scénario, un attaquant en position MitM peut toujours lire ou modifier le trafic non chiffré. Seul le cryptage empêche cela.

MitM actif

Un attaquant qui s'est donné la peine de se retrouver dans cette position peut ne pas être nécessairement satisfait de ne lire/modifier que des données non chiffrées. En tant que tels, ils peuvent essayer d'effectuer une attaque active à la place.

Dans ce scénario, ils s'insèrent complètement au milieu de la connexion en agissant comme un intermédiaire actif. Ils négocient une connexion « sécurisée » avec le serveur et tentent de faire de même avec l'utilisateur final. C'est là que les choses s'effondrent généralement. Autant qu'ils peuvent absolument faire tout cela, l'écosystème de chiffrement a été conçu pour gérer ce scénario.

Chaque site Web HTTPS sert un certificat HTTPS. Le certificat est signé par une chaîne d'autres certificats menant à l'un des quelques « certificats racine » spéciaux. Les certificats racine sont spéciaux car ils sont stockés dans le magasin de certificats de confiance de chaque appareil. Chaque appareil peut donc vérifier si le certificat HTTPS qui lui a été présenté a été signé par l'un des certificats racine dans son propre magasin de certificats de confiance.

Si le processus de vérification du certificat ne se termine pas correctement, le navigateur affichera une page d'avertissement d'erreur de certificat expliquant les bases du problème. Le système d'émission de certificats est configuré de telle manière que vous devez être en mesure de prouver que vous êtes le propriétaire légitime d'un site pour persuader toute autorité de certification de signer votre certificat avec son certificat racine. En tant que tel, un attaquant ne peut généralement utiliser que des certificats invalides, ce qui fait que les victimes voient des messages d'erreur de certificat.

Remarque : l'attaquant pourrait également convaincre la victime d'installer le certificat racine de l'attaquant dans le magasin de certificats de confiance, auquel cas toutes les protections sont brisées.

Si la victime choisit "d'accepter le risque" et d'ignorer l'avertissement du certificat, l'attaquant peut lire et modifier la connexion "cryptée" car la connexion est uniquement cryptée vers et depuis l'attaquant, pas jusqu'au serveur.

Un exemple moins numérique

Si vous avez du mal à comprendre le concept d'une attaque Man-in-the-Middle, il peut être plus facile de travailler avec le concept de courrier « escargot » physique. Le bureau de poste et le système sont comme Internet mais pour l'envoi de lettres. Vous supposez que toute lettre que vous envoyez passe par l'ensemble du système postal sans être ouverte, lue ou modifiée.

La personne qui livre votre message, cependant, est dans une position parfaite d'homme du milieu. Ils pouvaient choisir d'ouvrir n'importe quelle lettre avant de la livrer. Ils pouvaient alors lire et modifier à volonté le contenu de la lettre et la refermer dans une autre enveloppe. Dans ce scénario, vous ne communiquez jamais vraiment avec la personne que vous pensez être. Au lieu de cela, vous communiquez tous les deux avec la personne curieuse.

Un tiers qui peut vérifier les signatures (cryptographiquement sécurisées) peut au moins vous dire que quelqu'un est en train d'ouvrir votre courrier. Vous pouvez choisir d'ignorer cet avertissement, mais vous feriez bien de ne rien envoyer de secret.

Vous ne pouvez pas faire grand-chose à propos de la situation autre que de changer le système sur lequel vous communiquez. Si vous commencez à communiquer par e-mail, le posteur ne peut plus lire ni modifier vos messages. De même, se connecter à un réseau différent, et idéalement fiable, est le seul moyen de refuser l'accès à l'attaquant tout en restant capable de communiquer.

Conclusion

MitM signifie Man-in-the-Middle. Cela représente une situation où un messager dans la chaîne de communication surveille et modifie potentiellement les communications de manière malveillante. En règle générale, le risque le plus élevé concerne le premier saut, c'est-à-dire le routeur auquel vous vous connectez. Un hotspot Wi-Fi gratuit en est le parfait exemple. Un attaquant en position MitM peut lire et éditer des communications non chiffrées. Ils peuvent également essayer la même chose avec des communications cryptées, mais cela devrait entraîner des messages d'erreur de validation de certificat. Ces messages d'avertissement de validation de certificat sont la seule chose qui empêche un attaquant de pouvoir également préparer et modifier le trafic chiffré. Cela fonctionne parce que les deux parties communiquent avec l'attaquant plutôt qu'entre elles. L'agresseur se fait passer pour l'autre partie auprès des deux parties.