Man in the middle : l'attaque par l'homme du milieu

Qu'est-ce qu'une attaque MITM ?

L'attaque Man In The Middle - ou homme du milieu (HDM) - consiste pour un tiers à s'interposer dans une communication sans que les parties concernées n'en aient conscience. Il existe en réalité plusieurs méthodes d'attaque dites Man In The Middle.

En cryptographie, il s'agirait ainsi pour l'assaillant de parvenir à lire, adresser et modifier des messages chiffrés entre deux parties de manière transparente pour ces deux dernières. Pour cela, il devra préalablement écouter le trafic réseau et intercepter les paquets IP. La technique man in the middle peut par conséquent s'appliquer dans un système de chiffrement par clefs publiques, ainsi que dans le protocole d'échange de clefs Diffie-Hellman lorsque celui-ci est utilisé sans authentification.

La paternité de la première mise en œuvre remontrait aux années 90 et serait le fait d'un célèbre pirate, reconverti depuis en expert de la sécurité et auteur : Kevin David Mitnick. Plus précisément, Mitnick aurait utilisé une méthode appelée IP Spoofing afin de s'introduire dans l'ordinateur de Tsutomu Shimomura, un expert de la sécurité en relation avec plusieurs agences gouvernementales américaines.

L'IP Spoofing consiste à forger ses propres paquets IP en modifiant notamment l'adresse IP source. Kevin Mitnick aurait ainsi leurré l'ordinateur de Shimomura en laissant croire que les paquets IP reçus provenaient d'une machine autorisée de la Loyola University de Chicago. A charge de revanche toutefois puisque Shimomura a par la suite collaboré avec le FBI et contribué à sa capture en 1995.

Quelles autres formes d'attaques man in the middle existe-t-il ?

On peut citer notamment l'ARP Spoofing ou ARP Redirect, consistant à corrompre le cache ARP d'une ou des machines cibles. Pour cela, le pirate fait correspondre dans les tables ARP des postes du réseau, une IP à l'adresse MAC de son ordinateur. Le pirate réitère régulièrement l'opération en envoyant des paquets ARP. Il devient ainsi destinataire de tout le trafic à destination d'un poste dont il a usurpé l'adresse, pouvant dès lors écouter et/ou modifier les paquets avant de les acheminer vers le destinataire légitime.

Le phishing fait parfois également appel à la méthode man in the middle. Pour cela, une URL frauduleuse est d'abord créée. Celle-ci permet de faire dialoguer le destinataire d'un email piège avec un site Web légitime, en passant pour cela à travers l'URL fabriquée afin de collecter en temps réel des données sensibles.

L'attaque par rejeu ou replay attack est également considérée comme relevant de la technique MITM. La condition préalable reste d'écouter le réseau et d'intercepter des paquets de données. Dans le cadre du replay attack, ces paquets seront rejoués, c'est-à-dire transmis à un serveur destinataire pour usurper les droits d'un utilisateur légitime.

Les conversations téléphoniques sur IP elles aussi exposées ?

En effet, en convergeant sur le réseau IP, les discussions téléphoniques sont également à la merci d'une écoute. Un intrus interceptera les données et pourra injecter des paquets sur les 2 canaux utilisés en VoIP : signalisation et média.

L'authentification forte des parties impliquées dans les échanges est un élément important. Pour limiter les risques d'interception, la solution est de mettre en place des mécanismes cryptographiques pour les flux de signalisation et de données en chiffrant de bout en bout.

Quels outils sont utilisés pour appliquer ces scénarios d'attaque ?

Plusieurs logiciels, des sniffers, dont certains en Open Source, peuvent être employés pour mener des attaques man in the middle. C'est notamment le cas de Cain & Abel ou encore Ettercap. Une commande Ettercap -T -M arp /192.168.1.127/ /192.168.1.254/, les requêtes de l'adresse 192.168.1.127 à destination de 192.168.1.254 transiteront par une troisième IP à paramétrer par l'intercepteur.

Une application comme Ettercap permettra également d'écouter et de modifier le trafic émis dans un tunnel chiffré en interceptant la requête HTTPS de la victime vers le serveur. Cela suppose toutefois que la victime accepte ensuite le faux certificat qui lui sera présenté.