Man-in-the-Middle: conseils de détection et de prévention

Une attaque Man-in-the-Middle est une forme de cyberattaque qui utilise des méthodes pour intercepter des données afin d'infiltrer une connexion ou un processus de communication existant. Un attaquant peut être un auditeur passif dans votre conversation, voler furtivement des informations, ou un participant actif, modifier le contenu de vos messages ou usurper l'identité de la personne ou du système à qui vous pensez parler.



Pensez au 20e siècle, lorsque beaucoup avaient des lignes fixes avec plusieurs combinés et qu'un membre de la famille pouvait décrocher pendant qu'un autre parlait. Vous pourriez même ne pas soupçonner que quelqu'un d'autre vous écoute jusqu'à ce qu'il commence à se coincer dans la conversation. C'est le principe d'une attaque de type «homme du milieu».

Comment fonctionne une attaque de type «homme du milieu»?

La plupart des attaques man-in-the-middle, quelles que soient les méthodes utilisées, ont une séquence d'actions simple. Considérons-le en utilisant l'exemple de trois personnages: Alice, Bob et Chuck (l'attaquant).

1. Chuck surprend secrètement la chaîne sur laquelle Alice et Bob communiquent
2. Alice envoie un message à Bob
3. Chuck intercepte et lit le message d'Alice à l'insu d'Alice ou de Bob.
4. Chuck modifie les messages entre Alice et Bob, créant des réponses indésirables ou dangereuses

Les attaques de l'homme du milieu sont généralement utilisées au début de la chaîne de mise à mort - pendant la reconnaissance, l'invasion et l'infection. Les attaquants utilisent souvent des attaques man-in-the-middle pour collecter des informations d'identification et des informations sur leurs cibles.



L'authentification multifacteur peut être une défense efficace contre le vol d'informations d'identification. Même si un attaquant découvre votre nom d'utilisateur et votre mot de passe, il aura besoin de votre deuxième facteur d'authentification pour les utiliser. Malheureusement, dans certains cas, la protection multifacteur peut être contournée .



Voici un exemple pratique d'une attaque d'intermédiaire dans la vie réelle sur Microsoft Office 365, où un attaquant a contourné l'authentification multifacteur:

1. , Microsoft, .
2. - .
3. Microsoft, .
4. Microsoft .
5. -.
6. - .
7. Evilginx cookie- .
8. Microsoft, cookie- Office 365 . .

Vous pouvez regarder une démonstration en direct de cette attaque lors de nos séminaires hebdomadaires sur les cyberattaques .

Méthodes et types d'attaques man-in-the-middle

Voici quelques tactiques courantes utilisées par les attaquants pour devenir «l'homme du milieu».

1. ARP-
   
   
   
   (ARP) — , (MAC) IP- .
   
   
   
   , . , ( ) . , . , .
   
   
   
   
   • ( ) ().
   • , .
   • ARP, , .
   • « » (DoS), , ARP.
   • , , , « » .
   
   
   
2. DNS
   
   
   
   DNS , DNS, . Google, Google, , , :
   
   
   
   
   • , DNS-.
   • , .
   • , DNS-, www.example.com IP-.
   • www.example.com , DNS- , IP- !
   • -, , - . , , DNS- www.example.com.
   
   
   
3. HTTPS
   
   
   
   HTTPS , «». S secure — . , , . - HTTPS, , URL- . , - , «» «», . example.com: URL www.exmple.com, «» example . , , «», -.
   
   
   
   
   • - www.example.com «» - , , .
   • () -.
   • .
   • .
   • www.example.com, « », .
   
   
   
4. Wi-Fi
   
   
   
   Wi-Fi Wi-Fi . — , , , .
5. 
   
   
   
   — « », , - (, ), cookie- . Live Cyber Attack, .
   
   
   
   cookie- , - , . ( ) , , .
   
   

Quelle est la fréquence des attaques de type "homme du milieu"?

Les attaques de type `` homme du milieu '' existent depuis longtemps et, bien qu'elles ne soient pas aussi répandues que le phishing, les logiciels malveillants ou même les ransomwares, elles font généralement partie d'une attaque ciblée complexe dans laquelle l'attaquant a des intentions claires. Par exemple, un attaquant qui veut voler un numéro de carte bancaire peut trouver ces données en interceptant le trafic Wi-Fi dans un café. Un autre attaquant pourrait utiliser des attaques man-in-the-middle dans le cadre d'un plan plus large visant à pénétrer le réseau d'une grande entreprise. Notre laboratoire d'attaque man-in-the-middle montre comment un attaquant peut utiliser des logiciels malveillants pour intercepter le trafic réseau et infiltrer les e-mails d'entreprise.

Comment détecter une attaque de type `` homme du milieu ''

Les attaques de l'homme du milieu sont subtiles, mais leur présence laisse toujours des traces dans l'activité normale du réseau, et les professionnels de la cybersécurité et les utilisateurs finaux peuvent trouver ces traces. Il est généralement admis que la prévention vaut mieux que la détection.

Signes d'une attaque d'homme du milieu

Voici quelques signes indiquant que vous pouvez avoir des auditeurs non invités sur vos réseaux:

• Déconnexion inattendue ou répétée: les attaquants forcent les utilisateurs à se déconnecter afin d'intercepter le nom d'utilisateur et le mot de passe lorsqu'ils tentent de se reconnecter. En surveillant les déplacements imprévus ou récurrents, vous pouvez anticiper à l'avance un tel comportement dangereux.
• : - , . , DNS. , www.go0gle.com www.google.com.
• Wi-Fi: , , Wi-Fi. , « » , . Wi-Fi , , Wi-Fi.

« »

Voici quelques conseils pour vous protéger, vous et vos réseaux, contre les attaques de type "man-in-the-middle". Cependant, aucun d'entre eux ne garantit une fiabilité à 100%.

Bonnes pratiques générales

Le respect des règles générales de cybersécurité vous aidera à vous protéger contre les attaques man-in-the-middle:

• Connectez-vous uniquement à des routeurs Wi-Fi sécurisés ou utilisez la connexion cryptée de votre opérateur sans fil. Connectez-vous aux routeurs qui utilisent le protocole de sécurité WPA2. Cela n'offre pas une sécurité absolue, mais c'est toujours mieux que rien.
• Utilisez un VPN pour crypter le trafic entre les terminaux et le serveur VPN (sur votre réseau d'entreprise ou sur Internet). Si le trafic est chiffré, il est plus difficile pour «l'homme du milieu» de l'intercepter ou de le modifier.
• , (Zoom, Teams . .)
• , .
• HTTPS-, .
• , .
• DNS HTTPS — , DNS DNS-.
• « », , , .
• « » (, ).

« »?

Le cryptage de bout en bout aidera à empêcher un attaquant de lire vos messages réseau, même s'il écoute votre trafic. Avec le cryptage, l'expéditeur et le destinataire utilisent une clé partagée pour crypter et décrypter les messages en transit. Sans cette clé, vos messages ressembleront à un tas de caractères aléatoires, et «l'homme du milieu» ne pourra pas en profiter.



Le chiffrement rend difficile pour un attaquant d'intercepter et de lire les données du réseau, mais il est toujours possible et ne fournit pas une protection complète contre la divulgation de vos informations, car les attaquants ont développé des méthodes pour contourner le chiffrement.



Par exemple, dans notre laboratoire étudiant les attaques man-in-the-middleNous démontrons comment un attaquant peut voler un jeton d'authentification contenant un nom d'utilisateur, un mot de passe et des informations d'authentification multifacteur pour se connecter à un compte de messagerie. Une fois que le cookie de session est détourné, peu importe si la communication entre le client et le serveur est cryptée - le pirate se connecte simplement en tant qu'utilisateur final et peut accéder aux mêmes informations que cet utilisateur.

L'avenir des attaques man-in-the-middle

Les attaques de type `` homme du milieu '' resteront un outil efficace dans l'arsenal d'un attaquant tant qu'elles pourront intercepter des données sensibles telles que les mots de passe et les numéros de carte bancaire. Il y a une course aux armements constante entre les développeurs de logiciels et les fournisseurs de services réseau d'une part et les cybercriminels d'autre part pour éliminer les vulnérabilités que les attaquants utilisent pour lancer leurs attaques.



Prenons, par exemple, l'expansion massive de l' Internet des objets (IoT)depuis quelques années s. Les appareils IoT ne répondent pas encore aux normes de sécurité et n'ont pas les mêmes capacités que les autres appareils, ce qui les rend plus vulnérables aux attaques man-in-the-middle. Les attaquants les utilisent pour entrer dans le réseau d'une organisation et passer ensuite à d'autres méthodes. Qui aurait pensé qu'un réfrigérateur avec accès à Internet n'est pas seulement un nouvel appareil sophistiqué, mais aussi une faille dans le système de sécurité? Les cybercriminels le savent!



Réseaux sans fil étendus tels que la 5G, Est une autre opportunité pour les attaquants d'utiliser des attaques d'intermédiaire pour voler des données et infiltrer les organisations. Cela a été amplement démontré lors de la conférence sur la sécurité informatique BlackHat 2019. Les entreprises de technologie sans fil ont la responsabilité de corriger les vulnérabilités comme celles présentées sur BlackHat et de fournir une épine dorsale sécurisée aux utilisateurs et aux appareils.



Les tendances actuelles sont telles que le nombre de réseaux et d'appareils connectés à ceux-ci augmente, ce qui signifie que les attaquants ont plus d'opportunités d'utiliser des méthodes d'intermédiaire. Connaître les signes révélateurs d'une attaque de type «homme du milieu» et appliquer des techniques de détection peut vous aider à détecter les attaques avant qu'elles ne causent des dégâts.



Visitez notreLive Cyber ​​Attack Workshop , dans lequel nous démontrons comment un attaquant de type intermédiaire peut intercepter le jeton d'authentification d'un utilisateur afin d'infiltrer et de voler des données sensibles. Nous montrerons également comment Varonis peut détecter ce type d'attaque.