Qu'est-ce qu'une attaque Man in the Middle (MitM) ? (Et comment les prévenir)

Imaginez découvrir que quelqu'un espionnait toutes vos communications - vos appels téléphoniques, SMS, e-mails, même vos conversations en personne. Et en plus de cela, la personne se faisait passer pour vous ou l'autre personne - ou même les deux. C'est ce qui se passe dans une attaque MITM. L'attaquant ne se contente pas de regarder ce qui se passe, mais il peut agir comme l'une ou les deux parties – à l'insu de l'autre – pour manipuler la communication. Dans cet article, nous expliquerons ce qu'est une attaque MITM, comment elle fonctionne et ce que vous pouvez faire pour empêcher qu'une attaque infecte votre site WordPress.

Qu'est-ce qu'une attaque MITM ?

Les attaques MITM sont plus courantes que vous ne le pensez. Ce type d'attaque de cybersécurité écoute la communication entre deux cibles, comme votre navigateur et un site que vous visitez. Et plus que cela, une attaque MITM peut détourner la conversation afin qu'une ou les deux cibles obtiennent des informations erronées. L'attaquant peut se déguiser en l'une ou l'autre des cibles afin qu'aucune ne se rende compte qu'elle communique avec l'attaquant. Les informations peuvent ensuite être modifiées avant d'être livrées.

Comment fonctionne une attaque MITM ?

Il existe plusieurs types d'attaques MITM courantes. Dans chacun d'eux, cependant, il y a deux étapes principales : intercepter la communication puis décrypter l'information.

Une attaque de point d'accès malveillant , par exemple, peut se produire lorsqu'un appareil équipé d'une carte sans fil tente de se connecter à un point d'accès. L'attaquant peut configurer un point d'accès sans fil et tromper l'appareil pour qu'il s'y connecte. Ensuite, tout le trafic réseau peut être vu et manipulé par l'attaquant.

Un autre exemple est l'attaque d'usurpation ARP . ARP signifie Address Resolution Protocol, et il est essentiellement utilisé pour qu'un hôte puisse déterminer si un autre hôte auquel il parle a une adresse IP connue. Avec l'usurpation ARP, l'attaquant se fait passer pour un hôte et répond aux demandes de vérification IP. L'attaquant peut alors espionner le trafic entre les deux hôtes et extraire des informations qui leur donnent accès aux comptes.

Il existe un certain nombre de techniques utilisées dans les attaques MITM :

• Sniffing : les outils de capture de paquets sont utilisés pour inspecter les paquets, permettant à l'attaquant d'accéder à des informations qu'il ne devrait pas être autorisé à voir.
• Injection de paquets : des paquets malveillants peuvent être injectés dans les flux de communication, se mélangeant de sorte qu'ils ne sont pas perceptibles. Habituellement, le reniflement est un précurseur de cela.
• Détournement de session : lorsqu'un utilisateur se connecte à une application Web, un jeton de session temporaire est généré afin que le nom d'utilisateur et le mot de passe ne soient pas requis chaque fois que l'utilisateur accède à une page différente. Avec le détournement de session, l'attaquant identifie ce jeton de session et agit en tant qu'utilisateur.
• SSL Stripping : les paquets sont interceptés et modifiés de sorte que l'hôte doit envoyer des requêtes non chiffrées au serveur, ce qui signifie que les informations sensibles ne sont plus chiffrées.

La détection de ces types d'attaques est délicate. Vous devez déjà être à la recherche d'une interception ; sinon, une attaque MITM peut passer inaperçue. Heureusement, vous pouvez prendre des mesures pour détecter une attaque avant qu'elle ne se produise au lieu d'attendre d'essayer d'en attraper une en action.

Comment prévenir une attaque MITM

Voici les meilleures pratiques à suivre pour empêcher une attaque MITM :

Modifier les identifiants de connexion du routeur

Vous ne devez jamais conserver les identifiants de connexion par défaut de votre routeur. Si un attaquant est capable de les trouver, ce qui est plus facile si vous utilisez toujours les valeurs par défaut, il peut remplacer vos serveurs par les leurs. Ils pourraient également mettre des logiciels malveillants dans votre routeur.

Appliquer HTTPS

HTTPS est nécessaire pour communiquer en toute sécurité, et cela signifie que l'attaquant ne pourra pas utiliser les données qu'il renifle. Les sites Web ne doivent pas proposer d'alternatives HTTP ; ils ne doivent utiliser que HTTPS. De plus, les utilisateurs peuvent obtenir un plugin de navigateur qui appliquera toujours HTTPS.

Configurer un chiffrement fort

Les points d'accès sans fil nécessitent un cryptage fort si vous voulez empêcher les utilisateurs indésirables à proximité de rejoindre votre réseau. Lorsque votre cryptage est faible, un attaquant peut utiliser une attaque par force brute pour pénétrer dans votre réseau et lancer une attaque MITM.

Utiliser un VPN

Les réseaux privés virtuels (VPN) créent un environnement en ligne sécurisé, ce qui est important si vous avez des informations sensibles stockées. Les VPN utilisent un cryptage basé sur des clés pour créer un espace de communication sécurisé. Même si l'attaquant peut accéder à un réseau partagé, il ne pourra pas comprendre le trafic VPN.

Ce que les utilisateurs de WordPress doivent savoir

Lorsqu'un utilisateur se connecte à WordPress, le nom d'utilisateur et le mot de passe sont soumis dans une requête HTTP - qui n'est pas cryptée. C'est pourquoi il est si important d'utiliser HTTPS pour empêcher un attaquant d'écouter la communication. Heureusement, c'est un jeu d'enfant de configurer cela à l'aide d'un plugin - il y en a plusieurs dans le répertoire des plugins WordPress qui configureront votre site pour qu'il fonctionne sur HTTPS.

En ce qui concerne WordPress, la plus grande préoccupation est qu'une attaque MITM conduira à un piratage WordPress. HTTPS est important car il empêche les attaquants de voir votre nom d'utilisateur et votre mot de passe en texte brut. HTTPS aidera également à protéger votre site WordPress contre d'autres menaces courantes, notamment l'usurpation ARP et le vol de cookies d'authentification.

En plus d'utiliser HTTPS, les meilleures pratiques de renforcement de WordPress contribueront à la sécurité de votre site Web. Ceux-ci inclus:

• Journal d'activité
• Pare-feu
• Limitation des tentatives de connexion infructueuses
• Mots de passe forts
• Authentification à deux facteurs

Il est également utile de connaître les types de sites Web qui sont le plus souvent victimes d'attaques MITM. Les sites où la connexion est requise sont les plus sujets aux attaques MITM, car l'objectif de l'attaquant est généralement de voler des informations d'identification, des numéros de compte, des numéros de carte de crédit, etc. Si vous avez un site Web WordPress où les utilisateurs doivent se connecter - comme pour un site d'adhésion ou pour accéder à un panier d'achat enregistré - vous devez être particulièrement conscient des attaques MIMT.

Foire aux questions sur les attaques MITM

Qu'est-ce qui cause une attaque Man in the Middle ?

Une attaque MITM peut se produire lorsque deux parties ont une interaction non sécurisée. Cela peut être deux personnes qui se parlent via un système de messagerie en ligne ou un transfert de données entre deux hôtes.

Quels sont les signes d'une attaque Man in the Middle ?

Il y a quelques signes révélateurs que vous êtes, ou pourriez être, à proximité d'une attaque Man in the Middle - ou même une victime vous-même :

• Réseaux Wi-Fi ouverts et publics.
• Noms de réseau Wi-Fi suspects.
• Réseaux WiFi maléfiques qui visent à tromper l'utilisateur. Par exemple, StarbucksJoin et StarbucksWiFi. Si vous voyez les deux, l'un pourrait être faux.

Qu'est-ce qu'un homme passif dans l'attaque du milieu ?

Une attaque MITM passive se produit lorsque l'attaquant écoute la communication entre deux parties mais ne prend aucune mesure pour manipuler les données.

Emballer

Savoir que vous avez été victime d'une attaque MITM, que vous consultiez vos e-mails dans un café ou que vous soyez le propriétaire d'un site Web piraté, est effrayant. Penser à quelqu'un qui vous espionne ou qui espionne votre activité en ligne est tout simplement effrayant. Et lorsqu'il s'agit d'informations sensibles – les vôtres ou celles de vos clients, abonnés, etc. – cela peut également nuire gravement à votre vie personnelle et professionnelle. La configuration de HTTPS sur votre site Web WordPress est votre prochaine étape absolue. À partir de là, travaillez à renforcer votre site Web autant que possible. Vous ne pouvez jamais être trop en sécurité.

Pendant que vous y êtes, consultez notre article sur la façon de mener un audit de sécurité WordPress.