Man-in-the-Middle
L'attaque Man-in-the-Middle, littéralement via « l'homme du milieu », consiste pour le pirate à intercepter en catimini et à relayer des messages entre deux parties qui pensent communiquer directement entre elles.
Elle constitue une menace grave pour la sécurité car le pirate est à même de capturer et de manipuler des informations sensibles en temps réel. Ce type d'attaque va au-delà de la simple écoute puisque le pirate contrôle toute la conversation. Parfois appelée détournement de session, l'attaque de type Man-in-the-middle risque d'autant plus de réussir que le pirate peut se faire passer pour chacune des parties sans que celles-ci ne s'en rendent compte.
Les attaques d'intercepteur commencent couramment par la diffusion d'un logiciel malveillant (malware). Grâce à lui, le pirate aura accès au navigateur Web d'un utilisateur et aux données envoyées ou reçues lors des transactions et des conversations. Une fois que le pirate a pris la main, il peut rediriger les utilisateurs vers un site frauduleux qui ressemble à celui qu'ils recherchent.
Il peut alors ouvrir une connexion vers le véritable site et fonctionner comme un relais qui lit, insère et modifie le trafic entre l'utilisateur et le site légitime. Les sites de banque en ligne et de commerce électronique sont des cibles privilégiées de telles attaques : le pirate tente alors de se procurer les informations d'identification et d'autres données sensibles.
Pour prévenir les attaques d'intercepteur, la plupart des protocoles de chiffrement incluent une forme d'authentification du terminal. Par exemple, le protocole TLS peut exiger l'authentification d'une ou des deux parties par une autorité de certification que les deux jugent fiable. Mais si les utilisateurs ne tiennent pas compte des avertissements qui s'affichent lorsqu'un certificat suspect leur est présenté, il est toujours possible de perpétrer une attaque Man-in-the-Middle à l'aide d'un faux certificat ou d'une contrefaçon.
Un pirate peut aussi exploiter les failles de sécurité dans la configuration d'un routeur sans fil dues à l'utilisation d'un mot de passe par défaut ou faible. Par exemple, un routeur devenu malveillant (parfois appelé « Evil Twin ») installé dans un café, un hôtel ou un autre lieu public peut intercepter les informations transmises via le routeur d’un hotspot corrompu.
Parmi les autres méthodes d'attaques de ce type, citons l'usurpation de protocole ARP (Address Resolution Protocol), l'usurpation de DNS (Domain Name System), l'attaque STP (Spanning Tree Protocol), le vol de port, l'usurpation de protocole DHCP, la redirection ICMP (Internet Control Message Protocol), la création de tunnels sur le réseau et la modification d'itinéraire.