Man in the middle : attaque en se plaçant sur un parcourt de données, par exemple chez le FAI, et à les intercepter (avant qu'elles ne soient cryptées).

cr  01.04.2012      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Les attaques MITM (Man-In-The-Middle) ou HDM (Homme Du Millieu) sont des attaques dans lesquelles l'attaquant s'interpose entre deux communicants, à l'insu de l'un et de l'autre, en investissant le canal de communication.

Les attaques MITM (Man-In-The-Middle) ou HDM (Homme Du Millieu) ne sont pas des théories mais des pratiques permanentes du monde réel, causant des ravages en espionnages économiques, en espionnages politiques, en espionnages industriel, en espionnages des vies privées, etc. ...

Physiquement, l'écoute se pratique :

• Au niveau des opérateurs téléphoniques et au niveau des FAI (Fournisseur d'Accès Internet), où du matériel ou des logiciels sondes sont implantés, officiellement (exigences gouvernementales secrètes) ou officieusement, voire de manières criminelles.
• Sur le chemin des données, lorsque le flux passe par des proxys.

L'écoute de flux non chiffrés
L'écoute de flux non chiffrés ne pose aucune difficulté.

L'écoute des flux chiffrés (cryptés)
L'attaque MITM (Man-In-The-Middle) peut être passive et, si l'algorithme de chiffrement utilisé est faible, les flux peuvent être décryptés. L'attaque MITM (Man-In-The-Middle) peut être active.

• L'écoute de flux chiffrés par des systèmes de cryptographie symétriques
  L'écoute de flux chiffrés par des systèmes de cryptographie symétriques est totalement faillible avec un dispositif d'écoute MITM (Man-In-The-Middle) car les correspondants doivent échanger leurs clés or, tant qu'ils n'ont pas échangé leurs clés, incluant le flux d'échange des clés elles-mêmes, flux qui n'est pas encore chiffré, il est possible de lire les clés de chiffrement. Donc si un dispositif d'écoute MITM (Man-In-The-Middle) est utilisé, tous les échanges chiffrés, en cryptographie symétrique, sont déchiffrables.
• L'écoute de flux chiffrés par des systèmes de cryptographie asymétriques
  L'écoute de flux chiffrés par des systèmes de cryptographie asymétriques peut régler le problème. Les deux communicants disposent chacun d'une clé publique (qui sert à chiffrer) et d'une clé privée (qui sert à déchiffrer). L'échange des clés publiques se fait publiquement et leur interception n'est pas un problème. La condition est que l'échange des clés privées se fasse de manière totalement sécurisée (de la main à la main ou par un autre moyen sûr et hors de l'Internet, par un tiers de confiance, par téléphone (encore que, si un correspondant est ciblé sur l'Internet, il y a des chances que ses téléphones soient écoutés également - et ils le sont systématiquement, pour tout le monde, si les échanges sont numériques comme avec les SMS et les eMail), avec reconnaissance vocale ou biologique, etc. ... Dans ce cas, et à condition, bien sûr, que l'algorithme de chiffrement utilisé soit sûr, il sera impossible, par une attaque MITM (Man-In-The-Middle), de décrypter les flux.
  
  Des outils de DPI (Deep Packet Inspection) et DCI (Deep Content Inspection) permettent de détecter des paquets non chiffrés.
  
  Il subsiste une difficulté : un attaquant MITM (Man-In-The-Middle) pourrait substituer les clés publiques par les siennes. Il serait alors en mesure d'intercepter les flux chiffrés, de les déchiffrer avec ses propres clés privées, puis de les chiffrer à nouveau avec la clé publique d'origine et permettre au flux de poursuivre sa route vers le destinataire. Les deux correspondants ne s'aperçoivent de rien et l'attaquant voit tout en clair. C'est pourquoi les dispositifs de cryptographie asymétrique se font dans le cadre d'infrastructures à clés publiques incluant la gestion de certificats permettant de s'assurer que les correspondants sont bien qui ils prétendent être et que les clés publiques sont bien les leurs. Les connections sécurisées SSL (Secure Sockets Layer) utilisées dans le protocole de communication HTTPS, par exemple, permettent, avec un certificat délivré par une autorité de certification, d'authentifier l'un ou les deux communicants.

Exemples d'attaques MITM : « Man in the middle » (HDM : « Homme du Milieu »)

• Attaque « Homme du milieu » (« Man in the middle ») - sslstrip contre HTTPS

  Aucun « Permis de PC » n'existe et aucune information n'est réellement diffusée auprès des utilisateurs (les banques ont quelques pages d'information peu accesibles et peu utiles). La raison en est qu'il n'est pas question de faire peur aux « clients » avec les risques du Web. Cela risque de fraîner le développement des services sur le Web et le développement tous azimuts de l'industrie informatique. En conséquence :

  • Il est rare qu'un internaute surveille le protocole utilisé pour naviguer sur un site Internet.
  • Il est rare qu'un internaute sache ce qu'est HTTPS par rapport à HTTP.
  • Il est rare qu'un internaute sache ce qu'est un certificat d'authentification.

  Il faut pourtant bien comprendre que « Le Web, c’est dangereux ».

  Un chercheur en sécurité et insécurité informatique connu sous le pseudo de « Moxie Marlinspike » a présenté à la conférence Black Hat de février 2009, une démonstration d'une attaque relativement simple contre HTTPS. Il a compromis un dispositif (un " proxy ") se trouvant sur le chemin vers un serveur utilisant HTTPS et a remplacé à la volée le protocole HTTPS en HTTP, avec imitation de l'icône de confiance (le cadena fermé), tout en laissant croire au serveur et au client (avec un faux certificat), que tout le trafic est en HTTPS. Les données très privées (comptes, cartes bancaires, etc. ...) envoyées par les internautes le sont en clair, sans aucun chiffrement. Il suffit de les lire, en clair, sur le proxy, tandis qu'elles transitent vers le serveur du site visité par l'internaute piégé.

  Les transparents (slides) utilisés lors de cette conférence

  Les mêmes transparents (slides) avec la bande son de ses commentaires (en anglais) présentant son attaque, appelée sslstrip (1 h 09').

  Cette attaque est maintenue à jour (dernière modification notée : 15 mai 2011) et a son code en Open source et un développement public sur github.

• Attaque « Homme du milieu » ("Man in the middle") - Nokia contre HTTPS et tous ses utilisateurs

  10.01.2013 - Attaque "Man-in-the-middle" conduite systématiquement par le fabricant de smartphones Nokia et son navigateur pour smartphone Xpress Browser contre toutes les communications en HTTPS de tous les utilisateurs de ses Smartphones. La réponse laconique de Nokia laisse sans voix. En substance : "Oui, nous décryptons vos communication HTTPS mais ne vous inquiétez pas pour celà !".

  Cela concerne toutes les communications, incluant les établissements de connexions sécurisées vers les banques, les emails chiffrés, etc. ... 1; 2; 3; 4.

  Déclaration du chercheur Gaurang Pandya

  « D'après les tests effectués, il est évident que Nokia effectue une attaque « Man In The Middle » sur le trafic HTTPS sensible provenant de leurs téléphones et, donc, ils ont accès à des informations en texte clair incluant les identifiants de ses utilisateurs sur divers sites tels que les réseaux sociaux, les services bancaires, les informations de carte bancaires ou tout ce qui est sensible par nature. »

  Pour un cybercriminel (ce qu'est Nokia dans cette affaire) qui se fait prendre à décrypter HTTPS, combien le font en silence, à l'insu de tous ?...

• Attaque « Homme du milieu » ("Man in the middle") - Quantum contre HTTPS

  20.09.2013 - Le magazine Der Spiegel révèle que l'agence britannique de surveillance des communications espionnait, depuis 2010, le principal opérateur téléphonique belge, l'entreprise d'état Belgacom, qui a notamment comme clients la Commission Européenne, le Conseil Européen et le Parlement Européen. Sous le nom de code "Operation Socialist", le GCHQ a infiltré le réseau informatique interne de cette entreprise à l'aide de Chevaux de Troie portant le nom de "Quantum Insert". Cette opération visait notamment la filiale BICS de Belgacom, qui a comme autres actionnaires l'opérateur suisse Swisscom et l'opérateur sud-africain Telekomkonzern. L'objectif principal de ce cyber-espionnage était d'être capable de surveiller le contenu de communications de "cibles" utilisant des smartphones, grâce à une technique appelée "Man-in-the-Middle". Voir Prism et compagnie.

  Le 4 octobre 2013, le Guardian révèle, avec le support de l'expert en sécurité informatique Bruce Schneier, que la NSA et le GCHQ ont déployé sur internet un réseau secret de "serveurs" (nom de code Quantum), capables d'intercepter les requêtes adressées à des sites internet par des personnes ciblées. L'interception du flux est rendu possible grâce aux partenariats avec les opérateurs internet qui permettent aux agences de placer leurs serveurs aux points névralgiques du réseau internet. Ce dispositif est complété par un deuxième réseau secret de serveurs (nom de code FoxAcid) capables d'injecter un logiciel malveillant dans la requête internet. Ainsi, avec cette technique de détournement appelée "Man-in-the-middle", un internaute ciblé navigue sans se rendre compte qu'un logiciel malveillant s'est installé à son insu sur son équipement en exploitant une vulnérabilité.

• Une forme d'attaque assimilable à une attaque MITM (Man-In-The-Middle)

  Les usurpations d'identités peuvent, par certains côtés, être assimilées à des attaques MITM (Man-In-The-Middle). Dans ce cas (arrestation du 03 mars 2004), une personne se fait passer, sur un site de petites annonces, pour un employeur potentiel cherchant une nounou. Une candidate répond en donnant ses références d'anciens employeurs et quelques identifiants administratifs. L'escroc se fait alors passer pour la candidate et postule en tant que nounou auprès de familles, employeurs potentiels, en produisant les références obtenues. Une fois embauchée, elle escroque (vols, etc. ...) les foyers et disparaît.

1. ↑ [01] 10.01.2013 - Nokia espionne tous les utilisateurs de ses smartphone avec un dispositif Man in the Middle