En bref, une MITM est une attaque par laquelle une tierce partie acc¨¨de aux communications entre deux autres parties, sans qu’aucune de ces deux parties ne s’en rende compte. La tierce partie peut lire le contenu de la communication et dans certains cas, parfois la manipuler. Ainsi, par exemple, si Gerald envoie un message ¨¤ Leila, qu’il souhaite priv¨¦, et que Max intercepte le message, le lit et le transmet ¨¤ Leila, c’est une attaque MITM. Si Gerald veut transf¨¦rer 100 € sur le compte bancaire de Leila, et que Max intercepte la transaction et remplace le num¨¦ro de compte de Leila par le sien, c’est aussi une attaque du MITM (dans ce cas, Max se met ? au milieu ? entre Gerald et sa banque).

Pourquoi devrais-je m’en soucier ?

En partie parce que les attaques MITM peuvent saboter une grande partie de notre mode de vie moderne. Dans une vie connect¨¦e, nous d¨¦pendons de la fiabilit¨¦ et de la s¨¦curit¨¦ de chaque connexion. Il ne s’agit pas seulement de vos conversations, de vos messages et de vos e-mails. Si vous ne pouvez pas faire confiance aux connexions que vous ¨¦tablissez ¨¤ des sites Web et ¨¤ des services en ligne, vous pouvez ¨ºtre vuln¨¦rable ¨¤ la fraude ou ¨¤ l’usurpation d’identit¨¦, et si vos appareils et objets connect¨¦s ne peuvent communiquer de fa?on s?re et fiable, ils peuvent vous mettre en danger ainsi que votre foyer.

Les exemples dans ce billet de blog sont bas¨¦s sur le trafic crypt¨¦ entre humains, mais les attaques MITM peuvent affecter n’importe quel ¨¦change de communication, y compris celles entre appareils et celles avec les objets connect¨¦s (IdO). Les attaques MITM portent atteinte ¨¤ la confidentialit¨¦ et ¨¤ l’int¨¦grit¨¦ des communications et, ce faisant, elles peuvent exposer les donn¨¦es, les appareils et les objets ¨¤ une exploitation malveillante.

Imaginez le danger si un pirate informatique pouvait d¨¦clencher les airbags d’une voiture connect¨¦e ou d¨¦verrouiller ¨¤ distance une serrure ¨¦lectronique de porte. Le fait que les objets connect¨¦s peuvent d¨¦sormais affecter le monde physique introduit de nouveaux facteurs dans l’¨¦valuation des risques, en particulier dans les cas o¨´ l’infrastructure physique (transport, ¨¦nergie, industrie) est automatis¨¦e ou contr?l¨¦e ¨¤ distance. Une attaque MITM sur les protocoles de contr?le de ces syst¨¨mes, o¨´ un attaquant s’interpose entre le contr?leur et l’appareil, pourrait avoir des effets d¨¦vastateurs.

Est-ce quelque chose de nouveau ?

En principe non : les attaques MITM existent depuis aussi longtemps que nous avons d? compter sur les autres pour transmettre nos messages. Quand les gens scellaient leurs lettres avec de la cire et un sceau personnalis¨¦, c’¨¦tait pour se prot¨¦ger contre les attaques MITM. La cire ¨¤ cacheter n’emp¨ºchait pas un tiers de briser la cire et d’ouvrir la lettre : elle devait permettre de savoir facilement s’il l’avait fait, car il lui serait alors difficile de la remplacer et d’imiter l’empreinte laiss¨¦e par le sceau personnalis¨¦ de l’exp¨¦diteur. Ce type de protection est appel¨¦ ? preuve d’inviolabilit¨¦ ?, et nous le voyons aussi dans les produits de consommation, comme l’opercule sous le bouchon d’une bouteille de pilules ou la cellophane qui entoure un paquet de cigarettes.

Si quelqu’un voulait non seulement savoir si sa lettre avait ¨¦t¨¦ falsifi¨¦e, mais voulait aussi que son contenu reste confidentiel, il devait g¨¦n¨¦ralement ¨¦crire la lettre dans un code que seul le destinataire serait capable de d¨¦chiffrer.

Dans un contexte num¨¦rique, nous pouvons voir des ¨¦quivalents pour tous ces cas. Par exemple, si vous envoyez des e-mails non crypt¨¦s, le contenu est visible par tous les interm¨¦diaires et n?uds du r¨¦seau ¨¤ travers lesquels le trafic passe. Un e-mail non crypt¨¦ peut ¨ºtre compar¨¦ ¨¤ l’envoi d’une carte postale : le facteur ou n’importe qui au bureau de tri et toute personne ayant acc¨¨s ¨¤ la bo?te aux lettres du destinataire peut, si elle le souhaite, en lire le contenu. Si vous voulez que seul le destinataire puisse lire le contenu d’un e-mail, vous devez crypter l’e-mail de telle sorte qu’il soit le seul ¨¤ pouvoir le d¨¦crypter, et si vous voulez que personne ne puisse modifier le contenu sans que le destinataire le sache, vous devez appliquer au message un contr?le d’int¨¦grit¨¦, par exemple une signature num¨¦rique.

Ainsi, pour le trafic non crypt¨¦, une ? attaque ? MITM consiste ¨¤ s’assurer que vous avez acc¨¨s au flux de messages entre Gerald et Leila.

Pour le trafic crypt¨¦, ce n’est pas suffisant ; vous verrez probablement que Gerald ¨¦crit ¨¤ Leila, car cette information doit ¨ºtre claire pour que le message soit correctement achemin¨¦. Mais vous ne pourrez pas voir le contenu : pour cela, vous aurez besoin d’acc¨¦der ¨¤ la cl¨¦ utilis¨¦e pour crypter le message. Dans le type de cryptage normalement utilis¨¦ pour s¨¦curiser les messages, le message est crypt¨¦ et d¨¦crypt¨¦ ¨¤ l’aide de deux copies de la m¨ºme cl¨¦, tout comme l’envoi d’un message dans une bo?te ferm¨¦e ¨¤ cl¨¦. Pour que cela fonctionne, Gerald et Leila doivent ¨¦videmment ¨¦changer une copie de la cl¨¦. Donc, dans ce cas, une attaque MITM commencerait par intercepter ce trafic, ce qui donnerait ¨¤ un attaquant (Max) les moyens de d¨¦verrouiller le message apr¨¨s que Gerald l’a envoy¨¦, le lire, le r¨¦-encrypter et le renvoyer ¨¤ Leila, qui n’y verra que du feu.

Ici, nous avons deux ? versions ? d’attaque MITM. La premi¨¨re est d’intercepter le contenu du message lui-m¨ºme ; la seconde est d’intercepter la cl¨¦ utilis¨¦e pour prot¨¦ger le trafic. Sous cet angle, l’interception de messages pourrait simplement consister ¨¤ s’asseoir entre les deux parties en communication et ¨¤ lire le trafic ; l’interception de la cl¨¦ n¨¦cessitera probablement l’usurpation active de l’identit¨¦ des parties en communication. C’est pourquoi les attaques MITM r¨¦ussies vous exposent au risque d’¨ºtre tromp¨¦… parce que, pour qu’elles fonctionnent, vous devez croire que vous parlez ¨¤ votre partenaire pr¨¦vu, m¨ºme si ce n’est pas le cas.

Que puis-je faire alors ?

Une attaque MITM r¨¦ussie ne donnera aux utilisateurs ¨¤ chaque extr¨¦mit¨¦ aucune id¨¦e de ce qui se passe – surtout si elle a ¨¦t¨¦ con?ue dans l’infrastructure elle-m¨ºme. La s¨¦curit¨¦ de ce type de syst¨¨me, dans son ensemble, d¨¦pend de la s¨¦curit¨¦ d’un grand nombre d’¨¦l¨¦ments, qui doivent tous fonctionner correctement. Certains de ces ¨¦l¨¦ments sont entre les mains de l’utilisateur, mais d’autres sont d¨¦tenus et exploit¨¦s par des tiers (tels que les fabricants de navigateurs et les autorit¨¦s de certification).

En tant qu’utilisateur, il est important de comprendre les signes disponibles qui vous indiquent si le syst¨¨me fonctionne comme pr¨¦vu :

• Distinguer une session de navigation s¨¦curis¨¦e d’une session non s¨¦curis¨¦e
• Reconna?tre une signature num¨¦rique valide
• Savoir r¨¦agir de mani¨¨re appropri¨¦e ¨¤ l’avertissement d’un certificat

Il est ¨¦galement important de pratiquer une bonne hygi¨¨ne de s¨¦curit¨¦ avec vos mots de passe et vos cl¨¦s. Bien s?r, des syst¨¨mes bien con?us vous faciliteront la t?che, mais malheureusement, tous les syst¨¨mes ne sont pas d¨¦velopp¨¦s ¨¤ cette fin.

Vous voulez en savoir plus ?

En 2015, un groupe d’experts en cryptographie, en s¨¦curit¨¦ informatique, en informatique, en ing¨¦nierie de la s¨¦curit¨¦ et en politique publique a produit un document dans lequel ils exposaient les implications de l’acc¨¨s (par des tiers) aux communications crypt¨¦es. Cela est pertinent parce que lorsque les gouvernements demandent ou exigent l’acc¨¨s ¨¤ des communications crypt¨¦es, ils demandent essentiellement, dans la plupart des cas, qu’une option d’homme du milieu soit int¨¦gr¨¦e aux produits, services et/ou infrastructures dont d¨¦pendent leurs citoyens.

Lecture recommand¨¦e : ? Keys under Doormats ? – Rapport technique, MIT Computer Science and Artificial Intelligence Laboratory, 2015