MitM

Une attaque Man-in-the-Middle consiste à intercepter les communications entre deux parties sans qu'elles ne s'en aperçoivent. Cette fiche vise la compréhension et la défense, pas la reproduction.

Principe

Victime ↔ Attaquant ↔ Serveur

La victime pense communiquer directement avec un service légitime. En réalité, les échanges transitent par l'attaquant.

Conséquences possibles :

• interception de données
• vol d'identifiants
• modification du trafic
• espionnage des communications

SSL Strip

Le SSL Strip vise à dégrader une connexion HTTPS vers HTTP pour supprimer le chiffrement.

HTTPS → HTTP

Sans protection, certaines données peuvent alors circuler en clair.

Risques

• mots de passe interceptés
• cookies de session volés
• informations sensibles récupérées
• observation du trafic sur un réseau non fiable

Les réseaux Wi-Fi publics non maîtrisés sont particulièrement exposés.

Protections

HTTPS

HTTPS chiffre les données entre le navigateur et le serveur.

HSTS

HSTS force l'utilisation de HTTPS et aide à empêcher certaines attaques de rétrogradation.

Réseaux

• éviter les réseaux publics non fiables
• utiliser un VPN sur les réseaux ouverts
• vérifier les alertes de certificat
• ne jamais ignorer un avertissement navigateur

Applications

• activer HTTPS partout
• configurer HSTS
• utiliser des cookies Secure, HttpOnly et SameSite
• éviter les contenus mixtes HTTP/HTTPS

Indices possibles

• alerte de certificat
• certificat émis par une autorité inattendue
• passage inhabituel en HTTP
• portail captif suspect
• passerelle réseau inattendue
• DNS modifié
• connexions depuis un réseau public non maîtrisé

Réponse défensive

Si un MitM est suspecté :

• arrêter la saisie d'identifiants
• changer de réseau
• vérifier le certificat
• révoquer les sessions sensibles
• changer les mots de passe depuis un réseau sûr
• analyser les logs de connexion
• vérifier DNS et passerelle