• Assurez la sécurité des applications de la bonne manière! Détectez, protégez, surveillez, accélérez et plus encore…
  • Une attaque de l'homme du milieu (MITM) se produit lorsqu'un acteur malveillant interrompt une conversation réseau établie ou un transfert de données. L'attaquant se trouve au milieu du chemin de transfert, puis prétend ou agit en tant que participant légitime à la conversation.

    En pratique, les attaquants se positionnent entre les requêtes entrantes et les réponses sortantes. En tant qu'utilisateur, vous continuerez à croire que vous parlez directement au serveur ou à l'application Web de destination légitime, tels que Facebook, Twitter, une banque en ligne et autres. Cependant, en réalité, vous enverrez des demandes à l'homme du milieu, qui parlera ensuite à votre banque ou à votre application en votre nom.

    man-in-the-middle - attaque MITM
    Image par Imperva

    En tant que tel, l'homme du milieu verra tout, y compris toutes vos demandes et réponses que vous obtenez du serveur de destination ou cible. En plus de visualiser toute la conversation, l'homme du milieu peut modifier vos demandes et réponses, voler vos informations d'identification, vous diriger vers un serveur qu'il contrôle ou commettre d'autres cybercrimes.

    Généralement, l'attaquant peut intercepter le flux de communication ou les données de l'une ou l'autre des parties à la conversation. le attaquant peut alors modifier les informations ou envoyer des liens malveillants ou des réponses aux deux participants légitimes. Dans la plupart des cas, cela peut passer inaperçu pendant un certain temps, jusqu'à plus tard après beaucoup de dégâts.

    Techniques courantes d'attaque de l'homme du milieu

    Reniflage de paquets: – L'attaquant utilise divers outils pour inspecter les paquets réseau à un niveau bas. Le reniflage permet aux attaquants de voir les paquets de données auxquels ils ne sont pas autorisés à accéder.

    Injection de paquets: – où les attaquants injectent des paquets malveillants dans les canaux de communication de données. Avant l'injection, les criminels utiliseront d'abord le reniflage pour identifier comment et quand envoyer les paquets malveillants. Après l'injection, les mauvais paquets se mélangent aux valides dans le flux de communication.

    Séance de détournement: dans la plupart des applications Web, le processus de connexion crée un jeton de session temporaire afin que l'utilisateur n'ait pas à continuer à taper le mot de passe pour chaque page ou toute demande future. Malheureusement, un attaquant utilisant divers outils de reniflage peut identifier et utiliser le jeton de session, qu'il peut désormais utiliser pour faire des demandes en prétendant être l'utilisateur légitime.

    Décapage SSL: Les attaquants peuvent utiliser la technique de déclenchement SSL pour intercepter les paquets légitimes, modifier les requêtes HTTPS et les diriger vers la destination équivalente HTTP non sécurisée. Par conséquent, l'hôte commencera à envoyer une requête non cryptée au serveur, exposant ainsi les données sensibles sous forme de texte brut facile à voler.

    Conséquences des attaques MITM

    Les attaques MITM sont dangereuses pour toute organisation et peuvent entraîner des pertes financières et de réputation.

    Habituellement, les criminels peuvent obtenir et abuser des informations sensibles et privées de l'organisation. Par exemple, ils peuvent voler des informations d'identification telles que des noms d'utilisateur et des mots de passe, des informations de carte de crédit et les utiliser pour transférer des fonds ou effectuer des achats non autorisés. Ils peuvent également utiliser des informations d'identification volées pour installer des logiciels malveillants ou voler d'autres informations sensibles, qu'ils peuvent utiliser pour faire chanter l'entreprise.

    Pour cette raison, il est essentiel de protéger les utilisateurs et les systèmes numériques afin de minimiser les risques d'attaques MITM.

    Outils d'attaque MITM pour les équipes de sécurité

    En plus d'utiliser des solutions de sécurité fiables et pratiques, vous devez utiliser les outils nécessaires pour vérifier vos systèmes et identifier les vulnérabilités que les attaquants peuvent exploiter. Pour vous aider à faire le bon choix, voici quelques-uns des outils d'attaque HTTP MITM pour les chercheurs en sécurité.

    Hetty

    Hetty est une boîte à outils HTTP open source rapide avec des fonctionnalités puissantes pour prendre en charge les chercheurs en sécurité, les équipes et la communauté des bug bounty. L'outil léger avec une interface Web Next.js intégrée comprend un homme HTTP dans le proxy intermédiaire.

    Outil d'attaque Hetty mitm

    Fonctions-clés

    • Vous permet d'effectuer une recherche en texte intégral
    • Il dispose d'un module d'expéditeur qui vous permet d'envoyer des requêtes HTTP manuellement en fonction des requêtes désactivées du journal proxy ou en les créant à partir de zéro.
    • Un module attaquant qui permet d'envoyer des requêtes HTTP automatiquement
    • Installation simple et interface facile à utiliser
    • Envoyez manuellement les requêtes HTTP en partant de zéro, en créant la requête ou en copiant simplement à partir du journal du proxy.

    Bettercap

    Bettercap est un outil complet et évolutif de reconnaissance et d'attaque de réseau.

    La solution facile à utiliser fournit aux rétro-ingénieurs, aux experts en sécurité et aux équipes rouges toutes les fonctionnalités pour tester ou attaquer les réseaux Wi-Fi, IP4, IP6, les appareils Bluetooth Low Energy (BLE) et les appareils HID sans fil. De plus, l'outil dispose de capacités de surveillance du réseau et d'autres fonctionnalités telles que la création de faux points d'accès, le renifleur de mot de passe, l'usurpation DNS, la capture de poignée de main, etc.

    Fonctions-clés

    • Un puissant renifleur de réseau intégré pour identifier les données d'authentification et collecter les informations d'identification
    • puissant, extensible
    • Sondez et testez activement et passivement les hôtes du réseau IP pour détecter d'éventuelles vulnérabilités MITM.
    • Interface utilisateur Web interactive et facile à utiliser qui vous permet de mener un large éventail d'attaques MITM, de renifler les informations d'identification, de contrôler le trafic HTTP et HTTP, etc.
    • Extrayez toutes les données qu'il recueille, telles que les informations d'identification POP, IMAP, SMTP et FTP, les URL visitées et les hôtes HTTPS, les cookies HTTP, les données publiées HTTP, etc. Il le présente ensuite dans un fichier externe.
    • Manipulez ou modifiez le trafic TCP, HTTP et HTTPS en temps réel.

     Proxy.py

    Proxy.py est un serveur proxy léger et open source WebSockets, HTTP, HTTPS et HTTP2. Disponible dans un seul fichier python, cet outil rapide permet aux chercheurs d'inspecter le trafic Web, y compris les applications chiffrées TLS, tout en consommant un minimum de ressources.

    Fonctions-clés

    • C'est un outil rapide et évolutif qui peut gérer des dizaines de milliers de connexions par seconde.
    • Fonctionnalités programmables telles qu'un serveur Web intégré, un proxy et une personnalisation du routage HTTP, etc.
    • Il a une conception légère qui utilise 5-20 Mo de RAM. En outre, il s'appuie sur les bibliothèques Python standard et ne nécessite aucune dépendance externe.
    • Un tableau de bord personnalisable en temps réel que vous pouvez étendre à l'aide de plugins. Il vous donne également la possibilité d'inspecter, de surveiller, de configurer et de contrôler le proxy.py au moment de l'exécution.
    • L'outil sécurisé utilise TLS pour fournir un cryptage de bout en bout entre le proxy.py et le client.

     Mitmproxy

    Le mitmproxy est une solution proxy HTTPS open source facile à utiliser.

    En règle générale, l'outil facile à installer fonctionne comme un proxy HTTP SSL man-in-the-middle et dispose d'une interface de console qui vous permet d'inspecter et de modifier le flux de trafic à la volée. Vous pouvez utiliser l'outil en ligne de commande en tant que proxy HTTP ou HTTPS pour enregistrer tout le trafic réseau, voir ce que les utilisateurs demandent et les relire. Généralement, mitmproxy fait référence à un ensemble de trois outils puissants ; mitmproxy (interface console), mitmweb (interface Web) et mitmdump (version en ligne de commande).

    Fonctions-clés

    • Outil interactif et fiable d'analyse et de modification du trafic HTTP
    • Un outil flexible, stable, fiable, facile à installer et à utiliser
    • Vous permet d'intercepter et de modifier les requêtes et réponses HTTP et HTTPS à la volée
    • Enregistrez et enregistrez les conversations HTTP côté client et côté serveur, puis rejouez-les et analysez-les à l'avenir
    • Générez les certificats SSL/TLS à intercepter à la volée
    • Les fonctionnalités de proxy inverse vous permettent de transférer le trafic réseau vers un autre serveur.

    Burp

    Rot est un outil automatisé et évolutif outil d'analyse de vulnérabilité. L'outil est un bon choix pour de nombreux professionnels de la sécurité. Généralement, il permet aux chercheurs de tester des applications Web et d'identifier les vulnérabilités que les criminels peuvent exploiter et lancer des attaques MITM.

    Il utilise un flux de travail piloté par l'utilisateur pour fournir une vue directe de l'application cible et de son fonctionnement. Fonctionnant comme un serveur proxy Web, Burp est l'homme du milieu entre le navigateur Web et les serveurs de destination. Par conséquent, cela vous permet d'intercepter, d'analyser et de modifier le trafic de requêtes et de réponses.

    Fonctions-clés

    • Interceptez et inspectez le trafic réseau brut dans les deux sens entre le navigateur Web et le serveur
    • Brise la connexion TLS dans le trafic HTTPS entre le navigateur et le serveur de destination, permettant ainsi à l'attaquant de visualiser et de modifier les données cryptées
    • Choix d'utiliser le navigateur intégré Burps ou le navigateur Web standard externe
    • Solution d'analyse des vulnérabilités automatisée, rapide et évolutive, elle vous permet d'analyser et de tester les applications Web plus rapidement et efficacement, ainsi d'identifier un large éventail de vulnérabilités
    • Afficher les requêtes et réponses HTTP individuelles interceptées
    • Examinez manuellement le trafic intercepté pour comprendre les détails d'une attaque.

    Ettercap

    Ettercap est un analyseur et intercepteur de trafic réseau open source.

    L'outil complet d'attaques MITM permet aux chercheurs de disséquer et d'analyser un large éventail de protocoles réseau et d'hôtes. Il peut également enregistrer les paquets réseau sur un réseau local et d'autres environnements. De plus, l'analyseur de trafic réseau polyvalent peut détecter et arrêter les attaques de l'intercepteur.

    Fonctions-clés

    • Intercepter le trafic réseau et capturer les informations d'identification telles que les mots de passe. En outre, il peut décrypter les données cryptées et extraire les informations d'identification telles que les noms d'utilisateur et les mots de passe.
    • Convient pour le reniflage approfondi de paquets, les tests, la surveillance du trafic réseau et le filtrage de contenu en temps réel.
    • Prend en charge l'écoute, la dissection et l'analyse actives et passives des protocoles de réseaux, y compris ceux avec cryptage
    • Analyser un topologie de réseau et établir les systèmes d'exploitation installés.
    • Interface utilisateur graphique conviviale avec options de fonctionnement GUI interactives et non interactives
    • utilise des techniques d'analyse telles que l'interception ARP, le filtrage IP et MAC, et d'autres pour intercepter et analyser le trafic

    Prévention des attaques MITM

    L'identification des attaques MITM n'est pas très facile car elles se produisent loin des utilisateurs, et elle est difficile à détecter car les attaquants font que tout semble normal. Cependant, il existe plusieurs pratiques de sécurité que les organisations peuvent utiliser pour empêcher les attaques de l'intercepteur. Ceux-ci inclus;

    • Sécurisez les connexions Internet au travail ou aux réseaux domestiques en utilisant par exemple des solutions et des outils de sécurité efficaces sur vos serveurs et ordinateurs, des solutions d'authentification fiables
    • Application d'un cryptage WEP/WAP fort pour les points d'accès
    • S'assurer que tous les sites Web que vous visitez sont sécurisés et ont HTTPS dans l'URL.
    • Évitez de cliquer sur des e-mails et des liens suspects
    • Appliquez HTTPS et désactivez les protocoles TLS/SSL non sécurisés.
    • Utiliser Réseaux privés virtuels lorsque c'est possible.
    • En utilisant les outils ci-dessus et d'autres Solutions HTTP pour identifier et traiter toutes les vulnérabilités de l'homme du milieu que les attaquants peuvent exploiter.