En 2015, plusieurs entreprises de taille moyenne et grands groupes européens ont été la cible d’un cybergang basé en Belgique qui est parvenu à les délester d’un total de 6 millions d’euros. Les hackers ont accédé aux comptes de messagerie de ces entreprises et les ont piratés pour pouvoir soutirer de l’argent à leurs clients. D’après un communiqué de presse officiel d’Europol, le groupe aurait associé malwares et techniques d’ingénierie sociale pour commettre ses forfaits. Une fois dans la place, les cybermalfaiteurs ont attentivement surveillé les communications dans le but de détecter des demandes de paiements pour en prendre le contrôle. Exécutées avec une ébouriffante maestria, ces techniques de hacking illustrent parfaitement la définition d’une attaque de l'homme du milieu, également appelée attaque «Man-in-the-Middle» (MITM). Le problème est que votre entreprise pourrait tout à fait figurer sur la liste des victimes.
Qu’est-ce qu’une attaque de l'homme du milieu ?
On parle d’attaque MITM lorsqu’une entité extérieure intercepte les communications entre deux systèmes. Il peut s’agir de n’importe quelle forme de communication en ligne — e-mail, réseaux sociaux, navigation Internet... Les pirates peuvent non seulement espionner vos conversations privées, mais ils peuvent aussi cibler toutes les informations que renferment vos appareils et terminaux.
Un petit scénario tout simple aide à mieux appréhender le concept d’attaque MITM, au-delà de ses aspects techniques. Remontons le cours du temps pour revenir à la grande époque du courrier «papier». Jerry se décide à écrire une lettre d’amour à Jackie après avoir caché ses sentiments pendant des années. Il dépose sa lettre à la poste où elle est prise en charge par un facteur un peu trop curieux. Le postier l’ouvre et décide, par pure méchanceté, de la réécrire avant de la déposer dans la boîte aux lettres de Jackie. Dans son courrier, Jerry-le-postier traite Jackie de grosse vache. Résultat : Jackie vouera une haine éternelle à Jerry. La morale de cette histoire est que le facteur est un abruti fini ; les hackers aussi.
Exemple plus actuel : imaginez un hacker tapi dans l’ombre, entre vous (et votre navigateur) et le site Web que vous consultez. Il cherche à intercepter les données que vous communiquez au site, comme vos identifiants de connexion ou des informations financières.
Comment fonctionne une attaque par interception (homme du milieu) ?
Avec le temps, les hackers ont trouvé plusieurs moyens d’exécuter leurs attaques MITM. Qu’on veuille le croire ou non, il est aujourd’hui possible d’acheter un outil de piratage en ligne sans trop se ruiner — ce qui prouve que si l’on a suffisamment d’argent, on peut hacker quelqu’un sans trop de difficultés. Voici un tour d’horizon des principaux types d’attaques MITM que votre entreprise est susceptible de rencontrer :
Détournement d’e-mail
Comme dans l’exemple cité plus haut, les hackers qui utilisent cette tactique ciblent les comptes de messagerie des grands groupes, et plus précisément des établissements bancaires et financiers. Une fois qu’ils ont accès aux comptes e-mails «stratégiques», ils surveillent les transactions. Leur but ? Être le plus convaincants possible lorsqu’ils passeront à l’attaque. Ils peuvent ainsi attendre qu’un client envoie de l’argent. Le moment venu, ils répondront au client en imitant l’adresse e-mail de l’entreprise et remplaceront les coordonnées bancaires de l’entreprise par les leurs. Dans un tel scénario, le client pense envoyer l’argent à l’entreprise, alors qu’il l’envoie directement aux hackers.
Les grandes entreprises ne sont pas les seules à se faire avoir. Les particuliers sont aussi concernés, comme ce fut le cas de Paul Lupton, à Londres. Après la vente de sa maison, Paul Lupton transmet ses coordonnées bancaires à son avocat par e-mail en vue de récupérer le produit de la vente (soit 333 000 GBP). Il ignore que son adresse e-mail a été piratée et que des hackers surveillent ses communications. Sautant sur l’occasion, les pirates renvoient rapidement un autre e-mail à l’avocat en se faisant passer pour Lupton. Ils lui demandent d’ignorer le message précédent et de transférer l’argent sur un autre compte (appartenant aux hackers). Dans cette affaire, le virement avait bel et bien été effectué sur le compte du hacker. Mais, heureusement Lupton, qui s’était aperçu de la supercherie, a pu récupérer une grande partie de la somme. Ce genre d’attaque ne se termine cependant pas toujours bien.
Espionnage du Wifi
La plupart des attaques par interception exploitent les connexions Wifi. L’une des méthodes utilisées par les pirates consiste à configurer une connexion Wifi sous un nom d’apparence légitime. Le hacker n’a plus qu’à attendre que vous vous connectiez pour accéder instantanément à votre terminal. Le pirate peut aussi choisir de créer un nœud Wifi malveillant qu’il fait passer pour un point d’accès Wifi légitime pour mettre la main sur les données personnelles de chaque personne qui se connecte.
Détournement de session
Lorsque vous vous connectez à un site Web, une connexion s’établit entre votre ordinateur et le site Web. Les hackers ont plusieurs moyens à leur disposition pour détourner votre session Web. Le vol de vos cookies de navigation est une méthode assez courante. Au cas où vous l’ignoreriez, les cookies stockent de petits bouts de données pour faciliter votre navigation sur Internet. Ces données peuvent correspondent à votre activité en ligne, vos identifiants de connexion, des formulaires pré-remplis et parfois, votre localisation. S’ils mettent la main sur vos cookies de connexion, ils peuvent facilement se connecter à vos comptes et se faire passer pour vous.
Comment protéger vos réseaux contre ces attaques ?
Vous tremblez à l’évocation de ces attaques MITM ? Rassurez-vous, elles n’ont rien d’inéluctable. Les technologies PKI peuvent vous aider à vous protéger de certains types d’attaques présentées plus haut.
S/MIME
Le S/MIME (Secure/Multipurpose Internet Mail Extensions) permet de chiffrer vos e-mails — qu’ils soient stockés sur votre machine ou en transit. L’avantage : vos messages ne peuvent être lus que par les destinataires officiels, car les hackers n’ont aucun «espace» dans lequel s’engouffrer pour les modifier.
Le S/MIME vous laisse par ailleurs signer numériquement votre e-mail à l’aide d’un certificat numérique unique, propre à chacun. En liant ainsi votre identité virtuelle à votre e-mail, vos destinataires ont l’assurance que vous êtes bien l’expéditeur de l’e-mail qu’ils reçoivent (il ne vient donc pas d’un hacker qui aurait accès à votre serveur de messagerie). Un tel protocole aurait été bien utile dans l’affaire Europol présentée plus haut. Bien que les hackers aient eu accès aux serveurs de messagerie des entreprises, s’ils avaient voulu signer numériquement les messages, ils auraient également eu besoin de pouvoir accéder aux clés privées des salariés — clés généralement stockées ailleurs, en lieu sûr. Pour distinguer plus facilement les e-mails légitimes des messages falsifiés, vous pouvez par exemple normaliser l’usage de la signature numérique pour vos messages et indiquer aux destinataires que seuls les messages signés qui proviennent de votre entreprise sont dignes de confiance.
Certificats d’authentification
Hackers will never go away, but one thing you can do is make it virtually impossible to penetrate your systems (e.g. Wi-Fi networks, email systems, internal networks) by implementing Certificate-Based Authentication for all employee machines and devices. This means only endpoints with properly configured certificates can access your systems and networks. Certificates are user-friendly (there is no additional hardware to manage or much user training needed) and deployments can be automated to make things simple for IT and make them hackers split their hair, as the cool kids would say.
Un hacker en chasse un autre. Vous pouvez cependant faire en sorte qu’il leur soit quasiment impossible de pénétrer dans vos systèmes (c’est-à-dire vos réseaux Wifi, systèmes de messagerie, réseaux internes...). Il suffit pour cela de mettre en œuvre un système d’authentification basé sur des certificats pour l’ensemble des machines et terminaux de vos employés. En clair : seuls les points de terminaison comportant des certificats correctement configurés peuvent accéder à vos systèmes et réseaux. D’une utilisation très conviviale, les certificats ne requièrent aucun équipement supplémentaire ni aucune formation lourde pour les utilisateurs. Si l’automatisation du déploiement de ces certificats simplifie la tâche du département informatique, elle fait aussi s’arracher les cheveux aux hackers !
Qu’est-ce qu’une interception de requête HTTP ?
Le HTTP (HyperText Transfer Protocol) est le protocole Internet le plus courant. De la navigation classique aux messageries instantanées, la plupart de nos activités en ligne s’effectuent en HTTP. Non protégées, les communications HTTP sont assez faciles à intercepter ce qui en fait une cible de choix pour les attaques MITM. Comme évoqué plus haut, les hackers peuvent se tenir en embuscade entre les utilisateurs et un site Web pour espionner leurs communications, et notamment les informations transmises au site.
Comment empêcher les interceptions de requêtes HTTP ?
Certificats SSL/TLS
Si votre site Web est toujours en HTTP (protocole le plus vulnérable), le moment est venu de le faire évoluer en HTTPS à l’aide de certificats SSL/TLS. Un certificat TLS active le protocole HTTPS, qui correspond à la version sécurisée du HTTP. On instaure ainsi une connexion chiffrée et sécurisée entre votre serveur et les ordinateurs de vos clients qui maintient toutes les informations à l’abri des regards indiscrets.
Les certificats TLS permettent également de lier votre nom de domaine à l’identité de votre organisation, à condition d’utiliser un certificat de validation d’organisation (OV) ou à validation étendue (EV). En affichant le nom de votre organisation dans la barre d’URL, les certificats EV mettent clairement en avant vos informations d’identité. Vos visiteurs sont ainsi rassurés sur la légitimité de votre site ; sur le fait qu’il est exploité par votre entreprise, et non par des imposteurs.
Configurations système et serveur
Attendez un peu pour vous reposer sur vos lauriers ! Une fois les certificats TLS en place, il reste certains éléments à configurer. Vérifiez que votre site Web ne comporte aucun contenu mixte ni aucun élément qui se charge en HTTP (photos, scripts ou widgets) pour empêcher des hackers en herbe d’exploiter une éventuelle porte dérobée. Conformément aux bonnes pratiques, pensez à vérifier que les liens récupérés sur d’autres sites sont bien des liens HTTPS. Assurez-vous aussi que les formulaires de connexion sont sécurisés (HTTPS) pour éviter tout détournement d’identifiants de connexion. Mozilla fait déjà beaucoup pour inciter les utilisateurs à se méfier des formulaires sur les pages HTTP. Le navigateur affiche en effet des messages d’alerte du type «connexion non sécurisée» avec une icône de cadenas barré. Vérifiez que tous les hyperliens sur votre site utilisent le protocole HTTPS.
Votre serveur doit également être configuré de manière correcte et dans le respect des bonnes pratiques actuelles pour ce qui est des protocoles, des algorithmes... Vous devrez ainsi avoir désactivé les protocoles SSL2, SSL3 et TLS1 car seuls TLS 1.1 et 1.2 doivent être activés. D’autres éléments de configuration seront à prendre en compte. Sachez également que les bonnes pratiques évoluent en permanence pour s’adapter aux nouvelles vulnérabilités découvertes. Avec son test de serveur SSL, GlobalSign propose un outil pratique et complet pour vérifier la configuration de votre serveur.
HSTS vs HTTPS
Comme indiqué plus haut, les hackers ont trouvé les moyens de contourner le TLS. Ainsi, même si vous demandez une connexion HTTPS (en tapant par exemple https://www.exemple.com), ils sont capables de transformer la requête en une requête HTTP pour vous rediriger vers le site http://www.exemple.com, où la connexion n’est pas chiffrée. La mise en place du protocole HTTP Strict Transport ou HSTS permet d’éviter ce type d’attaque. Cette instruction («directive») du serveur Web demande à tout navigateur Web ou à toute application de se connecter en HTTPS et de bloquer les contenus accessibles en HTTP. En empêchant aussi les hackers de récupérer des informations à partir de vos cookies de navigation, le HSTS protège efficacement votre site Web des détournements de session.
D’autres questions sur les attaques par interception de type homme du milieu ? Faites-nous part de vos questions et suggestions dans les commentaires ci-après. Vous pouvez aussi cliquer ici pour en savoir plus sur l’impact de ces attaques sur l’Internet des Objets.
Rendez-vous sur notre site Web pour y découvrir d’autres solutions toujours plus adaptées à vos besoins en sécurité.
