L’attaque « Man in the Middle »
Introduction
L’attaque « Man In The Middle » ou « Attaque de l’homme au milieu » porte bien son
nom. Il s’agit d’un type d’attaque où une tierce personne s’interpose de
manière transparente dans une connexion pour écouter sans se faire remarquer.
Une des attaques de type « Man In The Middle » pour le réseau repose sur plusieurs attaques d’ARP
poison vers des postes ciblés.
Le but de cette attaque est de remplacer les tables ARP des victimes afin
de mettre le poste attaquant en position d’écoute entre les cibles.
Pour comprendre comment fonctionne l’ARP poison, se reporter à l’article correspondant.
Il existe plusieurs méthodes pour utiliser MITM, nous présenterons ici la méthode la plus courante qui consiste à écouter (dans le jargon
sécurité « sniffer ») une connexion entre deux postes sur un réseau switché de type ethernet.
Description
Voyons un peu ce que fait le poste attaquant :
En premier lieu, le poste attaquant va émettre deux paquets ARP falsifiés vers les deux postes cibles.
Ces paquets indiqueront aux postes cibles que l’adresse ARP du poste distant (le poste cible 1 pour le poste cible 2 et vice versa) a changé.
Chaque poste cible recevra une requête ARP lui signifiant que l’adresse ARP pour le poste distant est la suivante : ABCDEF000003.
Le poste cible mettra à jour sa table ARP (dynamique) avec les informations erronées.
Les prochains paquets envoyés seront donc envoyés à l’adresse MAC de la machine attaquante.
Cette requête émise par le poste attaquant a pour but de faire en sorte que chaque paquet envoyé d’un poste cible à un autre, passe par lui. Cette
requête est envoyée régulièrement pour éviter un retour à la normale, car un poste cible remet à jour sa table ARP très fréquemment (toutes
les 30 secondes ou les 2 mn par exemple, ce laps de temps étant configurable sur la plupart des systèmes d’exploitation), puis émet un
broadcast ARP pour connaître les adresses MAC des postes avec lesquels il souhaite communiquer.
A ce niveau, le poste attaquant réceptionne toutes les communications entre les deux postes cibles mais ce n’est pas suffisant. Il doit
ensuite retransmettre les paquets aux cibles correspondantes pour que le dialogue entre les deux machines continuent et qu’il puisse
continuer d’écouter ce qui se passe, tout en restant invisible au milieu de la connexion.
