Flexible Security for Your Peace of Mind

Table of Contents

Free Active Directory Auditing Tool!

Try it now
silouette noir man in the middle

Guide des attaques de type Man-in-the-Middle (MITM) et conseils pour s’en prémunir

Table of Contents

Imaginez que vous surveillez la sécurité du réseau de votre organisation lorsque vous remarquez soudain un trafic inhabituel : des paquets transitent par un serveur qui ne devrait pas être impliqué. Ce que vous observez pourrait bien être une attaque de type Man-in-the-Middle (MITM), dans laquelle un cybercriminel intercepte et manipule discrètement les données échangées entre deux points de terminaison.

Dans cet article, nous allons vous expliquer l’essentiel à savoir sur les attaques MITM : comment les cybercriminels se positionnent, quelles techniques ils utilisent pour espionner, altérer les communications et surtout, comment détecter et contrer efficacement ces menaces sournoises.

Qu’est-ce qu’une attaque Man-in-the-Middle ?

Une attaque Man-in-the-Middle (MITM), ou attaque de l’homme du milieu, est une forme d’intrusion où un cybercriminel s’intercale discrètement entre deux points de terminaison en communication (par exemple, entre le navigateur d’un utilisateur et un serveur web). À partir de là, il peut intercepter, relayer ou modifier les données échangées, sans que les deux parties ne se rendent compte que le canal de communication a été compromis. Pour rediriger le trafic vers son propre système, le hacker exploite des vulnérabilités telles que l’usurpation ARP sur un réseau local, la falsification (ou empoisonnement) du cache DNS, ou l’installation de points d’accès Wi-Fi malveillants. Il peut ainsi se faire passer pour chacun des points de terminaison auprès de l’autre.

Quels sont les risques d’un attaque Man-in-the-Middle ?

Une fois en position, le cybercriminel peut discrètement collecter des identifiants, des cookies de session ou des données sensibles, ou bien intervenir activement sur les échanges. Il peut, par exemple, modifier le contenu des communications, altérer des transactions, ou proposer des téléchargements piégés, en contournant le chiffrement via des techniques telles que le TLS stripping ou l’usage de certificats frauduleux. Concrètement, une attaque MITM transforme une connexion normalement sécurisée en canal d’interception et de manipulation à l’insu des utilisateurs.

Cela expose des informations critiques, (telles que des mots de passe, des opérations bancaires, des secrets industriels ou des données personnelles), au risque d’être captées, modifiées ou redirigées. Dans certains cas, le cybercriminel peut faire passer du contenu malveillant pour un contenu légitime, ce qui peut compromettre d’autres systèmes et permettre une infiltration plus profonde du réseau de l’organisation.

Comment se déroule une attaque Man-in-the-Middle ?

1. Reconnaissance et identification de la cible

Le hacker commence par identifier le segment réseau ou le canal de communication à compromettre. Cela passe souvent par une analyse passive du réseau (à l’aide d’outils comme Nmap ou Wireshark) afin de repérer les hôtes actifs, les ports ouverts et les services en cours d’exécution. Il dresse ainsi une carte des adresses IP et détermine les cibles les plus intéressantes, comme une passerelle réseau, un serveur DNS, ou un poste utilisateur sensible.

2. Accès au chemin de communication

Pour intercepter les échanges entre deux points, par exemple, l’hôte A (la victime) et l’hôte B (le serveur légitime), le hacker doit manipuler le réseau de manière à rediriger le trafic via sa propre machine. Les méthodes courantes incluent :

  • Usurpation/empoisonnement ARP : sur un réseau local (LAN), le cybercriminel envoie de fausses réponses ARP à l’hôte A et à la passerelle, associant son adresse MAC à l’adresse IP de la passerelle (pour l’hôte A) et inversement. Résultat : les paquets destinés à la passerelle passent d’abord par le hacker. Des outils comme ettercap ou aspspoof automatisent ce processus en maintenant l’état “empoisonné” par des paquets ARP réguliers.
  • Empoisonnement du cache DNS : si le hacker parvient à compromettre un serveur DNS en cache ou à injecter des réponses DNS falsifiées, il peut faire en sorte que l’hôte A résolve un nom de domaine légitime (ex : legitimate.example.com) vers une adresse IP contrôlée par lui. Toute tentative de connexion est alors détournée.
  • Point d’accès Wi-Fi (Evil Twin) : dans un environnement sans fil, le cybercriminel configure un point d’accès Wi-Fi avec le même nom (SSID) et les mêmes paramètres qu’un PA légitime. Les clients se connectent automatiquement à ce faux PA, redirigeant tout le trafic HTTP/S à travers l’infrastructure du hacker.

3. Maintien du flux bidirectionnel

Une fois le trafic détourné, le cybercriminel doit garantir un échange fluide entre les deux parties pour éviter toute suspicion (latence anormale, perte de paquets, etc.). Il active généralement le routage IP sur son système et transmet les paquets en temps réel entre l’hôte A et l’hôte B. Si des protections cryptographiques sont en place, il doit également gérer le chiffrement TLS :

  • Rétrogradation TLS/SSL (ex : SSL stripping) : lorsque l’utilisateur visite un site en HTTP (http://example.com), le serveur redirige souvent vers la version sécurisée (https://example.com). Le hacker intercepte cette redirection et la supprime, maintenant la victime en HTTP. Il agit alors comme un proxy : se connecte au vrai serveur en HTTPS, décrypte les données, puis les transmet à la victime sans chiffrement. Des outils comme sslstrip ou des scripts proxy personnalisés permettent ce type d’attaque.
  • Faux certificats ou autorité de certification compromise : si le hacker réussit à faire accepter un certificat frauduleux à la victime (via ingénierie sociale ou mauvaise validation des certificats), il peut générer un certificat usurpé à la volée. Il le présente à l’hôte A pour décrypter le trafic entrant, puis le rechiffre à destination de l’hôte B avec un certificat légitime (s’il en possède un via une autorité compromise ou contrôlée).

4. Collecte et manipulation des données

Une fois le trafic redirigé à travers son propre système, le cybercriminel peut agir selon deux modes, passif ou actif :

  • Interception passive : le cybercriminel se contente de capturer les paquets (ex : identifiants, cookies de session, jetons API, données personnelles) sans altérer le contenu. Des outils comme WIRESHARK ou tcpdump permettent de consigner les corps de requêtes HTTP POST ou les données TLS déchiffrées si la vérification des certificats a été contournée. Le hacker peut filtrer les paquets pour détecter certains motifs, comme des paramètres de connexion (“username=…&password=…”), des jetons JWT dans les en-têtes, ou des données de transaction financière, afin d’exfiltrer des informations sensibles.
  • Altération active : le cybercriminel modifie les données en transit. Quelques exemples fréquents :
    • Injection de JavaScript dans les réponses HTTP. Afin d’enregistrer les frappes clavier ou capturer les cookies “document.cookie”.
    • Manipulation de transactions : modification du montant d’un virement bancaire ou du numéro de compte destinataire avant l’envoi vers le véritable serveur.
    • Substitution d’un fichier de mise à jour légitime par un cheval de Troie, en interceptant l’URL de téléchargement et en la redirigeant vers un malware hébergé sur le serveur du hacker.

5. Maintien de la discrétion et persistance

Pour éviter toute détection le hacker doit minimiser les anomalies visibles :

  • Ajustement du timing : il veille à introduire une latence minimale, inférieure à la tolérance de gigue du réseau, afin que les schémas de trafic restent normaux.
    • Maintien de la redirection ARP : dans un scénario d’empoisonnement ARP, il actualise périodiquement les entrées empoisonnées (toutes les quelques minutes) plutôt que de saturer le réseau avec des réponses ARP constantes, ce qui pourrait alerter un système de détection d’intrusion (IDS).
    • Suppression des alertes de certificat : en cas d’usage d’un faux certificat, le hacker peut configurer un proxy pour contourner ou masquer automatiquement les avertissements dans le navigateur ciblé, afin que l’utilisateur ne voie pas la page d’avertissement de sécurité (“certificat non fiable”).
  • Effacement des journaux : sur les systèmes intermédiaires compromis (par exemple, un routeur local ou une passerelle NAT), le hacker peut supprimer les entrées de journal pertinentes ou modifier les horodatages pour se fondre dans le trafic habituel et éviter les audits.

6. Mouvement latéral et progression dans le réseau

Si la victime du MITM dispose de droits d’accès sensibles (exemple un compte administrateur système), le cybercriminel peut utiliser les identifiants interceptés pour accéder à d’autres machines, serveurs ou environnements cloud. Une fois à l’intérieur, il peut installer des portes dérobées, utiliser des failles pour obtenir des privilèges élevés, ou se déplacer sur le réseau pour élargir son contrôle au-delà du canal de communication initial.

7. Nettoyage et stratégie de sortie

Un hacker expérimenté planifie sa sortie pour effacer ses traces et minimiser les suspicions :

  • Restauration des tables ARP (dans le cas d’un spoofing ARP) : il envoie des réponses ARP correctes afin de rétablir les correspondances légitimes entre adresses MAC et IP, réduisant ainsi les indices de compromission après l’attaque.
  • Suppression des entrées DNS falsifiées : il vide les caches DNS empoisonnés ou rétablit les configurations du résolveur pour restaurer un comportement normal de résolution de noms.
  • Effacement des journaux et artefacts : suppression des fichiers de capture réseau, des journaux proxy et des fichiers temporaires générés sur les systèmes intermédiaires. Sur sa propre machine (par exemple un jump-box), le hacker peut effacer du disque les données contenant des identifiants volés ou du code malveillant à l’aide d’outils de type shred.
  • Révocation des certificats frauduleux (le cas échéant) : si un certificat compromis ou falsifié a été utilisé, il peut être révoqué ou désactivé afin d’éviter tout lien avec une analyse forensique ultérieure.

8. Contournement de la détection post-attaque

Même après s’être retiré, le hacker peut laisser des agents furtifs (ex : scripts de capture de paquets discrets) sur des terminaux peu surveillés, qui exfiltrent périodiquement de nouvelles données. Il peut aussi enregistrer des domaines de rappel qui ne s’activent que lorsqu’un hacker intercepte les identifiants d’un utilisateur sensible, réduisant ainsi le volume de trafic malveillant et le risque de détection.

Signes d’une attaque Man-in-the-Middle à surveiller

  • Trafic ARP inhabituel : pic de réponses ARP non sollicitées (gratuitous ARP) ou présence de plusieurs hôtes revendiquant la même association adresse IP/adresse MAC.
  • Anomalies lors de la négociation TLS : incohérences dans la chaîne de certificats, empreintes de clé publique inattendues, ou certificat serveur ne correspondant pas à l’empreinte attendue de l’infrastructure à clé publique (PKI).
  • Schémas de rétrogradation HTTP vers HTTPS : redirections HTTP répétées sans transition correcte vers TLS, notamment lorsque la requête initiale spécifiait un en-tête Strict-Transport-Security.
  • Réponses DNS suspectes : plusieurs machines reçoivent des réponses DNS avec des adresses IP inattendues pour des domaines sensibles ou de forte notoriété.
  • Pics de latence sur les flux critiques : bien qu’un MITM tente de rester discret, même une légère augmentation de latence peut être détectée par des outils de supervision du réseau si des valeurs de référence sont établies.

Qu’est-ce qu’une attaque Browser-in-the-Middle (BITM) ? En quoi est-ce différent ?

Une attaque BITM (Browser-in-the-Middle) diffère d’une attaque traditionnelle de type Man-in-the-Middle car le cybercriminel n’intercepte pas le trafic au niveau réseau. À la place, il compromet ou s’insère directement dans l’environnement du navigateur de la victime. Par exemple, une extension de navigateur malveillante ou un script JavaScript malveillant peut s’accrocher aux API HTTP(S) du navigateur, avant le chiffrement ou après le déchiffrement, ce qui permet à l’attaquant de consulter et modifier les requêtes et réponses non chiffrées.

Contrairement à un scénario d’usurpation ARP ou DNS, où le hacker manipule le chemin réseau, une attaque browser-in-the-middle agit à l’intérieur même du processus du navigateur : elle a accès aux données des formulaires avant leur chiffrement via TLS et peut altérer le contenu de la page ou ajouter du contenu malveillant sans déclencher d’anomalies de certificat ou de trafic réseau qui pourraient alerter un système de détection d’intrusion (IDS/IPS). En résumé, la frontière de confiance est rompue au niveau du poste client. Si l’intégrité du navigateur est compromise, même SSL/TLS ne peut plus protéger les données. La détection devient alors beaucoup plus difficile, car le trafic semble totalement légitime une fois sur le réseau.

Quelles mesures les organisations peuvent-elles prendre pour se protéger ?

Les organisations peuvent adopter une stratégie de défense en profondeur pour réduire significativement les risques d’attaques de type Man-in-the-Middle (MITM) ou Browser-in-the-Middle (BITM). Voici les principales mesures à mettre en place :

1. Imposer une pratique rigoureuse des mots de passe : exigez des mots de passe ou phrases de passe d’au moins 16 caractères (par exemple : trois mots sans lien logique). Interdisez la réutilisation des mots de passe entre différents services. Encouragez l’utilisation d’un gestionnaire de mots de passe pour générer et stocker des identifiants de manière sécurisée. Il est également pertinent de créer une liste personnalisée de mots de passe trop prévisibles.

2. Analyser votre Active Directory à la recherche d’identifiants compromis : utilisez une solution tierce comme Specops Password Policy permettant de scanner en continu votre Active Directory à la recherche de comptes dont les identifiants ont fuité. En cas de détection, les utilisateurs concernés doivent être contraints de réinitialiser leur mot de passe immédiatement.

Bloquer en permanence plus de 4 milliards de mots de passe compromis dans votre Active Directory
Essai gratuit

3. Imposer l’authentification multifacteur (MFA) : activez la MFA sur l’ensemble des accès sensibles : VPN, portails d’accès à distance, consoles d’administration, services cloud et systèmes métiers critiques (ex : finances, RH). Si votre fournisseur actuel ne propose pas ce niveau de sécurité, envisagez une solution plus robuste comme Specops Secure Access.

Sécurisez l'accès à votre Active Directory avec MFA pour la connexion Windows, VPN et RDP.
Activez la MFA dès maintenant

4. Protections du réseau et des canaux de communication

  • Maintenez des configurations TLS rigoureuses (désactivez TLS 1.0/1.1, imposez des chiffrements robustes).
  • Utilisez la validation DNSSEC sur les résolveurs pour contrer l’empoisonnement du cache.
  • Utilisez Dynamic ARP Inspection et DHCP Snooping sur les commutateurs réseau pour bloquer les attaques par usurpation ARP.
  • Surveillez les empreintes des certificats (par exemple, via un service de suivi CT) afin de détecter toute émission inattendue de certificat pour vos domaines.
  • Établissez une ligne de base pour la latence réseau et le comportement ARP/DNS de référence ; signalez les anomalies soudaines qui suggèrent que quelqu’un intercepte le trafic.

5. Renforcement des terminaux utilisateurs et des navigateurs

  • Limitez les extensions de navigateur à une liste blanche approuvée et déployez une politique de sécurité du contenu (CSP) sur les applications web internes afin d’empêcher l’exécution de scripts non autorisés.
  • Déployer une solution EDR (Endpoint Detection & Response) afin de détecter les injections de DLL suspectes ou les proxys locaux non autorisés.

6. Préparation à la réponse aux incidents

  • Maintenez à jour des plans d’intervention pour les scénarios MITM (par exemple, révocation des certificats compromis, réinitialisation des entrées DNS, mise en quarantaine des points d’accès Wi-Fi frauduleux).
  • Assurez-vous que les journaux critiques (tables ARP, journaux DNS, événements de réinitialisation des mots de passe AD) sont collectés de manière centralisée et synchronisés dans le temps pour permettre une investigation rapide.

Renforcez dès aujourd’hui la sécurité de votre Active Directory

En combinant des phrases de passe robustes et uniques, en analysant activement l’AD à la recherche d’identifiants compromis et en appliquant l’authentification multifacteur (MFA) sur les systèmes critiques, vous éliminez l’un des vecteurs d’attaque les plus courants : l’exploitation d’identifiants interceptés. Specops Password Policy renforce les mécanismes de mot de passe natifs d’Active Directory en intégrant une vérification en temps réel contre des bases de données mondiales de mots de passe compromis et contre toute liste de blocage personnalisée que vous configurez.

Avec ses stratégies granulaires par unité d’organisation (OU), ses tableaux de bord de rapports centralisés et ses intégrations avec les solutions MFA et de réinitialisation de mot de passe en libre-service (Self-ServicePassword Reset), il offre une solution complète, peu intrusive, pour garantir que personne dans votre organisation n’utilise de mots de passe faibles, réutilisés ou compromis. Contactez-nous pour une démonstration gratuite et personnalisée.

(Dernière mise à jour le 10/07/2025)

Revenir sur le blog

Free Active Directory Auditing Tool!

Try it now

© 2025 Specops Software. All rights reserved.

Nous utilisons des cookies et d’autres technologies sur notre site web pour vous proposer l’ensemble de nos fonctionnalités. Ils peuvent également être mis en place à des fins d’analyse. En continuant à utiliser notre site web, vous acceptez l’utilisation de cookies. Pour plus d’informations, notamment sur la manière de les désactiver, veuillez consulter notre politique de confidentialité.

Politique de confidentialité

OK