Détournement de trafic Web

L’attaque de l’homme du milieu (MITM) est de plus en plus sous-estimée. La raison principale qu’avance la plupart des gens est qu’aujourd’hui, toutes les applications web qui gèrent des données sensibles utilisent une version sécurisée du protocole http. En effet, c'est le cas. Il s’agit du protocole https, qui permet de chiffrer la communication de bout en bout entre le serveur web et le navigateur. Donc en principe, même si une troisième personne se place entre ces deux entités, elle ne pourrait pas lire les informations échangées. Nous pourrons donc dire que l’utilisation du protocole https nous protège du vol d’informations. Mais différentes approches peuvent être utilisées pour néanmoins lire les informations que l’utilisateur entre en toute confiance. Entre autres possibilités, nous allons traiter dans cet article une de ces approches, qui est méconnue mais pourtant triviale.

Ce qu’il faudrait comprendre à propos du HTTPS c’est qu’il rend illisible les données échangées entre le serveur et le client. Or pour communiquer avec un serveur, il faudrait le joindre via son adresse IP. Une adresse qui n’est pas évidente à mémoriser surtout quand on se place dans notre contexte actuel où le nombre de services et de serveurs explosent. Pour répondre à cette difficulté, le système de Résolution de Noms (DNS) a été créé. Nos navigateurs se basent sur lui pour avoir les adresses IP correspondant à un nom de domaine. Autrement dit, quand on cherche à aller sur un site web, avant même d’envoyer des requêtes web (sécurisées ou pas), notre système envoie des requêtes DNS à un serveur DNS pour savoir à quelle adresse IP envoyer les paquets de la requête web. Les requêtes DNS quant à elles, circulent en clair sur le réseau. Donc toute personne sniffant notre trafic pourra lire nos requêtes DNS et savoir vers quel serveur nous envoyons nos données.

Alors, peut-on se faire voler des informations malgré tout ?

Dans un premier temps, l’attaquant se met entre vous et votre routeur (une attaque MITM) puis identifiera un site auquel vous vous connectez, votre boîte mail par exemple. Alors il va cloner ce site (principalement la page de connexion) sur une machine qu’il contrôle et s’assurer que cette version clonée soit joignable par vous en l’occurrence. Ensuite, il modifiera les réponses du serveur DNS en changeant l’adresse IP du serveur web par celle de la machine sur laquelle il a cloné les ressources de ce dernier. Donc, de votre côté, votre navigateur enverra les requêtes web vers le mauvais serveur. La suite est classique, en voyant la page d’authentification, vous allez renseigner vos informations. Parfois le navigateur le fait pour vous. La récolte de vos données est faite. Pour résumer, sans vigilance, il est bien possible de se faire voler des informations malgré les dispositifs de sécurité. Le fait qu'on sache qu'une application web utilise le protocole HTTPS ne doit pas être une raison pour relâcher notre vigilance.

Il ne faudrait donc pas sous-estimer une attaque MITM. Ce cas que nous venons de traiter n’est qu’une des nombreuses possibilités de son utilisation. Comme nous l’avons dit dans notre article sur l’Introduction aux attaques ARP dans un LAN, des solutions peuvent être déployées par l'administrateur réseau pour empêcher l’usurpation dans les réseaux locaux. Mais quand on se connecte depuis un point d’accès public, il est prudent d’utiliser un service VPN qui se chargera de chiffrer la totalité de votre trafic via un tunnel sécurisé.

Un geste simple que vous pourrez faire est de vérifier si le navigateur indique bien que vous êtes sur une page sécurisée. Car le clone ne pourra pas établir une connexion sécurisée avec vous au nom du site cloné.