L'attaque “man-in-the middle” intercepte une communication entre deux systèmes. Par exemple, dans une transaction http la cible est la connexion TCP entre le client et le serveur. En utilisant différentes techniques, l'attaquant divise la connexion TCP originale en 2 nouvelles connexions, une entre le client et l'attaquant et l'autre entre l'attaquant et le serveur, comme montré dans la figure 1. Dès que la connexion TCP est interceptée, l'attaquant agit comme un proxy, étant en mesure de lire, il insère et modifie les données dans la communication interceptée.

Figure 1. Illustration de l'attaque " man-in-the-middle " L'attaque MITM est très efficace à cause de la nature du protocole http et le transfert de données qui sont toutes basées sur l'ASCII. De cette manière, il est possible de voir et d' interviewer dans le protocole http et aussi dans les données transférées. Ainsi, par exemple, il est possible de capturer un cookie de session en lisant l'en-tête http, mais il est aussi possible de changer une quantité de transaction d'argent à l'intérieur du contexte d'application, comme montré dans la figure 2.

Figure 2. Illustration d'un Paquet HTTP intercepté avec le Proxy Paros. L'attaque MITM pourrait aussi être faîte sur une connexion https en utilisant la même technique ; la seule différence consiste en l'établissement de deux sessions SSL indépendantes, une sur chaque connexion TCP. Le navigateur établit une connexion SSL avec l'attaquant, et l'attaquant établit une autre connexion SSL avec le serveur web. En général le navigateur avertit l'utilisateur que le certificat numérique utilisé n'est pas valide, mais l'utilisateur peut ignorer l'avertissement parce qu'il ne comprend pas la menace. Dans quelques contextes spécifiques il est possible que l'avertissement n'apparaisse pas, quant à l'exemple, quand le certificat du Serveur est compromis par l'attaquant ou quand le certificat de l'attaquant est signé par l'autorité certifiée CA et le CN est le même que celui du site Internet original. MITM n'est pas seulement une technique d'attaque, mais elle est aussi d'habitude utilisée pendant l'étape de développement d'une application web ou est toujours utilisée pour les évaluations de Vulnérabilité de Web.

Il y a plusieurs outils pour réaliser une attaque MITM. Ces outils sont particulièrement efficaces dans les environnements réseau LAN, parce qu'ils exécutent des fonctionnalités supplémentaires, comme les capacités “arp spoof” qui permettent l'interception de communication entre les hôtes.

• PacketCreator
• Ettercap
• Dsniff
• Cain e Abel

Les outils proxy permettent seulement l'interactiion avec les parties du protocole HTTP, comme l'en-tête et le corps d'une transaction, mais n'ont pas la capacité d'intercepter la connexion TCP entre le client et le serveur. Pour intercepter la communication, il est nécessaire d'utiliser d'autres outils d'attaque de réseau ou de configurer le navigateur.

• OWASP WebScarab
• Paros Proxy
• Burp Proxy
• ProxyFuzz
• Odysseus Proxy
• Fiddler (by Microsoft)

• http://www.sans.org/reading_room/whitepapers/threats/480.php

  • http://cwe.mitre.org/data/definitions/300.html
  • http://en.wikipedia.org/wiki/Man-in-the-middle_attack