Qu'est-ce que l'attaque Man in the Middle ?

Cette attaque qui porte bien son nom consiste à s'interposer de manière transparente dans une connexion afin d’écouter (sniffer) sans se faire remarquer.

Il existe plusieurs types d’attaques dites Man in the Middle, la plus connue est certainement l’attaque ARP poison. Le but ici, consiste à remplacer les tables ARP des postes ciblés afin de mettre le poste attaquant en position d'écoute entre les cibles.

Une personne qui compte utiliser ce type d’attaque commence par envoyer deux paquets ARP falsifiés par ses soins vers les deux postes cibles afin de leur indiquer le changement d’adresse ARP du poste distant.

Une fois les paquets ARP reçus, les deux postes ciblés mettront à jour leur table ARP avec les nouvelles informations (informations falsifiées rappelons-le). A ce stade, chaque paquet envoyé par les postes ciblés sera donc envoyé à l’adresse MAC du poste attaquant.

Le paquet envoyé par le hacker fera en sorte que chaque paquet envoyé d'un poste cible à un autre, passe par lui. Cependant, il s’assurera que la requête soit envoyée régulièrement pour éviter les mises à jour des tables ARP des postes cibles. En effet les tables ARP s’actualisent constamment toutes les X secondes, ce laps de temps étant configurable sur la plupart des systèmes d'exploitation ; puis émet un broadcast ARP pour connaître les adresses MAC des postes avec lesquels il souhaite communiquer.

Le poste attaquant réceptionne toutes les communications entre les deux postes cibles mais ce n'est pas suffisant. Il doit ensuite retransmettre les paquets aux cibles correspondantes pour que le dialogue entre les deux machines continuent, et qu'il puisse continuer d'écouter ce qui se passe, tout en restant invisible au milieu de la connexion.

Autant la réponse de zyz est juste, autant elle est très techniquement détaillée. Je vous propose une version plus light pour décrire ce qu'est une attaque Man in the middle.

Cela consiste pour l'attaquant de trouver un moyen de se placer entre votre équipement (ordinateur, téléphone ou n'importe quoi de connecté) et le serveur.

Ainsi, tous les échanges passeront par l'attaquant avant d'aller sur le serveur. C'est là que l'attaquant à le choix entre : 1. Simplement tout écouter 2. Faire semblant que le serveur a reçu votre message, alors qu'il l'a bloqué 3. Modifier les messages envoyés au serveur à sa guise

Si vous êtes en train de donner votre numéro de carte de crédit, cela devient tout de suite plus clair...

Enfin, pour revenir à l'explication de zyz, il décrit la situation d'une usurpation d'une antenne wifi. Et oui, comme vous êtes connecté "sans fil", un attaquant pourrait se faire passer pour votre réseau wifi et être l'intermédiaire entre vous et Internet.

Les éléments cités (ARP et adresses MAC) sont des éléments techniques structurant le fonctionnement des réseaux en général et d'Internet en particulier.

En espérant avoir apporté un éclairage complémentaire à cette question,

https://defense-numerique.com