Man-on-the-side : une attaque étrange

Qu’est-ce qu’une attaque de type « man-on-the-side » et quelle est la différence avec une attaque de « l’homme du milieu » ?

Il y a des attaques dont tout le monde a entendu parler. C’est notamment le cas des attaques par déni de service distribuées (DDoS). Puis il y a celles dont seul les professionnels ont connaissance, comme les attaques de l’homme du milieu (MitM). Et enfin, il y a les attaques plus rares et plus exotiques, comme les attaques de type « man-on-the-side » (MotS). Dans cet article, nous analysons ce dernier type d’attaque plus en détail et voyons en quoi elle diffère de l’attaque de l’homme du milieu.

Une attaque de qui et où ?!

Quel est le fonctionnement d’une attaque de type « man-on-the-side » ? En quelques mots, le client envoie une demande au serveur via un canal de transfert des données compromis. Ce canal n’est pas contrôlé par les cybercriminels, mais ils « l’écoutent ». Dans la plupart des cas, une attaque de ce type doit avoir accès au hardware du fournisseur d’Internet et c’est quelque chose de très rare. C’est pourquoi les attaques de type « man-on-the-side » sont également rares. Ces attaques surveillent les demandes du client et génèrent leurs propres réponses malveillantes.

L’attaque de l’homme du milieu fonctionne d’une façon similaire. Les cybercriminels s’en prennent aussi au processus de transfert des données entre le client et le serveur. La principale différence entre ces deux types d’attaque est que le destinataire (le serveur) reçoit la demande du client lorsque c’est une attaque de type « man-on-the-side« . Ainsi, l’objectif des cybercriminels est de répondre plus rapidement à la demande du client.

Quant à l’attaque de l’homme du milieu, les cybercriminels ont plus de contrôle sur le canal de transfert des données. Ils interceptent la demande et peuvent modifier ou supprimer les données envoyées par les autres utilisateurs au réseau. Ainsi, ils n’ont pas besoin d’être plus rapides que le serveur pour répondre.

Pourtant, l’attaque de l’homme du milieu est beaucoup plus invasive que celle de type « man-on-the-side« . Cela signifie qu’elle est aussi plus facile à détecter. Nous avons déjà décrit le fonctionnement d’une attaque de l’homme du milieu dans cet article, en prenant comme exemple le conte du Petit Chaperon rouge.

Très bien, mais quel est le fonctionnement de l’attaque « man-on-the-side » ?

Si l’attaque « man-on-the-side » est réussie, les cybercriminels peuvent envoyer diverses demandes à l’ordinateur de la victime et ainsi :

  • Remplacer le fichier que l’utilisateur souhaite télécharger. En 2022, par exemple, le groupe APT LuoYu a distribué le programme malveillant WinDealer à divers dispositifs et les victimes étaient principalement des diplomates, des scientifiques ou des entrepreneurs en Chine. Une demande était envoyée au serveur pour mettre à jour un programme légitime, mais les cybercriminels arrivaient à envoyer leur propre version corrigée, qui incluait un programme malveillant ;
  • Exécuter un script malveillant sur le dispositif. Selon l’ONG Electronic Frontier Foundation, c’est exactement de cette façon que le gouvernement chinois a essayé de censurer la communauté open source très connue de GitHub en 2015. Les cybercriminels ont utilisé une attaque de type « man-on-the-side » pour distribuer un programme JavaScript malveillant aux navigateurs d’utilisateurs qui ne se doutaient de rien. Suite à cela, ces navigateurs n’arrêtaient pas de rafraîchir les pages GitHub. Cette attaque DDoS a duré plus de cinq jours et a considérablement limité le service.
  • Rediriger la victime vers le site.

Notons par ailleurs que les services de renseignements de plusieurs pays sont également suspectés d’utiliser ce genre d’attaque.

Vous protéger

Nous l’avons déjà dit mais les attaques de type  » man-on-the-side  » sont très rares. Les cybercriminels doivent avoir accès au hardware du fournisseur afin d’exécuter l’attaque. Ainsi, les voyages d’affaires, les conférences de travail ou toute autre situation qui fait que vos employés doivent se connecter à un réseau Wi-Fi douteux sont une source de risques élevés. Pour vous protéger, nous vous conseillons de toujours utiliser un VPN pour travailler et d’installer une bonne solution de sécurité sur tous les dispositifs des employés.

Podcast : Cyber Pop épisode 15

Dans ce nouvel épisode de Cyber Pop, Ivan Kwiatkowski, Chercheur au GReAT Kaspersky, nous fait l’honneur de sa présence pour parler IA, Chat GPT, et éthique. Ensemble, nous essayons de comprendre le développement soudain de l’IA via Chat GPT ainsi que ses implications en matière de cybersécurité et d’éthique.

Conseils

Assurer la sécurité du domicile

Les entreprises de sécurité proposent des technologies intelligentes, principalement des caméras, pour protéger votre maison contre les vols, les incendies et les autres incidents. Mais qu’en est-il de la protection des systèmes de sécurité eux-mêmes contre les intrus ? Nous comblons cette lacune.

Abonnez-vous et recevez tous nos titres à la une par e-mail
  • For all other countries