Vous êtes victime d'une attaque ?
Selon le rapport de Microsoft sur la défense numérique,les attaques de type "Adversary-in-the-middle" ont augmenté de 146 % au cours de l'année écoulée. Qu'est-ce que l'AiTM et pourquoi est-il en augmentation ?
Les cybercriminels ont adapté leurs tactiques pour cibler non seulement les mots de passe, mais aussi le processus même utilisé pour vérifier l'identité d'une personne en ligne. Il s'agit des attaques de type "Adversary-in-the-Middle" (AiTM). Bien que le nom puisse sembler technique, le concept décrit le moment où un attaquant s'insère dans la communication entre un utilisateur et un service légitime, interceptant les données et prenant le contrôle des sessions sans que la victime ne s'en rende compte.
En quoi une attaque AiTM diffère-t-elle d'une attaque MitM classique ?
Le terme " homme du milieu" (MitM) existe depuis de nombreuses années dans le domaine de la cybersécurité. Une attaque MitM place traditionnellement un attaquant entre deux parties afin qu'il puisse écouter ou modifier les communications. L'AiTM se distingue par l'interception active des flux d'authentification, souvent au moment où les utilisateurs entrent leurs données de connexion. Au lieu d'écouter passivement, l'attaquant participe au processus d'authentification lui-même, ce qui lui permet de capturer les cookies de session ou les jetons utilisés pour maintenir l'accès à la connexion.
En d'autres termes, alors que les attaques MitM standard peuvent intercepter des communications générales, AiTM cible spécifiquement le moment de l'authentification et le point exact où l'identité est vérifiée. Cette distinction rend les attaques AiTM efficaces pour contourner des mécanismes tels que l'authentification multifactorielle (MFA).
Comment fonctionne une attaque AiTM
Les attaques AiTM sont conçues pour donner l'impression à la victime qu'il s'agit d'une opération de routine, tout en donnant aux attaquants le contrôle total du processus d'authentification. Plutôt que de voler les informations d'identification de manière isolée, l'attaquant s'intercale activement dans la session de connexion en temps réel.
Tromperie initiale
L'attaque commence par un message de phishing conçu pour ressembler à une demande légitime émanant d'un service de confiance ou d'une équipe interne. Les messages créent souvent un sentiment d'urgence, incitant les utilisateurs à vérifier leur compte, à résoudre un problème de sécurité ou à accéder à un document. Le lien ne mène pas à une fausse page statique, mais à une infrastructure contrôlée par l'attaquant qui s'interpose entre l'utilisateur et le véritable service.
Interception du flux de connexion
Lorsque la victime clique sur le lien, son navigateur passe par un proxy inverse géré par l'attaquant. Ce proxy charge dynamiquement le contenu du site web authentique, en présentant ce qui est effectivement la vraie page de connexion. Comme la page se comporte normalement, il est peu probable que la victime remarque quoi que ce soit d'inhabituel.
Capture des informations d'identification en temps réel
Lorsque l'utilisateur saisit son nom d'utilisateur et son mot de passe, le proxy capture les informations d'identification et les transmet immédiatement au service légitime. Si une authentification à plusieurs facteurs est nécessaire, le proxy se contente de relayer le défi et la réponse. L'authentification s'effectue avec succès, ce qui permet à l'attaquant d'avoir une visibilité sur l'ensemble du processus sans avoir à déjouer directement l'authentification multifactorielle.
Détournement du jeton de session
Une fois l'authentification réussie, le service légitime émet des cookies ou des jetons de session pour confirmer l'accès. L'attaquant intercepte ces jetons lorsqu'ils passent par le proxy. Avec un jeton de session valide, l'attaquant peut créer sa propre session authentifiée sans réutiliser le mot de passe ou le MFA, assumant ainsi l'identité de l'utilisateur.
Persistance et exploitation
En utilisant la session volée, les attaquants peuvent accéder au courrier électronique, aux services en nuage et aux applications internes avec un minimum de friction. Ils agissent souvent rapidement pour établir la persistance en modifiant les paramètres du compte, en ajoutant des méthodes d'authentification ou en accordant des autorisations d'application. Même si l'utilisateur change son mot de passe, l'attaquant peut conserver l'accès jusqu'à ce que la session soit révoquée.
Outils et techniques couramment utilisés par les attaquants
Les attaques AiTM s'appuient sur des outils et des cadres facilement disponibles qui facilitent leur déploiement à grande échelle. Les attaquants utilisent couramment des kits de proxy inverse tels que Evilginx2, EvilProxy et d'autres pour automatiser la gestion des certificats, le clonage des pages et la capture des sessions. Ces kits simplifient le processus de mise en place d'un proxy d'apparence réaliste capable d'intercepter les flux d'authentification.
Certains attaquants utilisent également des techniques de réseau telles que la manipulation du DNS, l'usurpation d'adresse ARP ou la compromission de réseaux Wi-Fi pour rediriger le trafic à travers leur infrastructure. Les campagnes avancées peuvent même impliquer la compromission de fournisseurs de services ou l'utilisation de modèles d'hameçonnage en tant que service pour héberger et gérer l'infrastructure d'hameçonnage au nom des affiliés.
Pourquoi les attaques AiTM sont-elles si efficaces ?
La force de l'AiTM réside dans sa capacité à contourner les protections MFA dont dépendent les organisations. Étant donné que l'attaquant relaie les réponses d'authentification en temps réel et capture les jetons de session, le simple fait d'activer le MFA n'empêche pas la compromission. Les défenses traditionnelles telles que les pare-feu, les politiques de mots de passe statiques et le filtrage de base des courriels sont également inefficaces contre l'AiTM.
La détection peut également être difficile. Étant donné que la victime se connecte souvent avec succès et que le MFA se termine correctement, les journaux de sécurité peuvent montrer une authentification légitime. À moins d'une surveillance sophistiquée pour détecter des modèles de session inhabituels, des anomalies de dispositifs ou des scénarios de voyage impossibles, l'intrusion peut passer inaperçue.
Réduire le risque AiTM grâce à une approche de sécurité à plusieurs niveaux
Integrity360 aide les organisations à réduire le risque d'attaques AiTM grâce à une approche multicouche basée sur l'intelligence. Les services desensibilisation à la sécurité gérée renforcent la couche humaine en aidant les utilisateurs à reconnaître les leurres de phishing, les invites de connexion suspectes et les tactiques d'ingénierie sociale qui sont souvent à l'origine des campagnes AiTM. En améliorant la sensibilisation et en renforçant les comportements sécurisés, les organisations peuvent réduire de manière significative la probabilité qu'un attaquant réussisse à se placer dans le flux d'authentification.
Au niveau de la couche d'identité, Managed Identity Security offre une meilleure visibilité sur la façon dont les identités sont utilisées et abusées dans les environnements en nuage et sur site. Il s'agit notamment de surveiller les comportements d'authentification anormaux, les activités de session à risque, l'utilisation abusive des jetons et les modifications non autorisées des configurations d'identité. Ces informations sont essentielles pour détecter rapidement les compromissions liées à l'AiTM, avant que les attaquants n'établissent une persistance ou n'escaladent l'accès.
Lorsque les attaquants parviennent à pénétrer dans le système, une détection et une réponse rapides deviennent essentielles. Managed Detection and Response (MDR ) permet une surveillance continue de la télémétrie des identités, des terminaux, du cloud et du réseau, ce qui permet d'identifier et de contenir rapidement les activités suspectes associées aux attaques AiTM. Cela réduit le temps d'attente et limite la possibilité pour les attaquants de se déplacer latéralement, d'exfiltrer des données ou de déployer des attaques de suivi.
Enfin, le CTEM en tant que service aide les organisations à comprendre et à réduire l'exposition de leur surface d'attaque en constante évolution. En identifiant, en hiérarchisant et en validant en permanence les risques réels, le CTEM permet de s'assurer que les faiblesses d'identité, les mauvaises configurations et les chemins d'accès à haut risque exploités par les attaques AiTM sont traités de manière proactive plutôt que réactive.
Les attaques AiTM ne sont pas une tendance passagère. Elles reflètent la façon dont les attaquants s'adaptent aux contrôles de sécurité modernes. Avec la bonne combinaison de sensibilisation, de protection de l'identité, de capacités de détection et de gestion continue de l'exposition, les entreprises peuvent réduire de manière significative la probabilité et l'impact de ces attaques. Integrity360 réunit ces capacités pour aider les entreprises à sécuriser les identités, à protéger les utilisateurs et à garder une longueur d'avance sur un paysage de menaces de plus en plus axé sur les identités.
Si vous avez besoin d'aide pour lutter contre la menace AiTM, contactez nos experts.
