Les attaques ciblant l'utilisateur sont devenues de plus en plus astucieuses et de plus en plus étendues, et peu d'entre elles génèrent autant de confusion que celles qui se ressemblent presque : MitM, MitB, BitB et le moins connu mais très dangereux Browser-in-the-Middle. Comprendre ce qui rend chacun différent Il est essentiel d’éviter les piqûres et de déployer des défenses efficaces.
Dans les lignes qui suivent, nous analysons, à l'aide d'exemples concrets, le fonctionnement de ces escroqueries, leurs différences et les tactiques efficaces pour les contrer. Vous y découvrirez tout, des tromperies visuelles comme les fausses fenêtres pop-up aux techniques d'empoisonnement de réseau, en passant par le vol de jetons de session et les usurpations d'identité si convaincantes que, si vous êtes pressé, Ils peuvent vous coûter vos informations d’identification ou votre argent..
Qu'est-ce qu'un navigateur intermédiaire et en quoi diffère-t-il de MitM, MitB et BitB ?
Browser-in-the-Middle (BitM ou BiTM) décrit un scénario dans lequel la victime pense utiliser son propre navigateur, mais interagit en réalité avec un navigateur distant contrôlé par l'attaquant. C'est comme être assis devant l'équipe du criminel.- Tout ce que vous écrivez et voyez peut être copié, modifié ou redirigé sans que vous vous en rendiez compte.
Lors d'une attaque classique de type « Man-in-the-Middle » (MitM), l'attaquant se positionne sur le chemin de communication entre votre appareil et le service légitime. Il n'a pas besoin d'être au cœur des sauts réseau ; il peut simplement s'infiltrer en cours de route pour espionner, manipuler ou rediriger les paquets. S'il n'y a pas de chiffrement de bout en bout (HTTPS/TLS), détecter l’intrusion est extrêmement difficile.
L'attaque Man-in-the-Browser (MitB) est un phénomène courant dans la fraude bancaire : un cheval de Troie infecte votre ordinateur et s'intègre à votre navigateur. Il intercepte ensuite vos messages, même lors de sessions HTTPS, car il agit avant le chiffrement du navigateur et après son déchiffrement. Peut injecter des formulaires, modifier les transferts et enregistrer les frappes sans éveiller les soupçons.
Browser-in-the-Browser (BitB), en revanche, est une astuce visuelle : une fenêtre est générée dans une page qui imite parfaitement une boîte de dialogue de navigateur (par exemple, une connexion OAuth). La barre d'adresse et les boutons sont une décoration, pas une vraie fenêtre : tout est dessiné ou composé avec du HTML, du CSS, des images et des iframes pour vous convaincre que vous entrez vos identifiants sur un site de confiance.
MitM classique : comment vous êtes intercepté en ligne
Pour un MitM à grande échelle, l’attaquant doit interférer avec le flux de données et, si possible, casser ou contourner le cryptage. Il y a plusieurs portes d'entrée qui exploitent les faiblesses du réseau ou de la configuration :
Portes d'entrée communes
– Wi-Fi malveillant ou jumeau maléfique : créer ou manipuler un point d’accès afin que tout votre trafic passe par l’attaquant. Sur les réseaux publics ou avec des mots de passe divulgués, c’est un jeu d’enfant. Connexion à des réseaux que vous ne contrôlez pas déclenche le risque.
Usurpation ARP/empoisonnement du cache ARP : grâce à de fausses réponses ARP, l'adresse IP de la passerelle est associée à l'adresse MAC de l'attaquant, ce qui permet à vos paquets de sortir via son ordinateur. Des outils comme Ettercap ou Cain & Abel automatisent ce processus et permettent l'analyse et la manipulation. Dans les réseaux locaux partagés, il est particulièrement efficace.
Usurpation DHCP : configuration d'un faux serveur DHCP sur le réseau pour fournir au client des paramètres corrompus (DNS, passerelle, routes). De cette façon, tout le trafic sortant est redirigé vers la destination souhaitée par l'attaquant. Dans les hôtels, les espaces de coworking et les réseaux Wi-Fi publics C'est un vecteur classique.
– Usurpation DNS/empoisonnement du cache : corruption des réponses DNS (sur des résolveurs anciens ou mal configurés) pour résoudre des domaines légitimes en adresses IP contrôlées par l’attaquant. Sans DNSSEC et avec des caches faibles, la redirection silencieuse est viable.
– Détournement BGP : À l'échelle d'Internet, le détournement de routes BGP annonce de faux chemins pour attirer du trafic vers les systèmes des attaquants. Ce n'est pas anodin, mais cela s'est déjà produit. Quand cela se produit, cela affecte des régions entières.
Contourner ou contourner HTTPS
Bien que TLS protège la confidentialité et l'intégrité, un MitM peut forcer une rétrogradation (suppression SSL), injecter du contenu dans des sections non chiffrées ou vous inciter à accepter un faux certificat. Si l'utilisateur fait confiance à un certificat non valide, l'attaquant établit deux sessions TLS distinctes et traduit le trafic entre les deux, lisant et modifiant ce qu'il veut.
Man-in-the-Browser (MitB) : Fraude provenant de votre propre navigateur
Dans MitB, l'ordinateur est d'abord infecté, généralement par un cheval de Troie qui se connecte au navigateur ou configure un proxy. À partir de ce moment, l’attaquant voit et modifie ce que vous voyez et envoyez.:Ajoutez des champs, modifiez les montants et les destinataires, masquez les transactions et capturez les cookies de session.
Les fonctionnalités courantes incluent l'injection JavaScript, l'enregistrement de frappe, les captures d'écran périodiques et même les tentatives de piratage HTTPS dans des segments spécifiques. Des frameworks comme MITMf ou des intégrations avec BeEF élargissent les possibilités de manipulation. Wireshark permet de surveiller le trafic lorsqu'on enquête, mais la victime voit rarement quelque chose d'inhabituel.
Exemples réels de chevaux de Troie MitB
– Clampi : l’un des premiers chevaux de Troie bancaires basés sur Windows, dédié à la collecte d’informations d’identification et de données financières. Il était connu pour sa persévérance et pour son orientation vers la banque en ligne.
– SpyEye : en plus d’enregistrer les frappes au clavier, il insérait de nouveaux champs ou modifiait des formulaires, affichait de faux soldes et masquait des transactions. Il a été vendu sur des forums underground et ciblait Chrome, IE, Firefox et Opera.
– Carberp : célèbre pour se faire passer pour des pages Facebook avec de faux avis de blocage, demandant des informations personnelles et un paiement pour « vérifier » l'identité. Pourrait télécharger d'autres logiciels malveillants et connectez-vous aux centres de contrôle pour les commandes en direct.
– Zeus/ZeuS/Zbot : probablement le plus connu, propagé par ingénierie sociale et téléchargements furtifs. Il ciblait les banques et les grandes organisations, capturant des formulaires et volant des identifiants à grande échelle. Il a infecté tout, des organisations publiques aux grandes entreprises technologiques..
Navigateur dans le navigateur (BitB) : l'art de la tromperie visuelle
Le BitB de mr.d0x a popularisé l'idée : avec des images qui imitent la barre d'adresse et les commandes de la fenêtre, plus un iframe avec du contenu réel, une « fenêtre » de connexion est présentée au sein même du site Web. Le sentiment de légitimité est très élevé, surtout si vous vous attendez à voir une fenêtre contextuelle OAuth.
Comment le détecter ? Essayez de le faire glisser hors du navigateur : s'il est confiné à l'onglet, il est faux ; vous ne pourrez pas non plus modifier la barre d'adresse peinte. Sur les systèmes ayant une apparence différente (par exemple, une fausse fenêtre macOS sous Linux), Les détails visuels révèlent le montage.
Cette astuce a été présente dans des campagnes contre les joueurs Steam/CS:GO : les sites de tournois ou les échanges affichaient de faux identifiants Steam et même des fenêtres Steam Guard falsifiées pour demander des codes 2FA. De fausses boîtes de discussion ont également été observées avec le même schéma : lorsqu'on essaie de les déplacer, il s'avère qu'il s'agit de HTML intégré.
Une autre variante est la fausse « barre d'accueil » : ils vous font défiler une fausse fenêtre contextuelle pour masquer l'URL, puis remplacent la zone supérieure par un faux en-tête crédible. Le but est toujours le même : voler des identifiants avec une illusion bien entretenue.
Navigateur intermédiaire (BitM/BiTM) : le navigateur distant transparent
Chez BitM, l'astuce est plus approfondie : une campagne de phishing vous amène sur le site Web de l'attaquant, qui vous connecte à un navigateur distant transparent. Vous pensez utiliser votre navigateur habituel ?, mais tout cela se produit à travers l’infrastructure du criminel.
Le flux typique comporte trois phases : premièrement, le leurre (e-mail, message ou lien qui authentifie l'application Web d'un attaquant) ; deuxièmement, la connexion transparente du navigateur avec JavaScript qui surveille l'interaction et peut déployer des enregistreurs de frappe ; troisièmement, l'utilisation normale de vos services en ligne. tandis que l'attaquant capture les jetons de session et les données sans éveiller les soupçons.
Vol de jetons et contournement de l'authentification multifacteur
Les jetons de session (cookies de session, jetons OAuth, etc.) constituent le butin. S'ils sont volés après l'authentification multifacteur (AMF), l'AMF n'a plus d'importance pour la session active. Avec des jetons valides, l'accès est immédiat et furtif.Les signatures de réponse indiquent que l'exfiltration peut se produire en quelques secondes, juste avant que le chiffrement du transport ne mette en paquets les données.
Cette approche rend extrêmement difficile de distinguer un faux site d’un vrai, car le contenu légitime peut être diffusé dans le navigateur contrôlé par l’attaquant. La vitesse d'attaque et le faible besoin de configuration ce qui le rend très attractif pour les adversaires avancés et les équipes rouges dans les tests de pénétration.
Cas et vecteurs supplémentaires favorisant les intermédiaires
Les appareils mobiles et IoT utilisent souvent des protocoles non sécurisés ou des configurations médiocres ; si une application communique via HTTP ou Telnet, un MitM lira et modifiera le trafic à volonté, il est donc important de savoir Signes évidents de logiciels espions et comment vous protéger. La vérification du cryptage dans les applications mobiles n’est pas triviale. et beaucoup échouent aux contrôles de base.
Dans les réseaux d’entreprise, l’empoisonnement ARP et les serveurs DHCP malveillants sont encore courants lorsque les commutateurs n’implémentent pas l’inspection ARP ou ne fournissent pas de segmentation appropriée. Une fois dans votre domaine de diffusion, un attaquant peut cibler plusieurs machines avec des attaques automatisées.
Pourquoi est-il si difficile de les détecter ?
Dans MitB, l'URL est correcte, tout comme le certificat ; le navigateur de l'utilisateur est déjà manipulé. Vous ne verrez pas d'avertissements de « site malveillant » Aucun changement évident, à l'exception de détails subtils : champs nouveaux ou manquants, déconnexions inattendues, alertes de connexion provenant d'appareils inconnus.
Pour le serveur, les connexions arrivent avec des identifiants valides et un flux normal. La session est authentique et l'authentification multifacteur a été effectuée avec succès. il n'y a aucun signe évident de force brute ni d'origine anormale si l'attaquant proxyfie le trafic.
SSL/TLS protège le transport, mais si une altération se produit dans le navigateur lui-même ou avant le chiffrement, le tunnel fait son travail en transportant des données déjà modifiées. La couche applicative est le terrain de jeu de MitB et BitM.
Des mesures qui font une différence dans le Browser-in-the-Middle
Hygiène des utilisateurs et bonnes pratiques
– Méfiez-vous des fenêtres contextuelles de connexion sur les sites web. Essayez de les déplacer, de zoomer et d'observer leur comportement. S'il ne se sépare pas de la fenêtre principale, mauvais signe.
– Observez attentivement l'aspect visuel : polices, icônes, ombres, boutons système. Les détails de la configuration sont perceptibles si vous prenez votre temps. Respirez, regardez et décidez.
– Utilisez des réseaux de confiance. Sur les réseaux publics, évitez les transactions et téléchargements sensibles. Le Wi-Fi ouvert est un terrain fertile pour l'usurpation DHCP/ARP/DNS.
– Maintenez votre ordinateur à jour : système, navigateur, plugins et applications. Les correctifs réduisent la surface d'attaque des chevaux de Troie MitB et des failles TLS.
– Antivirus/EDR actif et correctement configuré. De nombreuses solutions détectent l'empoisonnement du cache ARP ou les chevaux de Troie binaires. Scannez périodiquement et surveiller les alertes réseau.
– Utilisez un VPN fiable lorsque vous ne contrôlez pas le réseau. Il chiffre le trafic jusqu'au point de terminaison du VPN et réduit le risque d'écoute locale. Il n’est pas infaillible contre MitB, mais réduit MitM.
– Privilégiez HTTPS partout et validez les invites de certificat. N'acceptez jamais de certificats douteux pour s'en sortir.
– Activez MFA, mais prenez en charge les révisions d’activité et les déconnexions manuelles après des opérations critiques. L'authentification multifacteur (MFA) ne vous sauve pas si votre jeton est volé., mais cela complique les attaques opportunistes.
– Utilisez l’authentification hors bande autant que possible : SMS/appel ou application qui répète les détails de la transaction pour la confirmer. Vérifiez le montant et le destinataire avant d'approuver. Attention : certains chevaux de Troie interceptent également les SMS.
– Formation anti-fraude : emails, pièces jointes et liens suspects avec aperçu. Survolez les liens et vérifiez le domaine source réel.
Contrôles techniques pour les entreprises
– Segmentation du réseau et VLAN pour réduire la portée de l’usurpation d’identité ARP/DHCP. Moins d'hôtes dans le même domaine de collision, moins de dégâts potentiels.
– Pare-feu avec des règles est-ouest strictes et des listes de contrôle d’accès. Bloquer les interactions inutiles entre les segments.
– Active l’inspection/validation ARP sur les commutateurs et les routeurs si disponible ; limite les réponses DHCP aux serveurs autorisés. De nombreuses plateformes le prennent déjà en charge.
– Renforcez le DNS : utilisez des résolveurs modernes, validez DNSSEC et surveillez l’empoisonnement du cache. Évitez les anciennes versions vulnérables sur les serveurs DNS internes.
– Points de terminaison renforcés : blocage des extensions non signées, listes d’autorisation de proxy, politiques de navigateur gérées et EDR avec règles d’injection en cours. Minimise le risque de persistance.
– Renforcement des jetons : jetons de courte durée, rotatifs et liés au contexte (IP, appareil, géolocalisation). Réduit la fenêtre utile d'un jeton volé.
– Isolation du navigateur pour les sites à risque (conteneurs ou services distants). Une languette isolée limite l'impact de l'exécution de scripts malveillants.
– Exercices réguliers de l’équipe rouge axés sur les menaces liées au navigateur et aux sessions. Les tests et les mesures révèlent de réelles lacunes que les audits statiques ne voient pas.
– Télétravail avec un VPN d'entreprise robuste et des contrôles de posture. Les solutions d'accès à distance commerciales contribuent à sécuriser la connexion. Complétez avec des politiques Zero Trust.
Outils et utilitaires qui aident
– Pour les e-mails et les pièces jointes : filtres avancés de type Mimecast qui détectent les campagnes distribuant des chevaux de Troie MitB. La première barrière est la boîte aux lettres.
– Points de terminaison : suites qui vous alertent des nouvelles extensions de navigateur/BHO (par exemple, BullGuard) et bloquent les installations silencieuses. Que rien ne soit installé sans votre accord..
– Protection de session et anti-fraude : IBM Trusteer Rapport, Entrust TransactionGuard/IdentityGuard ou solutions équivalentes qui renforcent les transactions et la vérification hors bande. Ils ajoutent des signaux qui sont impossibles à falsifier facilement..
– Protection de l’interface/anti-falsification : plates-formes de sécurité de l’interface utilisateur (telles que CodeSealers) qui tentent d’empêcher les hooks et les injections. Une couche supplémentaire contre les astuces du navigateur.
Comment ils fonctionnent en pratique : deux itinéraires typiques
Traversée MitM pure : l'attaquant contrôle un point d'accès Wi-Fi « libre », vous capturez le portail captif et vous acceptez. Tout votre trafic passe par lui. Si vous naviguez vers un site sans HTTPS ou acceptez un faux certificat, Ils peuvent le lire, le modifier et le transmettre.En parallèle, il peut injecter des ressources dans les pages et vous diriger vers des sites de phishing.
Route bancaire MitB : Vous êtes infecté par un cheval de Troie en ouvrant un e-mail ou en téléchargeant un logiciel « utile ». Vous vous connectez à votre banque, effectuez un virement, et le logiciel malveillant modifie le nom du destinataire avant d'envoyer la demande. Il vous affiche une confirmation parfaite et masque temporairement le débit dans votre historique. Vous ne détectez le détournement que plusieurs jours plus tard..
Des indices qui devraient vous mettre en garde contre le Browser-in-the-Middle
– Fenêtres qui ne se comportent pas comme de vraies fenêtres (ne peuvent pas être supprimées de l'onglet, la barre d'adresse est « dessinée »). BitB à la chanson.
– Éléments qui apparaissent ou disparaissent dans les formulaires courants, notamment dans les paiements et les connexions. Un champ inattendu est un signal d'alarme.
– Notifications de connexion provenant d’emplacements ou d’appareils inconnus, ou déconnexions spontanées après avoir entré la 2FA. Gardez un œil sur vos e-mails et vos notifications.
– L’antivirus alerte en cas d’empoisonnement ARP ou de changements de proxy/hôtes. N'ignorez pas ces événements, indiquent généralement une attaque en cours sur le réseau.
Ce qu'il ne faut pas faire (et ce qu'il faut faire à la place)
– Ne cliquez pas sur « Continuer quand même » lorsque vous êtes confronté à une invite de certificat, sauf si vous avez une raison technique très claire. C'est la porte principale d'un MitMAu lieu de cela, vérifiez le domaine et rechargez-le sur un autre réseau.
– N’installez pas d’extensions ou de mises à jour à partir de fenêtres contextuelles sur des sites que vous ne connaissez pas. Téléchargez toujours à partir du site officiel et vérifie les signatures et les permis.
– N’utilisez pas de réseaux ouverts pour effectuer des achats, des opérations bancaires ou des changements de mot de passe. S’il n’y a pas d’autre option, utilisez un VPN. et revérifiez tout ce que vous passez.
– Ne vous fiez pas aux accroches irrésistibles (cadeaux, bonnes affaires impossibles). L'ingénierie sociale est le point de départ de presque toutVérifiez les expéditeurs, les en-têtes des e-mails et le véritable domaine derrière les liens.
Notes aux agents de sécurité
En plus de ce qui précède, il implémente des journaux de session et de transaction détaillés, la détection des anomalies de l'appareil/des empreintes digitales et la révocation des jetons en cas de compromission. Lier une session à un contexte (IP, ASN, clé matérielle) complique l'utilisation des jetons volés.
Examinez les politiques de cookies (SameSite, HttpOnly, Secure), renforcez les en-têtes (CSP, HSTS) et appliquez une vérification robuste aux flux OAuth/OpenID, y compris PKCE et les expirations agressives. Jetons rotatifs avec échange sécurisé réduire la valeur des prises chaudes.
Et n'oubliez pas le côté humain : des campagnes de sensibilisation régulières, des simulations de phishing avec des scénarios BitB/BitM et des manuels de réponse clairs pour révoquer les sessions, bloquer les destinations et assister les utilisateurs. La première réponse est aussi importante que la prévention.
La famille des attaques de type « man-in-the-middle » partage un principe simple : s'immiscer dans votre chemin ou votre propre fenêtre pour voler ce qui a le plus de valeur : vos sessions et vos identifiants. Les astuces varient, des fausses fenêtres aux routes empoisonnées ou aux navigateurs distants, mais elles sont neutralisées si vous ralentissez, renforcez vos jetons et vos sessions, fermez les portes du réseau et prenez l'habitude de vérifier ce qui semble évident ; arrêtez-vous, réfléchissez, puis connectez-vous. Cela vous évite plus de frayeurs que vous ne l'imaginez. Partagez ces informations et davantage de personnes connaîtront Browser-in-the-Middle..