Hameçonnage de l'adversaire au milieu (AiTM)
Qu'est-ce que Hameçonnage de l'adversaire au milieu (AiTM) ?
Hameçonnage de l'adversaire au milieu (AiTM)Technique d'hameçonnage qui place un serveur proxy inverse entre la victime et la véritable page de connexion afin de relayer les identifiants et de voler le cookie de session post-authentification, contournant la plupart des MFA.
L'hameçonnage de l'adversaire au milieu (AiTM) est une technique de vol d'identifiants et de session dans laquelle l'attaquant interpose un serveur proxy inverse entre la victime et un site web légitime. Plutôt que de servir une page factice statique, le proxy récupère la vraie page de connexion en temps réel et relaie chaque requête et réponse : la victime voit donc le site authentique, réalise toute authentification multifactorielle et ne remarque rien d'anormal. Au passage du trafic, le proxy capture l'identifiant, le mot de passe et — surtout — le cookie de session authentifié que le serveur émet après la réussite du MFA. L'attaquant rejoue ce cookie pour détourner la session sans avoir à fournir de nouveau le second facteur. Parce qu'il déjoue la plupart des MFA par code à usage unique et par notification push, l'AiTM est souvent diffusé via des kits comme Evilginx, EvilProxy et Tycoon 2FA, et se contre principalement par un MFA résistant à l'hameçonnage et lié à l'origine, tel que FIDO2.
● Exemples
- 01
En juillet 2022, Microsoft a signalé une vaste campagne d'hameçonnage AiTM qui a visé plus de 10 000 organisations en relayant les pages de connexion Office 365 et en volant les cookies de session.
- 02
Des kits open source et commerciaux comme Evilginx, EvilProxy et Tycoon 2FA automatisent l'hameçonnage AiTM en agissant comme des proxys inverses transparents.
● Questions fréquentes
Qu'est-ce que Hameçonnage de l'adversaire au milieu (AiTM) ?
Technique d'hameçonnage qui place un serveur proxy inverse entre la victime et la véritable page de connexion afin de relayer les identifiants et de voler le cookie de session post-authentification, contournant la plupart des MFA. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie Hameçonnage de l'adversaire au milieu (AiTM) ?
Technique d'hameçonnage qui place un serveur proxy inverse entre la victime et la véritable page de connexion afin de relayer les identifiants et de voler le cookie de session post-authentification, contournant la plupart des MFA.
Comment fonctionne Hameçonnage de l'adversaire au milieu (AiTM) ?
L'hameçonnage de l'adversaire au milieu (AiTM) est une technique de vol d'identifiants et de session dans laquelle l'attaquant interpose un serveur proxy inverse entre la victime et un site web légitime. Plutôt que de servir une page factice statique, le proxy récupère la vraie page de connexion en temps réel et relaie chaque requête et réponse : la victime voit donc le site authentique, réalise toute authentification multifactorielle et ne remarque rien d'anormal. Au passage du trafic, le proxy capture l'identifiant, le mot de passe et — surtout — le cookie de session authentifié que le serveur émet après la réussite du MFA. L'attaquant rejoue ce cookie pour détourner la session sans avoir à fournir de nouveau le second facteur. Parce qu'il déjoue la plupart des MFA par code à usage unique et par notification push, l'AiTM est souvent diffusé via des kits comme Evilginx, EvilProxy et Tycoon 2FA, et se contre principalement par un MFA résistant à l'hameçonnage et lié à l'origine, tel que FIDO2.
Comment se défendre contre Hameçonnage de l'adversaire au milieu (AiTM) ?
Les défenses contre Hameçonnage de l'adversaire au milieu (AiTM) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Hameçonnage de l'adversaire au milieu (AiTM) ?
Noms alternatifs courants : Hameçonnage AiTM, Hameçonnage de l'homme du milieu, Hameçonnage de contournement de MFA.
● Termes liés
- attacks№ 919
Hameçonnage
Attaque d'ingénierie sociale où un attaquant se fait passer pour une entité de confiance afin de pousser la victime à révéler des identifiants, transférer de l'argent ou exécuter un logiciel malveillant.
- attacks№ 726
Attaque de l'homme du milieu (MitM)
Attaque dans laquelle un adversaire relaie ou modifie secrètement les communications entre deux parties qui pensent dialoguer directement.
- attacks№ 1131
Détournement de session
Attaque qui prend le contrôle de la session authentifiée d'une victime en volant ou en forgeant son identifiant de session, pour agir comme l'utilisateur sans ses identifiants.
- identity-access№ 920
Phishing-Resistant MFA
MFA methods that cryptographically bind authentication to the legitimate web origin — FIDO2/WebAuthn passkeys, smart cards, and Windows Hello — rendering AiTM proxy phishing, MFA fatigue, and OTP interception ineffective.
- network-security№ 1036
Proxy inverse
Serveur placé devant un ou plusieurs services back-end qui reçoit les requêtes des clients en leur nom et les transmet vers l'intérieur.
- identity-access№ 255
Collecte d'identifiants
Capture massive de noms d'utilisateur, mots de passe, jetons et autres secrets d'authentification, souvent en vue d'une prise de compte ou d'une revente.