Les attaques de l'homme du milieu (MitM) constituent une menace importante pour la sécurité Web. Dans ces attaques, un acteur malveillant intercepte la communication entre un client et un serveur, lui permettant d'écouter, de manipuler ou de voler des données. Ce blog explorera le fonctionnement des attaques MitM dans le contexte des applications JavaScript et fournira des étapes pratiques pour sécuriser votre application contre ces menaces.

Qu’est-ce qu’une attaque de l’homme du milieu ?

Une attaque Man-in-the-Middle se produit lorsqu'un attaquant intercepte et relaie secrètement des messages entre deux parties qui pensent communiquer directement entre elles. Cette interception peut conduire à un accès non autorisé à des données sensibles, telles que les identifiants de connexion, les informations financières et les informations personnelles.

Comment fonctionnent les attaques MitM

Les attaques MitM peuvent être exécutées de différentes manières, notamment :

1. Usurpation DNS : L'usurpation DNS implique la modification des enregistrements DNS pour rediriger les utilisateurs vers des sites Web malveillants.

Exemple:
Supposons que vous ayez déployé votre application Node.js et React sur xyz.com. Un pirate informatique peut manipuler les enregistrements DNS de sorte que lorsque les utilisateurs tentent de visiter xyz.com, ils soient redirigés vers un site malveillant qui semble identique au vôtre.

Étapes pour empêcher l'usurpation d'identité DNS :

• Utilisez DNSSEC (Domain Name System Security Extensions) pour ajouter une couche de sécurité supplémentaire.
• Surveillez et mettez à jour régulièrement vos enregistrements DNS.
• Utilisez des fournisseurs DNS réputés qui offrent des fonctionnalités de sécurité contre l'usurpation d'identité DNS.

# Example of enabling DNSSEC on your domain using Cloudflare
# Visit your domain's DNS settings on Cloudflare
# Enable DNSSEC with a single click

2. Usurpation d'adresse IP
L'usurpation d'adresse IP consiste à prétendre être une adresse IP fiable pour intercepter le trafic réseau.

Exemple:
Un attaquant pourrait usurper l'adresse IP de votre serveur pour intercepter le trafic entre vos clients et votre serveur Node.js.

Étapes pour empêcher l'usurpation d'adresse IP :

• Mettez en œuvre une liste blanche d'adresses IP pour autoriser uniquement les adresses IP de confiance à communiquer avec votre serveur.
• Utilisez des mesures de sécurité au niveau du réseau telles que des VPN et des pare-feu.
• Assurez-vous d'une validation et d'un filtrage appropriés des adresses IP sur votre serveur.

// Example of IP whitelisting in Express.js
const express = require('express');
const app = express();

const allowedIPs = ['123.45.67.89']; // Replace with your trusted IPs

app.use((req, res, next) => {
  const clientIP = req.ip;
  if (!allowedIPs.includes(clientIP)) {
    return res.status(403).send('Forbidden');
  }
  next();
});

// Your routes here

app.listen(3000, () => {
  console.log('Server is running on port 3000');
});

3. Usurpation HTTPS
L'usurpation d'identité HTTPS consiste à créer de faux certificats SSL pour usurper l'identité d'un site Web sécurisé.

Exemple:
Un attaquant pourrait créer un faux certificat SSL pour xyz.com et configurer un serveur malveillant qui semble identique à votre serveur légitime.

Étapes pour empêcher l'usurpation d'identité HTTPS :

• Utilisez la transparence des certificats pour surveiller et enregistrer tous les certificats émis pour votre domaine.
• Implémentez HTTP Public Key Pinning (HPKP) pour associer la clé publique cryptographique de votre serveur Web à un certain ensemble de sites Web HTTPS.

// Example of implementing HPKP in Express.js
const helmet = require('helmet');
const app = express();

app.use(helmet.hpkp({
  maxAge: 60 * 60 * 24 * 90, // 90 days
  sha256s: ['yourPublicKeyHash1', 'yourPublicKeyHash2'], // Replace with your public key hashes
  includeSubDomains: true
}));

// Your routes here

app.listen(3000, () => {
  console.log('Server is running on port 3000');
});

4. Écoutes Wi-Fi
L'écoute Wi-Fi consiste à intercepter les données transmises sur des réseaux Wi-Fi non sécurisés.

Exemple:
Un pirate informatique pourrait configurer un point d'accès Wi-Fi malveillant et intercepter les données transmises entre les utilisateurs et votre serveur lorsqu'ils s'y connectent.

Étapes pour empêcher les écoutes Wi-Fi :

• Encouragez les utilisateurs à se connecter uniquement à des réseaux Wi-Fi sécurisés.
• Mettez en œuvre le cryptage de bout en bout (E2EE) pour protéger les données transmises entre le client et le serveur.
• Utilisez des VPN pour crypter le trafic entre les clients et votre serveur.

// Example of enforcing HTTPS in Express.js
const express = require('express');
const app = express();

app.use((req, res, next) => {
  if (req.headers['x-forwarded-proto'] !== 'https') {
    return res.redirect(['https://', req.get('Host'), req.url].join(''));
  }
  next();
});

// Your routes here

app.listen(3000, () => {
  console.log('Server is running on port 3000');
});

Prévenir les attaques MitM dans les applications JavaScript

1. Utilisez HTTPS partout
Assurez-vous que toutes les communications entre le client et le serveur sont cryptées à l'aide de HTTPS. Utilisez des outils comme Let's Encrypt pour obtenir des certificats SSL/TLS gratuits.

// Enforce HTTPS in Express.js
const express = require('express');
const app = express();

app.use((req, res, next) => {
  if (req.headers['x-forwarded-proto'] !== 'https') {
    return res.redirect(['https://', req.get('Host'), req.url].join(''));
  }
  next();
});

// Your routes here

app.listen(3000, () => {
  console.log('Server is running on port 3000');
});

2. Valider les certificats SSL/TLS
Utilisez une validation forte pour les certificats SSL/TLS et évitez les certificats auto-signés en production.

3. Mettre en œuvre la politique de sécurité du contenu (CSP)
Utilisez les en-têtes CSP pour restreindre les sources à partir desquelles votre application peut charger des ressources, réduisant ainsi le risque d'injection de scripts malveillants.

// Setting CSP headers in Express.js
const helmet = require('helmet');
app.use(helmet.contentSecurityPolicy({
  directives: {
    defaultSrc: ["'self'"],
    scriptSrc: ["'self'", 'trusted.com'],
    styleSrc: ["'self'", 'trusted.com']
  }
}));

4. Utiliser des cookies sécurisés
Assurez-vous que les cookies sont marqués comme Secure et HttpOnly pour empêcher leur accès via des scripts côté client.

// Setting secure cookies in Express.js
app.use(require('cookie-parser')());
app.use((req, res, next) => {
  res.cookie('session', 'token', { secure: true, httpOnly: true });
  next();
});

5. Implémenter HSTS (HTTP Strict Transport Security)
Utilisez HSTS pour forcer les navigateurs à communiquer uniquement avec votre serveur via HTTPS.

// Setting HSTS headers in Express.js
const helmet = require('helmet');
app.use(helmet.hsts({
  maxAge: 31536000, // 1 year
  includeSubDomains: true,
  preload: true
}));

Les attaques Man-in-the-Middle peuvent avoir des conséquences dévastatrices pour les applications Web, conduisant à des vols de données et à des attaques par injection. En comprenant le fonctionnement de ces attaques et en mettant en œuvre des mesures de sécurité robustes, vous pouvez protéger vos applications JavaScript et assurer la sécurité des données de vos utilisateurs. Utilisez toujours HTTPS, validez les certificats SSL/TLS, implémentez CSP, sécurisez les cookies et appliquez HSTS pour atténuer les risques d'attaques MitM.