Vioici la procedure d'une attaque "l'homme du millieu" :

1. L'ataquant souhaite espionner un utilisateur se trouvant etre sur le meme reseau, nous nommeront cet utiliateur 'Target'.

2. Afin d'y parvenir, l'attaquant utilisera (en regle generale) le protocole reseau ARP afin d'usurper a la fois l'identite de Target et l'identite du service auquel target souhait acceder.

Comment fonctionne le protocole reseau ARP ?

Il existe plusieurs sortes d'adresses dans le contexte des reseaux informatiques, nous ne parleront pour cette explication que de deux types d'adresses:

1. adresse IP : une adresse delivree par le protocole Internet Protocol qui nous permet d'identifier une machine sur le reseau, cette adresse est dynamique (en regle generale) .

2. adresse MAC : Media Access Control Adress, appellee egualement "adresse physique"; cette adresse se trouve dans la carte mere de la machine est se trouve etre statique (normalement).

Le protocole ARP permet de faire le lien entre les adresses IP et les adresses MAC.

fonction ARP(adresss IP)

{retun adresse MAC}

Ainsi, pour une adresse IP, le protocole ARP rend l'adresse MAC correspondante a l'aide d'un tableau ARP.

exemple du tableau ARP :

--------------------------------------------------------------------------------------------------------------------

| IP | MAC |

|--------------------------------------------------|---------------------------------------------------------------|

| 192.168.1.1 | 01:01:01:01:01:01 |

| | |

| | |

| | |

----------------------------------------------------------------------------------------------------------------------

Le protocole ARP dispose de plusieur mode, l'un des mode s'appel de Broadcast.

Ainsi, une machine sur le reseau demandera "qui est 192.168.1.1?" et cette requette d'identification sera envoyer a chaqu'une des machines sur le reseau (Broadcast).

en suite, la machine disposant de l'adresse IP : 192.168.1.1 repondra "c'est moi" en envoyant comme reponse a la requette son adresse MAC.

Pour finir, l'utilisateur ayant effectuer cette requette inscrira dans son tableau de corespondances ARP l'adresse MAC recue dans l'emplacement idoine.

Revenont a l'attaque MITM .

Supposons que Target souhaite acceder au site Internet de sa banque.

L'attaquant envera deux reply (reponses) ARP , une pour Target, il donnera sa propre adresse MAC alors que adresse IP sera celle de la banque et une a la banque,

l'adresse MAC sera celle de l'attauquant mais l'adresse IP sera celle de Target.

Ainsi, la connection entre Target est banque est belle et bien effectuee mais tout le trafique passera alors par l'attaquant sans que personne ne puisse s'en rendre compte.

L'attaquant pourrait ainsi recuperere les identifiants de comptes banquaires de target et en faire ce qu'il souhaite.

Les revendre sur le Dark-Net, prendre le risque le les utiliser lui-meme... Les possibilites sont nombreuses.