Attaque de l'homme du milieu

vignette|Schéma de l'attaque de l'homme du milieu : Mallory intercepte les communications entre Alice et Bob. L'attaque de l'homme du milieu (HDM) ou man-in-the-middle attack (MITM), parfois appelée attaque du monstre du milieu ou monster-in-the-middle attack ou attaque de l'intercepteur, est une attaque qui a pour but d'intercepter les communications entre deux parties, sans que ni l'une ni l'autre puisse se douter que le canal de communication entre elles a été compromis. Le canal le plus courant est une connexion à Internet de l'internaute lambda. L'attaquant doit d'abord être capable d'observer et d'intercepter les messages d'une victime à l'autre. L'attaque « homme du milieu » est particulièrement applicable dans la méthode d'échange de clés Diffie-Hellman, quand cet échange est utilisé sans authentification. Avec authentification, Diffie-Hellman est en revanche invulnérable aux écoutes du canal, et est d'ailleurs conçu pour cela. Un des problèmes majeurs lorsque deux personnes veulent échanger des données chiffrées est celui de la transmission des clés : pour s'assurer d'être les seuls à connaître ces informations secrètes, les correspondants doivent pouvoir les échanger de façon confidentielle. Dans le cadre de la cryptographie symétrique, il faut disposer d'un canal sécurisé pour l'échange de clés. La question de l'établissement de ce canal sécurisé se résout dans beaucoup de protocoles cryptographiques, comme SSL/TLS, par le biais de la cryptographie asymétrique. Dans le cadre de la cryptographie asymétrique, les deux personnes possèdent chacune leur clé publique et leur clé privée. Si la clé publique a été utilisée pour chiffrer un message, seul celui qui possède la clé privée correspondante peut le déchiffrer. Une communication chiffrée peut donc être établie par échange des seules clés publiques, ce qui ne nécessite pas un canal sécurisé. Il suffit en fait qu'un seul des interlocuteurs communique sa clé publique, le second l'utilisant pour lui envoyer de façon sûre une clé de chiffrement symétrique qu'il a choisie.

Side-channel analysis of isogeny-based key encapsulation mechanisms and hash-based digital signatures

Global, Passive Detection of Connection Tampering

BLURtooth: Exploiting Cross-Transport Key Derivation in Bluetooth Classic and Bluetooth Low Energy

Side-channel analysis of isogeny-based key encapsulation mechanisms and hash-based digital signatures

Global, Passive Detection of Connection Tampering

BLURtooth: Exploiting Cross-Transport Key Derivation in Bluetooth Classic and Bluetooth Low Energy