Un leader du Magic Quadrant™ Gartner® 2025 pour la Protection des Endpoints. Cinq ans de suite.Un leader du Magic Quadrant™ Gartner®Lire le rapport
Votre entreprise est la cible d’une compromission ?Blog
Demander une démo Contactez nous
Header Navigation - FR
  • Plateforme
    Aperçu de la plateforme
    • Singularity Platform
      Bienvenue sur le site de la sécurité intégrée de l'entreprise
    • Portefeuille de solutions de cybersécurité basées sur l’IA
      Référence en matière de sécurité alimentée par l’IA
    • Comment ça marche
      La Différence de Singularity XDR
    • Singularity Marketplace
      Des intégrations en un clic pour libérer la puissance de XDR
    • Tarification et Packages
      Comparaisons et conseils en un coup d'œil
    Data & AI
    • Purple AI
      Accélérer le SecOps avec l'IA générative
    • Singularity Hyperautomation
      Automatiser facilement les processus de sécurité
    • AI-SIEM
      Le SIEM IA pour le SOC autonome
    • Singularity Data Lake
      Propulsé par l'IA, unifié par le lac de données
    • Singularity Data Lake For Log Analytics
      Acquisition transparente de données à partir d'environnements sur site, en nuage ou hybrides
    Endpoint Security
    • Singularity Endpoint
      Prévention, détection et réaction autonomes
    • Singularity XDR
      Protection, détection et réponse natives et ouvertes
    • Singularity RemoteOps Forensics
      Orchestrer la criminalistique à l'échelle
    • Singularity || Threat Intelligence
      Renseignement complet sur l'adversaire
    • Singularity Vulnerability Management
      Découverte d'actifs malhonnêtes
    Cloud Security
    • Singularity Cloud Security
      Bloquer les attaques avec un CNAPP alimenté par l'IA
    • Singularity Cloud || Native Security
      Sécurisation des ressources de développement et de l'informatique en nuage
    • Singularity Cloud Workload Security
      Plateforme de protection des charges de travail en nuage en temps réel
    • Singularity || Cloud Data Security
      Détection des menaces par l'IA
    • Singularity Cloud Security Posture Management
      Détecter les mauvaises configurations dans le cloud et y remédier
    Identity Security
    • Singularity Identity
      Détection des menaces et réponse à l'identité
  • Pourquoi SentinelOne ?
    Pourquoi SentinelOne ?
    • Pourquoi SentineOne ?
      La Cybersécurité au service de l’avenir
    • Nos clients
      Reconnue par des Grandes Entreprises du monde entier
    • Reconnaissance du Marché
      Testé et Éprouvé par les Experts
    • A propos de nous
      Le Leader de l’Industrie de la Cybersécurité Autonome
    Comparer SentinelOne
    • Arctic Wolf
    • Broadcom
    • Crowdstrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Secteurs
    • Energie
    • Gouvernement Fédéral
    • Services Financiers
    • Santé
    • Enseignement Supérieur
    • Enseignement Primaire et Secondaire
    • Industrie
    • Vente au Détail
    • Collectivités territoriales
  • Services
    Services managés
    • Vue d’Ensemble des Services Managés
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Expertise de niveau mondial et Cyber Threat Intelligence.
    • Managed Detection & Response
      Services MDR experts 24/7/365 pour l’ensemble de votre environnement.
    • Incident Readiness & Response
      Analyses forensiques, IRR et préparation aux incidents.
    Support, Déploiement et Hygiène
    • Gestion Technique des Comptes
      Service Personnalisé pour la réussite de nos clients
    • SentinelOne GO
      Conseil pour l’Intégration et le Déploiement
    • SentinelOne University
      Formation live ou à la demande
    • Vue d’ensemble des Services
      Des solutions complètes pour des opérations de sécurité fluides
    • SentinelOne Community
      Connexion à la Communauté
  • Partenaires
    Notre réseau
    • Partenaires MSSP
      Réussir plus rapidement avec SentinelOne
    • Singularity Marketplace
      Etendez le pouvoir de la technologie S1
    • Partenaires Risques Cyber
      Enrôlez les équipes pour gérer les Réponses à Incident
    • Partenaires Technologiques
      Intégrée, la Solution Enterprise à grande échelle
    • SentinelOne pour AWS
      Hébergé dans les Régions AWS du Monde Entier
    • Partenaires commerciaux
      Apportons ensemble les meilleures solutions
    Aperçu de la plateforme→
  • Ressources
    Ressources
    • Fiches techniques
    • eBooks
    • Livres Blancs
    • Events
    Voir toutes les Ressources→
    Blog
    • Feature Spotlight
    • For CISO/CIO
    • From the Front Lines
    • Identité
    • Cloud
    • macOS
    • Blog SentinelOne
    Blog→
    Ressources Tech
    • SentinelLABS
    • Glossaire du Ransomware
    • Cybersecurity 101
  • A propos de
    A propos de SentinelOne
    • A propos de SentinelOne
      Le Leader de l’Industrie en Cybersécurité
    • SentinelLabs
      La Recherche sur les Menaces pour le Chasseur de Menaces Moderne
    • Carrières
      Les Dernières Offres d’Emploi
    • Press
      Annonces de l’Entreprise
    • Blog Cybersecurité
      Les dernières menaces en matière de cybersécurité
    • FAQ
      Obtenez des réponses aux questions les plus fréquentes
    • DataSet
      La Plateforme en live
    • S Foundation
      Assurer un Avenir Plus Sûr pour Tous
    • S Ventures
      Investir dans la Nouvelle Génération d’outils de Sécurité et de Données
Demander une démo Contactez nous
Background image for Qu'est-ce qu'une attaque AitM (Adversary-in-the-Middle) ?
Cybersecurity 101/Renseignements sur les menaces/Adversaire au milieu (AitM)

Qu'est-ce qu'une attaque AitM (Adversary-in-the-Middle) ?

Les attaques de type Adversary-in-the-Middle (AiTM) manipulent les communications à des fins malveillantes. Comprenez leurs tactiques et comment vous en défendre.

CS-101_Threat_Intel.svg
Sommaire

Articles similaires

  • Qu'est-ce que la cyber-résilience? Avantages et défis
  • Qu'est-ce qu'une menace pour l'identité dans le domaine de la cybersécurité ?
  • Qu'est-ce que la détection et la réponse aux menaces (TDR) ?
  • Que sont les attaques par force brute ?
Auteur: SentinelOne
Mis à jour: July 16, 2025

Les attaques de type Adversary-in-the-Middle (AITM) sont une forme sophistiquée d'attaques MITM qui consistent à usurper l'identité des deux parties. Ce guide explore le fonctionnement des attaques AITM, leurs risques et les stratégies de détection et de prévention.

Découvrez l'importance d'une authentification et d'un chiffrement forts. Il est essentiel pour les organisations de comprendre les attaques AITM afin de renforcer leurs défenses en matière de cybersécurité.

Brève présentation des attaques de type " adversaire au milieu " (AitM)

Les attaques AitM se caractérisent par leur nature active, allant au-delà de l'écoute passive pour manipuler activement les données et les communications. Cela en fait une menace potentielle dans le domaine de la cybersécurité.

Le concept des attaques AitM trouve son origine dans l'évolution historique des attaques MitM, qui sont apparues à l'origine comme un moyen d'intercepter les communications entre deux parties. Les premières attaques MitM consistaient souvent à espionner des canaux de communication non cryptés, tels que des réseaux Wi-Fi non sécurisés ou des échanges d'e-mails non cryptés. Ces attaques visaient à compromettre la confidentialité des données sans nécessairement altérer le contenu transmis.

Aujourd'hui, les attaques AitM ont évolué pour devenir très sophistiquées et malveillantes. Elles peuvent se manifester sous différentes formes, notamment :

  • Collecte d'identifiants – Les auteurs d'attaques AitM peuvent intercepter des identifiants de connexion, tels que des noms d'utilisateur et des mots de passe, afin d'obtenir un accès non autorisé à des comptes et à des systèmes sensibles.
  • Manipulation de données – Ces pirates peuvent modifier le contenu des paquets de données en transit, ce qui peut altérer les informations ou injecter du code malveillant dans des flux de données légitimes.
  • Écoute clandestine – Si les attaques AitM impliquent souvent une manipulation active, elles peuvent également consister à écouter passivement des communications sensibles à des fins d'espionnage ou de vol de données.
  • Hameçonnage & Usurpation d'identité – Les attaques AitM peuvent impliquer l'usurpation d'identité d'entités légitimes afin de tromper les victimes et les inciter à divulguer des informations sensibles ou à effectuer des transactions frauduleuses.
  • Malware Diffusion – Dans certains cas, les auteurs d'attaques AitM peuvent utiliser leur position pour diffuser des mises à jour logicielles malveillantes ou des charges utiles afin de compromettre les systèmes cibles.

L'importance des attaques AitM réside dans leur potentiel de dommages graves. Elles peuvent compromettre l'intégrité des données, porter atteinte à la vie privée, faciliter l'usurpation d'identité et permettre la fraude financière. Dans des secteurs critiques tels que la finance, la santé et l'administration, les attaques AitM peuvent entraîner des violations dévastatrices aux conséquences considérables.

Comprendre le fonctionnement des attaques Adversary-in-the-Middle (AitM)

Dans une attaque AitM, l'acteur malveillant se positionne stratégiquement entre l'expéditeur et le destinataire des données ou des communications. Ce positionnement permet à l'attaquant d'intercepter, de manipuler ou de rediriger le trafic passant entre les deux parties. Cela peut être réalisé par divers moyens, tels que la compromission de périphériques réseau, l'exploitation de vulnérabilités ou l'infiltration d'un réseau par d'autres moyens.

Une fois en position stratégique, l'attaquant intercepte le trafic de données passant entre la victime et sa destination prévue. Cette interception peut se produire à différents niveaux de communication, notamment au niveau de la couche réseau (par exemple, en acheminant le trafic via un serveur proxy malveillant), au niveau de la couche transport (par exemple, en interceptant les connexions TCP/IP) ou même au niveau de la couche application (par exemple, en manipulant les requêtes et les réponses HTTP).

Manipulation active

Ce qui distingue les attaques AitM, c'est leur manipulation active des données interceptées. L'attaquant peut modifier le contenu des paquets, injecter des charges utiles malveillantes ou altérer les données en transit. Cette manipulation peut prendre plusieurs formes :

  • Modification du contenu – Les attaquants peuvent modifier le contenu des messages, des fichiers ou des paquets de données afin d'y insérer du contenu malveillant, tel que des logiciels malveillants ou des informations frauduleuses.
  • Exfiltration de données – Les pirates informatiques peuvent détourner des informations sensibles du trafic intercepté, telles que des identifiants de connexion, des données financières ou des documents confidentiels.
  • Injection de charges utiles – Des charges utiles malveillantes, telles que des logiciels malveillants ou des ransomwares, peuvent être injectées dans des flux de données légitimes, permettant l'exécution de code à distance ou la compromission supplémentaire des systèmes.

Détournement de session

Les auteurs d'attaques AitM peuvent détourner les sessions de communication établies entre la victime et le terminal légitime. Cela implique souvent de prendre le contrôle des jetons de session ou des cookies, se faisant passer pour la victime afin d'obtenir un accès non autorisé à des systèmes ou comptes sécurisés.

Hameçonnage et usurpation d'identité

Les auteurs d'attaques AitM peuvent utiliser leur position pour usurper l'identité d'entités de confiance, telles que des sites web, des serveurs de messagerie ou des portails de connexion. Cela leur permet de tromper les victimes afin qu'elles divulguent des informations sensibles ou se livrent à des activités frauduleuses, comme le lancement de transactions non autorisées.

Contournement du chiffrement

Dans les cas où la communication est cryptée (par exemple, en utilisant le protocole HTTPS pour le trafic web), les pirates AitM ont souvent recours à des techniques permettant de contourner le cryptage. Cela peut impliquer de remplacer les certificats de sécurité légitimes par les leurs, de mener une attaque de type " man-in-the-browser " ou d'exploiter les vulnérabilités du cryptage.

Exfiltration et persistance

Une fois que l'attaquant a atteint ses objectifs, il peut exfiltrer les données volées ou maintenir sa persistance au sein du réseau compromis. Cette persistance lui permet de continuer à surveiller, manipuler ou exfiltrer des données pendant une période prolongée.

Obtenir des informations plus approfondies sur les menaces

Découvrez comment WatchTower, le service de chasse aux menaces de SentinelOne, peut vous apporter de meilleures informations et vous aider à déjouer les attaques.

En savoir plus

Exploration des cas d'utilisation des attaques de type " adversaire au milieu "-Middle (AitM)

Les attaques Adversary in the Middle (AitM) se sont manifestées dans plusieurs cas d'utilisation réels dans divers secteurs, soulignant leur importance en tant que menace potentielle pour la cybersécurité. Ces attaques sophistiquées peuvent entraîner des violations de données, une atteinte à la vie privée, des pertes financières et des dommages importants pour les particuliers et les organisations.

  • Fraude financière – Les attaques AitM ont été utilisées pour cibler les banques en ligne et les institutions financières. Les acteurs malveillants interceptent les transactions bancaires, manipulent les coordonnées bancaires des destinataires et redirigent les fonds vers des comptes frauduleux. Cela peut entraîner des pertes financières importantes pour les particuliers et les entreprises.
  • Manipulation du commerce électronique – Les attaquants peuvent exploiter les techniques AitM pour modifier les transactions de commerce électronique, en altérant les informations de paiement du destinataire afin de rediriger les fonds vers leurs comptes. Ce type de manipulation peut être difficile à détecter, entraînant des pertes financières pour les détaillants en ligne et leurs clients.
  • Vol de données et espionnage – Les attaques AitM sont fréquemment utilisées à des fins d'espionnage industriel et de vol de données. Les cybercriminels interceptent les communications sensibles au sein des organisations, extrayant des documents confidentiels, des secrets commerciaux ou de la propriété intellectuelle. Ces données volées peuvent être vendues sur le dark web ou utilisées pour obtenir un avantage concurrentiel.
  • Atteinte à la vie privée – Les attaques AitM peuvent compromettre la vie privée des individus en interceptant et en surveillant leurs activités sur Internet. Les attaquants peuvent collecter des informations personnelles sensibles, surveiller les comportements en ligne et même intercepter des messages privés, compromettant ainsi la confidentialité des utilisateurs.

Comment les entreprises se protègent contre les attaques de type " Adversary-in-the-Middle " (AitM)

Pour se défendre contre les attaques AitM, les organisations et les particuliers doivent utiliser des techniques de chiffrement robustes, employer des canaux de communication sécurisés et mettre en œuvre l'authentification multifactorielle (MFA). La vigilance dans la détection des activités réseau inhabituelles, la surveillance des accès non autorisés et le fait de se tenir informé de l'évolution des vecteurs de menaces sont des éléments essentiels d'une stratégie de défense efficace contre les attaques AitM dans le paysage actuel de la cybersécurité.

La défense contre les attaques AitM nécessite une approche multiforme :

  • Chiffrement et protocoles sécurisés – La mise en œuvre d'un cryptage puissant pour les données en transit et l'adoption de protocoles de communication sécurisés tels que HTTPS et VPN peuvent protéger contre l'écoute clandestine et l'interception de données.
  • Autorités de certification – Les entreprises font appel à des autorités de certification (CA) de confiance pour émettre des certificats numériques, ce qui réduit le risque que des pirates remplacent ces certificats par des certificats malveillants.
  • Segmentation du réseau – La séparation des segments du réseau peut limiter les mouvements latéraux des attaquants mouvements latéraux, rendant plus difficile l'établissement d'une position AitM au sein d'un réseau.
  • Formation à la sensibilisation à la sécurité – Une formation régulière des employés à la reconnaissance des tentatives d'hameçonnage, des sites web malveillants et des communications suspectes peut empêcher les attaques AitM initiées par l'ingénierie sociale.
  • L'authentification multifactorielle (MFA) – La MFA ajoute un niveau de sécurité supplémentaire en exigeant plusieurs formes d'authentification, ce qui réduit le risque d'accès non autorisé même si les identifiants sont compromis.
  • Systèmes de détection d'intrusion (IDS) – Les systèmes IDS et IPS (Intrusion Prevention Systems) peuvent aider à identifier et à bloquer les attaques AitM en surveillant le trafic réseau et les modèles de comportement.
  • Mises à jour régulières des logiciels – Maintenir les systèmes et les logiciels à jour avec les dernières mises à jour de sécurité correctifs peuvent atténuer les vulnérabilités susceptibles d'être exploitées par des pirates.
  • Surveillance de la sécurité – Mettre en place une surveillance continue de la sécurité afin de détecter et de réagir à toute activité réseau inhabituelle ou tout comportement suspect pouvant indiquer des attaques AitM.

Améliorez votre veille sur les menaces

Découvrez comment WatchTower, le service de chasse aux menaces de SentinelOne, peut vous apporter de meilleures informations et vous aider à déjouer les attaques.

En savoir plus

Conclusion

Alors que les pirates continuent de faire évoluer leurs tactiques, il est primordial de mettre en place des mesures de sécurité proactives et une stratégie de défense complète afin d'atténuer les risques posés par les attaques AitM et de protéger les données sensibles et les actifs numériques. Comprendre leurs implications concrètes, mettre en œuvre des mesures de sécurité robustes et rester vigilant sont des étapes essentielles pour les particuliers et les organisations qui souhaitent se défendre contre ces attaques de plus en plus sophistiquées.

"

FAQ sur les attaques Aitm

Une attaque AitM se produit lorsqu'un pirate informatique se positionne entre deux parties qui communiquent afin d'intercepter et de manipuler des données. Il utilise des serveurs proxy pour s'interposer entre les utilisateurs et les sites Web légitimes, capturant ainsi les identifiants et les jetons de session en temps réel. Cette technique permet aux pirates informatiques de contourner l'authentification multifactorielle (MFA) en volant les cookies de session actifs.

AitM signifie Adversary-in-the-Middle (adversaire intermédiaire). Il s'agit du terme officiel utilisé dans le cadre MITRE ATT&CK pour désigner les attaques dans lesquelles des acteurs malveillants interceptent les communications entre deux parties. Ce terme met l'accent sur l'intention active et malveillante de l'attaquant, par opposition à l'écoute passive.

Le MITM désigne tous les vecteurs d'attaque de type interception, tandis que l'AitM cible spécifiquement les opérations complexes de phishing et d'ingénierie sociale. Les attaques AitM sont plus sophistiquées et impliquent une manipulation active de l'infrastructure réseau. Les attaques MITM sont souvent opportunistes, mais les attaques AitM sont ciblées et conçues pour contourner l'authentification sécurisée.

Les attaquants utilisent des proxys web inversés pour créer des répliques convaincantes de sites web légitimes. Ils ont recours à la manipulation DNS, à l'usurpation ARP et au détournement de session pour intercepter les communications. Les e-mails de phishing contenant des liens malveillants redirigent les victimes vers des sites AitM qui capturent les jetons d'authentification. Ils utilisent également le SSL stripping et la manipulation de certificats.

Microsoft a signalé des attaques AitM ciblant les utilisateurs d'Office 365, les attaquants utilisant des kits de phishing Evilginx2. Le groupe APT Blackwood a utilisé l'AitM pour cibler les mises à jour logicielles d'applications telles que Tencent QQ. Depuis 2021, des campagnes à grande échelle ont ciblé plus de 10 000 organisations. Les services financiers et les organismes de santé sont fréquemment visés.

Surveillez les schémas de connexion suspects et les comportements d'authentification inhabituels provenant d'emplacements inattendus. Mettez en œuvre des systèmes avancés de détection des menaces qui analysent le trafic réseau à la recherche d'indicateurs de proxy. Utilisez des politiques d'accès conditionnel pour détecter les scénarios de déplacement impossibles et les incohérences des appareils. Déployez des jetons canari portant le logo de l'entreprise pour détecter les sites de phishing.

Utilisez des méthodes d'authentification résistantes au phishing, telles que les jetons matériels WebAuthn. Mettez en œuvre des politiques d'accès conditionnel qui évaluent la fiabilité et l'emplacement des appareils. Déployez une gestion des cookies de session avec des durées de vie raccourcies et sensibilisez les utilisateurs à la reconnaissance du phishing.

Utilisez la segmentation du réseau et la surveillance continue pour détecter les modèles d'authentification anormaux

En savoir plus sur Renseignements sur les menaces

Qu'est-ce qu'un logiciel malveillant polymorphe ? Exemples et défisRenseignements sur les menaces

Qu'est-ce qu'un logiciel malveillant polymorphe ? Exemples et défis

Les logiciels malveillants polymorphes modifient leur code pour échapper à la détection. Comprenez leurs caractéristiques et comment vous protéger contre cette menace adaptative.

En savoir plus
Qu'est-ce qu'un logiciel publicitaire ? Conseils de détection et de préventionRenseignements sur les menaces

Qu'est-ce qu'un logiciel publicitaire ? Conseils de détection et de prévention

Ce guide détaillé explique ce qu'est un logiciel publicitaire, en couvrant sa définition, ses voies d'infection, ses méthodes de détection et ses conseils de prévention. Apprenez à supprimer les logiciels publicitaires, à sécuriser vos appareils et à protéger votre entreprise contre les menaces liées aux logiciels publicitaires.

En savoir plus
Que sont les indicateurs de compromission (IoC) ?Renseignements sur les menaces

Que sont les indicateurs de compromission (IoC) ?

Les indicateurs de compromission (IOC) permettent d'identifier les failles de sécurité. Découvrez comment utiliser les IOC pour détecter et contrer efficacement les menaces.

En savoir plus
Qu'est-ce qu'un exploit en cybersécurité ?Renseignements sur les menaces

Qu'est-ce qu'un exploit en cybersécurité ?

Il est essentiel de comprendre les exploits et de s'en prémunir. Découvrez les différents types d'exploits et les mesures pratiques que vous pouvez prendre pour protéger vos systèmes contre les menaces potentielles.

En savoir plus
  • Commencer
  • Demander une démo
  • Visite guidée produit
  • Pourquoi SentinelOne
  • Tarification et Packages
  • FAQ
  • Contact
  • Contactez-nous
  • Support
  • SentinelOne Status
  • Langue
  • Français
  • Plateforme
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Gestion Technique des Comptes
  • Services de Support
  • Secteurs
  • Energie
  • Gouvernement Fédéral
  • Services Financiers
  • Santé
  • Enseignement Supérieur
  • Enseignement Primaire et Secondaire
  • Industrie
  • Vente au Détail
  • Collectivités territoriales
  • Cybersecurity for SMB
  • Ressources
  • Blog
  • Labs
  • Visite guidée produit
  • Events
  • Cybersecurity 101
  • eBooks
  • Livres Blancs
  • Presse
  • News
  • Glossaire du Ransomware
  • Société
  • A propos de
  • Nos clients
  • Carrières
  • Partenaires
  • Réglementation & Conformité
  • Sécurité & Conformité
  • S Foundation
  • S Ventures

©2025 SentinelOne, tous droits réservés.

Avis de confidentialité Conditions d'utilisation