Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  01.04.2012      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Le « Pharming » est une attaque (essentiellement en « Phishing », bien qu'elle puisse servir à autre chose), par un attaquant, ayant pour but de rediriger le trafic qui se fait, normalement, vers le site « A », afin que ce trafic aboutisse sur un site cybercriminel « B » qui sera un faux site se faisant passer pour « A » (même charte graphique, mêmes mises en pages, etc.). Évidemment, les sites imités sont des sites où le visiteur doit s'identifier (code d'authentification et mot de passe), puis, pour une raison quelconque (passer une commande si le site imité est un site de e-commerce, etc.), donner ses références bancaires, etc. l'attaquant (le cybercriminel) va pratiquer du « Phishing » (récupérer les identifiants, mots de passe, références bancaires, etc.).

Que se passe-t-il lorsque vous souhaitez aller sur un site (appelons-le A.com). Normalement, si le site « A.com » est hébergé sur le serveur (un ordinateur, quelque part) 001.002.003.004, le mécanisme de résolution des noms de domaines (le mécanisme DNS) consiste à vous envoyer sur ce serveur 001.002.003.004 où le site « A.com » est hébergé (tout l'Internet fonctionne avec des numéros de machines — les adresses IP — il n'y a que pour l'humain que des noms ont été donnés, mais l'Internet s'empresse de les convertir en numéros).

Hosts et DNS - Schéma de principe de la Résolution des noms de domaine et lieux des attaques en Pharming
Hosts et DNS - Schéma de principe de la Résolution des noms de domaine et lieux des attaques en Pharming

l'attaque en « Pharming » consiste à obliger le mécanisme de résolution des noms de domaines (le mécanisme DNS) à, non pas aller sur le serveur du site demandé, mais sur un tout autre serveur, par exemple 201.202.203.204, où se trouve B.com, l'imitation cybercriminelle de « A.com ».

Le « Pharming », qui attaque donc l'internaute, se pratique de deux manières :

  1. Modification du fichier « Hosts », le DNS local, dans la machine de l'internaute attaqué. Le DNS local (le fichier « Hosts »), va contenir la paire :

    A.com 201.202.203.204

    Chaque fois que l'internaute souhaite aller sur « A.com », il se retrouvera sur le serveur 201.202.203.204 et c'est la copie cybercriminelles de « A.com », le site « B.com » qui sera affiché..

    Ce type d'attaque est de la classe des « hijacker ». Le fichier « Hosts » a été hijacké.

  2. Modification de la résolution de « A.com » dans les serveurs de DNS (les serveurs de DNS sont des ordinateurs répartis tout autour de la planète et contenant un miroir de l'intégralité des noms de domaine du monde et l'adresse IP de la machine sur laquelle chaque domaine se trouve — les serveurs de DNS sont chargés de résoudre les noms de domaine en adresses IP — ils sont tous synchronisés - la moindre modification est automatiquement propagée à l'ensemble des serveurs de DNS du monde). Il s'agit de découvrir une faille de sécurité dans le logiciel de gestion des serveurs DNS et de l'exploiter.

    Ce type d'attaque est de la classe des « exploits ».

    Les serveurs de DNS compromis sont parfois dits « empoisonnés » et ce type d'attaque est donc parfois appelée « DNS poisoning », synonyme de « Pharming ».

    Ce type d'attaques est beaucoup plus rare que le « hijack » du fichier « Hosts » dans les PCs des internautes, car il n'existe qu'un seul logiciel, utilisé dans le monde entier, pour gérer les serveurs DNS : « Bind ». Depuis le temps que ce logiciel fonctionne et compte tenu de la sensibilité stratégique de « Bind » (sans serveur de DNS, l'Internet n'existe pas) et du nombre de personnes travaillant dessus, ce logiciel a peu de chance de livrer une faille de sécurité à un attaquant (bien que le concept « error free » [« 100 % sans erreur »] n'existe pas en informatique).

Les attaques en « Pharming » vont donc, essentiellement, cibler les ordinateurs pas, ou peu, ou mal protégés, donc les ordinateurs des particuliers (les ordinateurs et serveurs du monde de l'entreprise sont de plus en plus difficiles à pénétrer).



« Pharming » est un néologisme fondé sur les mots « Farming » et « Phishing ». Le « Phishing » est un type d'attaque en « Ingénierie sociale » (l'art de tirer les vers du nez) visant à convaincre une personne physique de donner des informations normalement privées, telles que les noms d'utilisateur et les mots de passe, les comptes bancaires, etc. ... Le « Pharming » est utilisé dans le même but que le « Phishing », afin de voler des informations privées sensibles (essentiellement les données bancaires, mais aussi les données d'identité, etc. ...). Le « Pharming », c'est du « Phishing » par tromperie, sans « Ingénierie sociale ».



Réalité et étendue de la menace de « Pharming » :

Le « Pharming » n'est pas du tout une menace théorique. Le « Pharming » est devenu une préoccupation majeure dans le monde de l'entreprise, surtout à cause du principe de BYOD (Bring Your Own Device) qui se développe de plus en plus.

Dans le monde de l'entreprise, le BYOD (Bring Your Own Device) est de plus en plus présent avec le renouvellement des employés : les « anciens » partent en retraite et les embauches de nouvelles générations voient débarquer des jeunes équipés de leur propre matériel, mieux maîtrisé que celui, vieillissant, de l'entreprise. Que ce soit au domicile du particulier ou sur son lieu de travail, les machines compromises sont de plus en plus nombreuses et les sites faisant l'objet d'imitations pour pratiquer ces attaques sont les sites de e-commerce et les sites de banque en ligne.

Dans le monde de l'entreprise et du BYOD (Bring Your Own Device), des mesures tendant à séparer totalement les données et applications privatives des données et applications professionnelles se mettent en place, mais, fin 2013, de telles architectures système sont encore balbutiantes.

La menace est donc extrêmement répandue et extrêmement grave.



Comment restaurer un fichier hosts corrompu.

Les antivirus et les anti-malwares ne peuvent rien contre les attaques en "pharming". Seuls les filtres à la « Google Safe Browsing », ou « Microsoft Smart Screen » ou « Finjan Secure Browsing » (voir le Dossier : filtres anti-phishing et anti-malwares des navigateurs) sont compétents, mais présentent, par la force des choses, un retard, ne serait-ce que de quelques heures, par rapport au début d'une attaque.

Un logiciel qui surveillerait les inscriptions dans le fichier hosts (le DNS local), et soumettrait ces inscriptions (ou modifications ou suppressions) à l'approbation de l'utilisateur, n'a aucune chance d'être une barrière contre ces attaques. En effet, l'utilisateur lambda, soit probablement 99,99 % des internautes, ne comprendrait absolument pas de quoi il retourne et accepterait pour passer rapidement outre. Mieux ! On retrouve cet utilisateur lambda sur les forums de discussion, demandant comment ne plus être « emmerdé » par ces « questions à la con » de son logiciel de sécurité, le tout finissant par la désinstallation du logiciel de sécurité. Avec la gadgétisation explosive et l'art de l'inutile, ce pourcentage d'« utilisateurs bêtes » des nouvelles technologies tant à augmenter !

Il n'y a qu'une solution radicale : interdire toute inscription dans le fichier hosts.

Enfin, la vigilance de l'internaute (réfléchir d'abord, cliquer ensuite, jamais l'inverse), devrait le conduire, chaque fois qu'il ouvre une fenêtre sur un site, à jeter un coup d'œil à la barre d'adresse. Là, il verrait qu'il n'est pas sur le site « A.com » sollicité, mais sur « B.com » (car, si le cybercriminel peut imiter un site réel, il ne peut reproduire exactement le nom d'un domaine [c'est totalement impossible]). Des variations typographiques peuvent faire ressembler le nom de domaine à un nom de domaine existant (typosquatting), mais la vigilance doit détecter que le nom de domaine ressemble à celui recherché, mais que ce n'est pas celui recherché.



Où, quand, comment, auprès de qui signaler ou porter plainte ?

Valables pour la France et quelques extensions européennes :



  • Pharming - attaque Web redirigeant le trafic