Flux RSS - La vie du site - Nouveautés et mises à jour
Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

Pharming - attaque Web redirigeant le trafic

Le « Pharming » est une attaque (essentiellement en « Phishing », bien qu’elle puisse servir à autre chose), par un attaquant, ayant pour but de rediriger le trafic.

Le « Pharming » est une attaque (essentiellement en « Phishing », bien qu’elle puisse servir à autre chose), par un attaquant, ayant pour but de rediriger le trafic qui se fait, normalement, vers le site « A », afin que ce trafic aboutisse sur un site cybercriminel « B » qui sera un faux site se faisant passer pour « A » (même charte graphique, mêmes mises en pages, etc.). Évidemment, les sites imités sont des sites où le visiteur doit s’identifier (code d’authentification et mot de passe), puis, pour une raison quelconque (passer une commande si le site imité est un site de e-commerce, etc.), donner ses références bancaires, etc. L’attaquant (le cybercriminel) va pratiquer du « Phishing » (récupérer les identifiants, mots de passe, références bancaires, etc.).

Que se passe-t-il lorsque vous souhaitez aller sur un site (appelons-le A.com). Normalement, si le site « A.com » est hébergé sur le serveur (un ordinateur, quelque part) 001.002.003.004, le mécanisme de résolution des noms de domaines (le mécanisme DNS) consiste à vous envoyer sur ce serveur 001.002.003.004 où le site « A.com » est hébergé (tout l’Internet fonctionne avec des numéros de machines — les adresses IP — il n’y a que pour l’humain que des noms ont été donnés, mais l’Internet s’empresse de les convertir en numéros).

Hosts et DNS - Schéma de principe de la Résolution des noms de domaine et lieux des attaques en Pharming
Hosts et DNS - Schéma de principe de la Résolution des noms de domaine et lieux des attaques en Pharming

L’attaque en « Pharming » consiste à obliger le mécanisme de résolution des noms de domaines (le mécanisme DNS) à, non pas aller sur le serveur du site demandé, mais sur un tout autre serveur, par exemple 201.202.203.204, où se trouve B.com, l’imitation cybercriminelle de « A.com ».

Le « Pharming », qui attaque donc l’internaute, se pratique de deux manières :

  1. Modification du fichier « Hosts », le DNS local, dans la machine de l’internaute attaqué. Le DNS local (le fichier « Hosts »), va contenir la paire :

    A.com 201.202.203.204

    Chaque fois que l’internaute souhaite aller sur « A.com », il se retrouvera sur le serveur 201.202.203.204 et c’est la copie cybercriminelles de « A.com », le site « B.com » qui sera affiché..

    Ce type d’attaque est de la classe des « hijacker ». Le fichier « Hosts » a été hijacké.

  2. Modification de la résolution de « A.com » dans les serveurs de DNS (les serveurs de DNS sont des ordinateurs répartis tout autour de la planète et contenant un miroir de l’intégralité des noms de domaine du monde et l’adresse IP de la machine sur laquelle chaque domaine se trouve — les serveurs de DNS sont chargés de résoudre les noms de domaine en adresses IP — ils sont tous synchronisés - la moindre modification est automatiquement propagée à l’ensemble des serveurs de DNS du monde). Il s’agit de découvrir une faille de sécurité dans le logiciel de gestion des serveurs DNS et de l’exploiter.

    Ce type d’attaque est de la classe des « exploits ».

    Les serveurs de DNS compromis sont parfois dits « empoisonnés » et ce type d’attaque est donc parfois appelée « DNS poisoning », synonyme de « Pharming ».

    Ce type d’attaques est beaucoup plus rare que le « hijack » du fichier « Hosts » dans les PCs des internautes, car il n’existe qu’un seul logiciel, utilisé dans le monde entier, pour gérer les serveurs DNS : « Bind ». Depuis le temps que ce logiciel fonctionne et compte tenu de la sensibilité stratégique de « Bind » (sans serveur de DNS, l’Internet n’existe pas) et du nombre de personnes travaillant dessus, ce logiciel a peu de chance de livrer une faille de sécurité à un attaquant (bien que le concept « error free » [« 100 % sans erreur »] n’existe pas en informatique).

Les attaques en « Pharming » vont donc, essentiellement, cibler les ordinateurs pas, ou peu, ou mal protégés, donc les ordinateurs des particuliers (les ordinateurs et serveurs du monde de l’entreprise sont de plus en plus difficiles à pénétrer).

Pharming - Origine du terme « Pharming »
« Pharming » est un néologisme fondé sur les mots « Farming » et « Phishing ». Le « Phishing » est un type d'attaque en « Ingénierie sociale » (l’art de tirer les vers du nez) visant à convaincre une personne physique de donner des informations normalement privées, telles que les noms d'utilisateur et les mots de passe, les comptes bancaires, etc. ... Le « Pharming » est utilisé dans le même but que le « Phishing », afin de voler des informations privées sensibles (essentiellement les données bancaires, mais aussi les données d’identité, etc. ...). Le « Pharming », c'est du « Phishing » par tromperie, sans « Ingénierie sociale ». Pharming - Origine du terme « Pharming »

Réalité et étendue de la menace de « Pharming » :

Le « Pharming » n’est pas du tout une menace théorique. Le « Pharming » est devenu une préoccupation majeure dans le monde de l’entreprise, surtout à cause du principe de BYOD (Bring Your Own Device) qui se développe de plus en plus.

Dans le monde de l’entreprise, le BYOD (Bring Your Own Device) est de plus en plus présent avec le renouvellement des employés : les « anciens » partent en retraite et les embauches de nouvelles générations voient débarquer des jeunes équipés de leur propre matériel, mieux maîtrisé que celui, vieillissant, de l’entreprise. Que ce soit au domicile du particulier ou sur son lieu de travail, les machines compromises sont de plus en plus nombreuses et les sites faisant l’objet d’imitations pour pratiquer ces attaques sont les sites de e-commerce et les sites de banque en ligne.

Dans le monde de l’entreprise et du BYOD (Bring Your Own Device), des mesures tendant à séparer totalement les données et applications privatives des données et applications professionnelles se mettent en place, mais, fin 2013, de telles architectures système sont encore balbutiantes.

La menace est donc extrêmement répandue et extrêmement grave.

Pharming - Réalité et étendue de la menace de « Pharming »

Comment restaurer un fichier hosts corrompu.

Les antivirus et les anti-malwares ne peuvent rien contre les attaques en "pharming". Seuls les filtres à la « Google Safe Browsing », ou « Microsoft Smart Screen » ou « Finjan Secure Browsing » (voir le Dossier : filtres anti-phishing et anti-malwares des navigateurs) sont compétents, mais présentent, par la force des choses, un retard, ne serait-ce que de quelques heures, par rapport au début d’une attaque.

Un logiciel qui surveillerait les inscriptions dans le fichier hosts (le DNS local), et soumettrait ces inscriptions (ou modifications ou suppressions) à l’approbation de l’utilisateur, n’a aucune chance d’être une barrière contre ces attaques. En effet, l’utilisateur lambda, soit probablement 99,99 % des internautes, ne comprendrait absolument pas de quoi il retourne et accepterait pour passer rapidement outre. Mieux ! On retrouve cet utilisateur lambda sur les forums de discussion, demandant comment ne plus être « emmerdé » par ces « questions à la con » de son logiciel de sécurité, le tout finissant par la désinstallation du logiciel de sécurité. Avec la gadgétisation explosive et l’art de l’inutile, ce pourcentage d’« utilisateurs bêtes » des nouvelles technologies tant à augmenter !

Il n’y a qu’une solution radicale : interdire toute inscription dans le fichier hosts.

Enfin, la vigilance de l’internaute (réfléchir d’abord, cliquer ensuite, jamais l’inverse), devrait le conduire, chaque fois qu’il ouvre une fenêtre sur un site, à jeter un coup d’œil à la barre d’adresse. Là, il verrait qu’il n’est pas sur le site « A.com » sollicité, mais sur « B.com » (car, si le cybercriminel peut imiter un site réel, il ne peut reproduire exactement le nom d’un domaine [c’est totalement impossible]). Des variations typographiques peuvent faire ressembler le nom de domaine à un nom de domaine existant (typosquatting), mais la vigilance doit détecter que le nom de domaine ressemble à celui recherché, mais que ce n’est pas celui recherché.

Pharming - Contre-mesures


Dossier : Hosts, DNS et Web
Hosts et DNS
Hosts et DNS - Schéma de principe
Hosts et DNS - Un peu d'histoire
WWW - Naissance du World Wide Web

Fichier Hosts - Qu'est-ce que c'est ? Où ?
Hosts
Hosts : Où se trouve le fichier Hosts
Comment restaurer un fichier hosts corrompu
Où trouver des listes Hosts toutes faites
HostsMan (pour importer des listes dans hosts)

DNS - Qu'est-ce que c'est ? Où ?
DNS
DNS - Les Kits de connection des FAI
DNS - Pourquoi changer de DNS
DNS - Comment changer de DNS
DNS des FAI français (et quelques autres)
Comment utiliser les DNS de Google ?
Comment vider les caches des navigateurs ?
NameBench - Trouver des DNS rapide

Cache DNS du Système d'exploitation
Cache DNS - Qu'est-ce que c'est
Cache DNS - Voir le cache - Invite commande
Cache DNS - Voir le cache - DNSDataView
Cache DNS - Vider le cache DNS Windows
Cache DNS - Vider le cache DNS Linux
Cache DNS - Vider le cache DNS MAC OS X

Cache DNS des navigateurs Web
Cache DNS navigateurs Web - Qu'est-ce que c'est
Cache DNS - Vider le cache DNS Firefox
Cache DNS - Vider le cache DNS IE
Cache DNS - Vider le cache DNS Opera
Cache DNS - Vider le cache DNS Chrome
Cache DNS - Vider le cache DNS Safari

Web Réputation et listes de blocage
Domaine dans la listes hosts hphosts
Domaine dans les listes noires (blacklists)
Domaine de confiance ?
Catégorisation des sites dans une liste hosts

Trucs à DNS
Trucs à DNS 1 (Whois et IP-Whois)
Trucs à DNS 2 (Historiques, Ping, DNS...)

Attaques des DNS et autres corruptions
Attaque en Pharming (corruption de hosts)


Pharming - Ressources
Pharming - Pharming (Dévoiement)