Flux RSS - La vie du site - Nouveautés et mises à jour
Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

Pharming - attaque Web redirigeant le trafic

Le « Pharming » est une attaque (essentiellement en « Phishing », bien qu’elle puisse servir à autre chose), par un attaquant, ayant pour but de rediriger le trafic.

01.04.2012 - Révision 21.08.2020 - Révision mineure 14.09.2021. Auteur : Pierre Pinard.

Le « Pharming » est une attaque (essentiellement en « Phishing », bien qu’elle puisse servir à autre chose), par un attaquant, ayant pour but de rediriger le trafic qui se fait, normalement, vers le site « A », afin que ce trafic aboutisse sur un site cybercriminel « B » qui sera un faux site se faisant passer pour « A » (même charte graphique, mêmes mises en pages, etc.). Évidemment, les sites imités sont des sites où le visiteur doit s’identifier (code d’authentification et mot de passe), puis, pour une raison quelconque (passer une commande si le site imité est un site de e-commerce, etc.), donner ses références bancaires, etc. L’attaquant (le cybercriminel) va pratiquer du « Phishing » (récupérer les identifiants, mots de passe, références bancaires, etc.).

Que se passe-t-il lorsque vous souhaitez aller sur un site (appelons-le A.com). Normalement, si le site « A.com » est hébergé sur le serveur (un ordinateur, quelque part) 001.002.003.004, le mécanisme de résolution des noms de domaines (le mécanisme DNS) consiste à vous envoyer sur ce serveur 001.002.003.004 où le site « A.com » est hébergé (tout l’Internet fonctionne avec des numéros de machines — les adresses IP — il n’y a que pour l’humain que des noms ont été donnés, mais l’Internet s’empresse de les convertir en numéros).

Hosts et DNS - Schéma de principe de la Résolution des noms de domaine et lieux des attaques en Pharming
Hosts et DNS - Schéma de principe de la Résolution des noms de domaine et lieux des attaques en Pharming

L’attaque en « Pharming » consiste à obliger le mécanisme de résolution des noms de domaines (le mécanisme DNS) à, non pas aller sur le serveur du site demandé, mais sur un tout autre serveur, par exemple 201.202.203.204, où se trouve B.com, l’imitation cybercriminelle de « A.com ».

Le « Pharming », qui attaque donc l’internaute, se pratique de deux manières :

  1. Modification du fichier « Hosts », le DNS local, dans la machine de l’internaute attaqué. Le DNS local (le fichier « Hosts »), va contenir la paire :

    A.com 201.202.203.204

    Chaque fois que l’internaute souhaite aller sur « A.com », il se retrouvera sur le serveur 201.202.203.204 et c’est la copie cybercriminelles de « A.com », le site « B.com » qui sera affiché..

    Ce type d’attaque est de la classe des « hijacker ». Le fichier « Hosts » a été hijacké.

  2. Modification de la résolution de « A.com » dans les serveurs de DNS (les serveurs de DNS sont des ordinateurs répartis tout autour de la planète et contenant un miroir de l’intégralité des noms de domaine du monde et l’adresse IP de la machine sur laquelle chaque domaine se trouve — les serveurs de DNS sont chargés de résoudre les noms de domaine en adresses IP — ils sont tous synchronisés - la moindre modification est automatiquement propagée à l’ensemble des serveurs de DNS du monde). Il s’agit de découvrir une faille de sécurité dans le logiciel de gestion des serveurs DNS et de l’exploiter.

    Ce type d’attaque est de la classe des « exploits ».

    Les serveurs de DNS compromis sont parfois dits « empoisonnés » et ce type d’attaque est donc parfois appelée « DNS poisoning », synonyme de « Pharming ».

    Ce type d’attaques est beaucoup plus rare que le « hijack » du fichier « Hosts » dans les PCs des internautes, car il n’existe qu’un seul logiciel, utilisé dans le monde entier, pour gérer les serveurs DNS : « Bind ». Depuis le temps que ce logiciel fonctionne et compte tenu de la sensibilité stratégique de « Bind » (sans serveur de DNS, l’Internet n’existe pas) et du nombre de personnes travaillant dessus, ce logiciel a peu de chance de livrer une faille de sécurité à un attaquant (bien que le concept « error free » [« 100 % sans erreur »] n’existe pas en informatique).

Les attaques en « Pharming » vont donc, essentiellement, cibler les ordinateurs pas, ou peu, ou mal protégés, donc les ordinateurs des particuliers (les ordinateurs et serveurs du monde de l’entreprise sont de plus en plus difficiles à pénétrer).

Pharming - Origine du terme « Pharming »
« Pharming » est un néologisme fondé sur les mots « Farming » et « Phishing ». Le « Phishing » est un type d'attaque en « Ingénierie sociale » (l’art de tirer les vers du nez) visant à convaincre une personne physique de donner des informations normalement privées, telles que les noms d'utilisateur et les mots de passe, les comptes bancaires, etc. ... Le « Pharming » est utilisé dans le même but que le « Phishing », afin de voler des informations privées sensibles (essentiellement les données bancaires, mais aussi les données d’identité, etc. ...). Le « Pharming », c'est du « Phishing » par tromperie, sans « Ingénierie sociale ».

Réalité et étendue de la menace de « Pharming » :

Le « Pharming » n’est pas du tout une menace théorique. Le « Pharming » est devenu une préoccupation majeure dans le monde de l’entreprise, surtout à cause du principe de BYOD (Bring Your Own Device) qui se développe de plus en plus.

Dans le monde de l’entreprise, le BYOD (Bring Your Own Device) est de plus en plus présent avec le renouvellement des employés : les « anciens » partent en retraite et les embauches de nouvelles générations voient débarquer des jeunes équipés de leur propre matériel, mieux maîtrisé que celui, vieillissant, de l’entreprise. Que ce soit au domicile du particulier ou sur son lieu de travail, les machines compromises sont de plus en plus nombreuses et les sites faisant l’objet d’imitations pour pratiquer ces attaques sont les sites de e-commerce et les sites de banque en ligne.

Dans le monde de l’entreprise et du BYOD (Bring Your Own Device), des mesures tendant à séparer totalement les données et applications privatives des données et applications professionnelles se mettent en place, mais, fin 2013, de telles architectures système sont encore balbutiantes.

La menace est donc extrêmement répandue et extrêmement grave.

Pharming - Réalité et étendue de la menace de « Pharming »

Comment restaurer un fichier hosts corrompu.

Les antivirus et les anti-malwares ne peuvent rien contre les attaques en "pharming". Seuls les filtres à la « Google Safe Browsing », ou « Microsoft Smart Screen » ou « Finjan Secure Browsing » (voir le Dossier : filtres anti-phishing et anti-malwares des navigateurs) sont compétents, mais présentent, par la force des choses, un retard, ne serait-ce que de quelques heures, par rapport au début d’une attaque.

Un logiciel qui surveillerait les inscriptions dans le fichier hosts (le DNS local), et soumettrait ces inscriptions (ou modifications ou suppressions) à l’approbation de l’utilisateur, n’a aucune chance d’être une barrière contre ces attaques. En effet, l’utilisateur lambda, soit probablement 99,99 % des internautes, ne comprendrait absolument pas de quoi il retourne et accepterait pour passer rapidement outre. Mieux ! On retrouve cet utilisateur lambda sur les forums de discussion, demandant comment ne plus être « emmerdé » par ces « questions à la con » de son logiciel de sécurité, le tout finissant par la désinstallation du logiciel de sécurité. Avec la gadgétisation explosive et l’art de l’inutile, ce pourcentage d’« utilisateurs bêtes » des nouvelles technologies tant à augmenter !

Il n’y a qu’une solution radicale : interdire toute inscription dans le fichier hosts.

Enfin, la vigilance de l’internaute (réfléchir d’abord, cliquer ensuite, jamais l’inverse), devrait le conduire, chaque fois qu’il ouvre une fenêtre sur un site, à jeter un coup d’œil à la barre d’adresse. Là, il verrait qu’il n’est pas sur le site « A.com » sollicité, mais sur « B.com » (car, si le cybercriminel peut imiter un site réel, il ne peut reproduire exactement le nom d’un domaine [c’est totalement impossible]). Des variations typographiques peuvent faire ressembler le nom de domaine à un nom de domaine existant (typosquatting), mais la vigilance doit détecter que le nom de domaine ressemble à celui recherché, mais que ce n’est pas celui recherché.

Pharming - Contre-mesures

Dossier (collection) : Phishing - Hameçonnage

Phishing
Hameçonnage
Harponnage
Filoutage

Phishing ciblé
Hameçonnage ciblé
Harponnage ciblé
Target phishing
Hameçonnage personnalisé

Hameçonnage par téléphone
Phishing par téléphone
Phishing par VoiP
Phishing vocal
Hameçonnage vocal
Voice phishing
Vishing
Appel téléphonique frauduleux

Spear-phishing ou Spearphishing
Emotet - phishing ultra personnalisé par le groupe cybercriminel TA542

SMiShing - phishing par SMS

Pharming - phishing par redirection du traffic
Bulk phishing - phishing historique, en vrac

Ingénierie sociale

Phishing : la victime peut être tenue pour responsable

Reconnaître un site de phishing - cas tcamiot.fr

Toutes les fraudes 419 sont des cas de phishing


Dossier (collection) : Filtres du Web (Link checkers - Anti-phishing - Anti-malware)

Dossier : Filtres antiphishing antimalwares du Web
Dossier : Phishing

Les différents filtrages du Web

Reconnaître un site de phishing - cas tcamiot.fr

Dispositifs natifs
Microsoft SmartScreen
Google Safe Browsing
Comparatif SmartScreen vs Safe Browsing

Activation / Désativation des filtres natifs
Activer anti-phishing anti-malware natif IE 7
Activer anti-phishing anti-malware natif IE 8
Activer anti-phishing anti-malware natif IE 9
Activer anti-phishing anti-malware natif IE 10
Activer anti-phishing anti-malware natif IE 11
Activer anti-phishing anti-malware natif Firefox
Activer anti-phishing anti-malware natif Safari
Activer anti-phishing anti-malware natif Opera
Activer anti-phishing anti-malware natif Chrome

Dispositifs tiers
McAfee SiteAdvisor
Norton Safe Web
Norton Safe Web Lite (n'existe plus)
WOT
Trustwave SecureBrowsing
Disconnect
AdGuard - Extension pour navigateurs
Avira Browser Safety
Serveurs DNS filtrants

Avis en ligne (Web-Réputation) sur un site
Webutation
WoT Web of Trust
McAfee TrustedSource
McAfee SiteAdvisor
Norton Safe Web
Norton Safe Search
Norton Safe Web Lite
NSW
Google Safe Browsing
Google Transparence
WMTips
Alexa
WebStatsDomain
NoScript
hpHosts
Yandex
URLVoid
VirusTotal (VTZilla)
Dr.Web LinkChecker
Scamadviser
SaferPage.com
Website Antivirus
G-Rated
Wikipedia Trust Links
SiteJabber
Web Security Guard

Plug-in de Web-Réputation
Plug-in Trustwave SecureBrowsing
Plug-in WoT - Web of Trust
Plug-in Avast! WebRep
Plug-in AVG LinkScanner
Plug-in McAfee SiteAdvisor
Plug-in Norton Safe Web Lite
Plug-in Trend Micro TrendProtect
Plug-in Norton Safe Web
Plug-in Trend-Micro Web Addon
Plug-in Yandex Safe Browsing

Archives
Microsoft SmartScreen en 2004


Dossier (collection) : Le Droit et la Plainte

Où, quand, comment porter plainte

Risque juridique de complicité de l'Internaute
Signaler (à la PHAROS)
Porter plainte (où, comment, pour quoi...)
Escroquerie - Définition du délit d'escrquerie
Info escroquerie - 0811 02 02 17
La PHAROS - Exemple de signalement
Le Befti

Porter plainte lorsque vous êtes victime de :

Phishing
Forex
Robots de trading
Fraude 419 (par e-mail, fax, courrier postal, téléphone...)
Ingénierie sociale
Escroquerie à la fausse loterie Microsoft
Chaîne pyramidale
Chaine d'argent
Ventes pyramidales
Boule de neige
Pyramide de Ponzi
Vente multiniveau
CPM - Commercialisation à paliers multiples
CPM - ou « Multi-Level Marketing »
CPM - ou « MLM »
Jeu de l'avion
Cercles de dons
Rondes d'abondance
Roues d'abandance
Karus
Spam « MMF »
Spam « Make Money Fast »
Faux héritages
Fausses transactions commerciales
Utilisation frauduleuse de moyens de paiement
Escroqueries financières diverses

Les textes protégeant la vie privée et les données à caractère personnel

Droit - Charte sur la Publicité Ciblée et la Protection des internautes
Droit - Code Civil - Code des Postes et Telecommunications - Secret de la correspondance
Droit - Loi 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
Droit - Directive européenne n°95/46/CE du 24 octobre 1995 (Texte fondateur)


Dossier (collection) : L'essentiel

Les bonnes attitudes : conseils essentiels
Comment je me fais avoir / je me fais infecter
Les 10 commandements de la sécurité sur l'Internet
Sauvegardes fichiers et images système

Avant d'entrer dans un site : réflexes essentiels
Analyses objectives du site, par des robots
Analyses subjectives du site, par des humains

Fausses alertes et escroqueries : l'essentiel
Alerte Virus dans mon ordinateur. Vrai ou Faux.

Choix d'un antivirus (obligatoire) : l'essentiel
Comparatif antivirus - en choisir un
Installer Malwarebytes Premium

Anticiper et prévenir : les gestes essentiels
Préparation de l'ordinateur, le 1er jour, la 1ère fois
Protéger le navigateur, la navigation et la vie privée
Calmer/bloquer la publicité sur les sites Web

Entretenir : les petits travaux essentiels
Mises à jour périodiques (Windows Update)
Mises à jour périodiques (hors Windows Update)
Nettoyage périodique - Décrassage - Réparations
Faire l'inventaire de son matériel et de ses logiciels
Vérifier l'état des disques et fichiers (CHKDSK)
Vérifier l'état des fichiers système (SFC)
Défragmenter les fichiers et disques
Défragmenter le Registre Windows

Vitesses - Accélérer : l'essentiel
Accélérer la vitesse de Windows
Accélérer la vitesse de la connexion Internet

Actions de décontamination : l'essentiel
Procédure gratuite : décontamination anti-malwares
Procédure gratuite : décontamination anti-virus
Risque juridique de complicité passive de l'Internaute

Pharming - Ressources


# Ailleurs sur le Web #

  1. #Pharming#