|
|
Oct
11
2006
|
L'essentiel sur le pharming |
|
|
|
Sécurité -
Protection
|
|
Ecrit par Kamal AOUDA
|
|
11-10-2006 |
|
L'essentiel sur le pharming
Présentation
Le pharming est une technique utilisée par les hackers en vue de rediriger le
trafic destiné à un site authentique vers un autre site à caractère frauduleux (l’objectif
de cette attaque s’apparente donc à celui du phishing mais techniquement le
courriel n’est pas utilisé pour cibler les victimes potentielles). Les attaques
par voie de pharming sont typiquement perpétrées en altérant les fichiers hosts
d’une victime ou en exploitant une vulnérabilité au niveau d’un serveur DNS.
Actuellement, le pharming est devenu une véritable menace pour les entreprises
œuvrant dans le domaine du commerce électronique.
Fonctionnement
Chaque poste connecté à l’Internet doit disposer d’une adresse IP codée sur 32
bits (dans la version IP6 plus de bits sont nécessaires pour codifier les
adresses IP). On peut accéder à un site Internet hébergé sur une machine en
tapant son adresse IP dans la barre d’adresse du navigateur. Comme les adresses
numériques sont difficiles à mémoriser une adresse textuelle leur est associée.
Le dispositif chargé de gérer les associations entre les adresses IP au format
numérique et les adresses IP au format textuel est appelé DNS (Domain Name
System pour le serveur et Domain Name Service pour le protocole qui permet aux
différents serveurs DNS de communiquer les uns avec les autres).
Un hacker qui souhaite subtiliser des informations confidentielles à un
utilisateur (par exemple des informations bancaires), crée un site factice qui
est une duplication plus ou moins parfaite du site de l’entreprise avec laquelle
l’utilisateur compte réaliser sa transaction. Ensuite il exploite une faille de
sécurité au niveau du serveur DNS de l’utilisateur pour altérer l’adresse IP
vers laquelle pointe l’adresse textuelle du site authentique (ainsi au lieu de
pointer vers l’adresse IP du site authetique, l’adresse textuelle pointe vers
l’adresse IP du site frauduleux).
Une deuxième technique consiste à altérer les fichiers Host se trouvant sur le
disque dur de la victime (à l’aide d’un malware par exemple). Nous rappelons que
les fichiers Hosts jouent par analogie le même rôle que les DNS mais en mode
local (en fait avant d’envoyer une requête à un DNS pour connaître l’adresse IP
associée à l’adresse textuelle, une première recherche est effectuée au niveau
des fichiers Hosts conservés sur le disque dur local de l’utilisateur).
Une troisième technique consiste à s’attaquer au routeur reliant un réseau local
au reste de l’Internet. Cela peut se faire au moyen d’une reconfiguration des
DNS par défaut ou encore à l’aide d’un malware conçu pour altérer le
fonctionnement du firmware du routeur. Cette troisième alternative est
particulièrement dangereuse d’une part parce qu’elle est difficile à détecter et
d’autre part parce que tous les utilisateurs du réseau local desservi par le routeur
voient leurs requêtes détournées, à leur insu, vers le site frauduleux. A noter
que, le risque est encore plus grand pour les utilisateurs qui se connectent à
l’Internet via un réseau sans fil mal sécurisé.
La redirection frauduleuse se produit seulement lorsque l’accès au site se fait
via http. Par contre lorsque l’accès se fait via HTTPS (protocole SSL) des
avertissements relatifs au certificat de sécurité sont affichés par le browser (si
ces avertissements sont ignorés par l’utilisateur, la redirection vers le site
frauduleux a quand même lieu).
Cela dit si vous avez des soupçons sur l’adresse IP d’un site nous vous
recommandons de procéder comme suit :
* Lancer votre console MS-DOS (Run puis Command).
* Exécuter l’instruction nslookup suivie d’un espace puis de l’adresse IP
suspecte.
* Voir si le nom de domaine qui s’affiche concorde avec celui de l’entreprise
qui prétend le posséder.
Il est important de noter que les antivirus et les antispywares ne protègent pas
toujours contre le pharming.
Kamal AOUDA
http://www.kamalaouda.com
|
|
Dernière mise à jour : ( 11-10-2006 )
|
|
|
Accueil 
Sécurité 
