EcommerceDEV. Développement, optimisation et sécurisation des sites de commerce électronique.
arrowAccueil arrow Sécurité arrow Protection arrow L'essentiel sur le pharming
Samedi 5 juil 2008
Nom d'utilisateur     Mot de passe      Conserver       Mot de passe perdu ? 
Menu
Accueil
A propos du site
Carte du site
Moteur de recherche
Nouvelles
Contactez-nous
Evénements
Lettres de nouvelles
- - - - - - -
Analyse
Conception
Optimisation
Programmation
Sécurité
Produits/Services
oct 11 2006
L'essentiel sur le pharming Version imprimable Suggérer par mail
Appréciation des utilisateurs: / 1
FaibleMeilleur 
Sécurité - Protection
Ecrit par Kamal AOUDA   
11-10-2006
L'essentiel sur le pharming

Présentation

Le pharming est une technique utilisée par les hackers en vue de rediriger le trafic destiné à un site authentique vers un autre site à caractère frauduleux (l’objectif de cette attaque s’apparente donc à celui du phishing mais techniquement le courriel n’est pas utilisé pour cibler les victimes potentielles). Les attaques par voie de pharming sont typiquement perpétrées en altérant les fichiers hosts d’une victime ou en exploitant une vulnérabilité au niveau d’un serveur DNS. Actuellement, le pharming est devenu une véritable menace pour les entreprises œuvrant dans le domaine du commerce électronique.

Fonctionnement

Chaque poste connecté à l’Internet doit disposer d’une adresse IP codée sur 32 bits (dans la version IP6 plus de bits sont nécessaires pour codifier les adresses IP). On peut accéder à un site Internet hébergé sur une machine en tapant son adresse IP dans la barre d’adresse du navigateur. Comme les adresses numériques sont difficiles à mémoriser une adresse textuelle leur est associée. Le dispositif chargé de gérer les associations entre les adresses IP au format numérique et les adresses IP au format textuel est appelé DNS (Domain Name System pour le serveur et Domain Name Service pour le protocole qui permet aux différents serveurs DNS de communiquer les uns avec les autres).

Un hacker qui souhaite subtiliser des informations confidentielles à un utilisateur (par exemple des informations bancaires), crée un site factice qui est une duplication plus ou moins parfaite du site de l’entreprise avec laquelle l’utilisateur compte réaliser sa transaction. Ensuite il exploite une faille de sécurité au niveau du serveur DNS de l’utilisateur pour altérer l’adresse IP vers laquelle pointe l’adresse textuelle du site authentique (ainsi au lieu de pointer vers l’adresse IP du site authetique, l’adresse textuelle pointe vers l’adresse IP du site frauduleux).

Une deuxième technique consiste à altérer les fichiers Host se trouvant sur le disque dur de la victime (à l’aide d’un malware par exemple). Nous rappelons que les fichiers Hosts jouent par analogie le même rôle que les DNS mais en mode local (en fait avant d’envoyer une requête à un DNS pour connaître l’adresse IP associée à l’adresse textuelle, une première recherche est effectuée au niveau des fichiers Hosts conservés sur le disque dur local de l’utilisateur).

Une troisième technique consiste à s’attaquer au routeur reliant un réseau local au reste de l’Internet. Cela peut se faire au moyen d’une reconfiguration des DNS par défaut ou encore à l’aide d’un malware conçu pour altérer le fonctionnement du firmware du routeur. Cette troisième alternative est particulièrement dangereuse d’une part parce qu’elle est difficile à détecter et d’autre part parce que tous les utilisateurs du réseau local desservi par le routeur voient leurs requêtes détournées, à leur insu, vers le site frauduleux. A noter que, le risque est encore plus grand pour les utilisateurs qui se connectent à l’Internet via un réseau sans fil mal sécurisé.

La redirection frauduleuse se produit seulement lorsque l’accès au site se fait via http. Par contre lorsque l’accès se fait via HTTPS (protocole SSL) des avertissements relatifs au certificat de sécurité sont affichés par le browser (si ces avertissements sont ignorés par l’utilisateur, la redirection vers le site frauduleux a quand même lieu).

Cela dit si vous avez des soupçons sur l’adresse IP d’un site nous vous recommandons de procéder comme suit :

* Lancer votre console MS-DOS (Run puis Command).
* Exécuter l’instruction nslookup suivie d’un espace puis de l’adresse IP suspecte.
* Voir si le nom de domaine qui s’affiche concorde avec celui de l’entreprise qui prétend le posséder.

Il est important de noter que les antivirus et les antispywares ne protègent pas toujours contre le pharming.

Kamal AOUDA

http://www.kamalaouda.com

 
Dernière mise à jour : ( 11-10-2006 )
Suivant >
Control and Security of E-Commerce
Control and Security of E-Commerce

Livre complet couvrant les questions relatives à la sécurité du commerce électronique, notamment :

* Les problèmes juridiques posés par l’Ecommerce.
* La sécurité de l’information.
* Les systèmes de cryptographie asymétriques et symétriques.
* Les certificats numériques.
* La protection contre les virus, les trojans et les attaques par dénis de service.
* La sécurité dans les environnement Unix et Windows.
* L’audit des applications de commerce électronique.

 

Références

 

Gordon E. Smith

Disponible en anglais seulement.

 http://ca.wiley.com/WileyCDA/WileyTitle/productCd-0471180904.html
Control and Security of E-Commerce
Gordon E. Smith
ISBN: 0-471-18090-4
240 pages
Novembre 2003

 
Moteur de recherche

Recommander ce site
Collaboration
Téléchargements
Derniers événements
Aucun événement
Sondages

Considérez-vous Paypal comme un mode de paiement sécuritaire ?

  
Blogs Ecommerce
Blog de capitaine commerce
top

Ce site a été crée avec le CMS Mambo. Un logiciel gratuit disponible sous licence GPL.

Copyright Ecommerce DEV 2006.

Hosted by SiteGround