Lundi 11 décembre 2017
NASDAQ : 0.0 0   nasdaq0 %
RECHERCHE
OK
 
NEWSLETTER
newsletter
Abonnez-vous gratuitement
à notre newsletter
hebdomadaire - Cliquez ICI
Indexel
  • DOSSIERS
  • PRATIQUE
pub Publicité
 

SECURITE

Les entreprises face à la menace du pharming

Imprimer Envoyer à un ami Contacter la rédaction
Par Jérôme Saiz le 27/09/2006 - indexel.net
 

On pourrait croire le pharming inventé par les éditeurs d'antivirus pour effrayer les internautes. Mais le terme cache un danger que les entreprises doivent prendre en compte. Car des attaques d'envergure ont déjà eu lieu, et se reproduiront.

 

Si vous n'avez jamais entendu parler de "pharming", n'ayez pas honte. Le terme a tout juste un an. Il est apparu au début de l'année 2005, lorsque les internautes qui entraient l'adresse www.panix.com pour se rendre sur le site web du fournisseur d'accès new-yorkais éponyme atterrissaient sur un faux site basé en Angleterre (et tous ses e-mails arrivaient sur un autre serveur australien). Les équipes techniques du fournisseur d'accès se sont rapidement rendues compte que les enregistrements DNS relatifs au domaine panix.com avaient étés modifiés par des pirates et pointaient désormais... ailleurs !

 

Vulnérabilité dans les serveurs DNS

 

Rapidement, d'autres attaques sont venues illustrer la tendance : American Express, Federal Express, Trend Micro, MSN... Il suffisait d'entrer la (bonne) adresse de leurs sites web pour se retrouver sur un tout autre serveur, tandis que tous les courriers électroniques qui leur étaient adressés étaient détournés, ainsi que toutes les communications basées sur les noms de domaine. Mais le pharming va plus loin : à la même période, durant le premier trimestre 2005, quatre attaques majeures ont frappé entre 500 et 1 000 entreprises américaines de toutes tailles et dans tous les secteurs d'activité.

 

Cette fois-ci, l'attaque était inversée : c'étaient les requêtes sortantes des utilisateurs de l'entreprise qui étaient détournées. Les pirates profitaient pour cela d'une vulnérabilité dans les serveurs DNS de ces entreprises (tous étaient sous Windows NT 4) pour en prendre le contrôle et changer les correspondances entre les noms de sites et leur adresse réelle. De fait, quelle que soit l'adresse entrée dans le navigateur par n'importe quel employé de la société, il se retrouvait sur un tout autre site, au choix des pirates.

 

Redirection vers un serveur contrôlé par les pirates

 

Tous ces exemples définissent clairement une attaque de pharming : il s'agit de modifier le processus de résolution de nom qui est à la base des échanges sur internet, afin de rediriger les demandes pour tel site web vers tel serveur contrôlé par les pirates. Bien menée, une telle attaque est totalement invisible. Lorsqu'on dit à nos clients qu'ils peuvent très bien saisir l'adresse exacte de leur banque dans leur navigateur sans faire de faute de frappe et se retrouver malgré tout sur un site pirate, ils sont terrifiés, confirme Dominique Loiselet (photo ci-dessus), directeur général pour la France de l'éditeur Websense.

 

Techniquement, cette redirection peut se faire localement, à même le poste de travail, en modifiant le fichier dit "hosts", qui a la primeur sur le serveur DNS lorsqu'il s'agit de savoir à quelle adresse se trouve un site web. Il suffit par exemple d'y entrer la ligne "mabanque.com 12.34.56.78" pour que toute demande destinée au site de mabanque.com arrive sur le serveur contrôlé par les pirates à l'adresse IP indiquée, et non plus sur le vrai site bancaire. Mais bien entendu, pour modifier ce fichier, il faut que le pirate soit en mesure d'accéder en premier lieu au poste de travail.

 

Un bon antivirus et un outil générique capable de détecter les modifications apportées à la configuration du poste permettent de se protéger de cette méthode, reconnaît Laurent Venet (photo ci-contre), ingénieur avant-vente chez l'intégrateur Computer Links.

 

Les pirates ont ensuite le choix

 

L'autre méthode consiste à s'attaquer au serveur DNS lui-même. Elle a l'avantage d'être efficace contre tous les utilisateurs qui dépendent de ce serveur, même si leur poste de travail est totalement sain et très bien protégé. Les attaques connues ont toutes exploité une faille dans le serveur DNS de Windows NT 4, mais l'outil libre BIND a connu en son temps lui aussi son lot de vulnérabilités. Une fois qu'ils ont pris le contrôle du serveur, les pirates ont le choix. Ils peuvent détourner les demandes entrantes (Panix.com) vers un site, généralement publicitaire et qui tentera d'installer des spywares, ou vers une copie conforme du site original afin de leurrer les internautes. Ils peuvent aussi détourner les demandes sortantes, des utilisateurs internes qui dépendent de ce serveur (comme durant les attaques de 2005). Jusqu'à présent, les pirates ont choisi de diriger toutes les requêtes vers le même site publicitaire, qui tentait au passage d'installer des spywares. Mais une telle attaque plus fine, qui conserverait les bonnes adresses pour la majorité des sites et ne changerait que ceux des établissements bancaires, par exemple, pourrait être l'arnaque ultime.

 

Seule protection contre de telles attaques : protéger le serveur DNS et, pour les utilisateurs, vérifier la conformité du certificat numérique des sites protégés auxquels ils se connectent. Hélas, les mêmes conseils, prodigués sans relâche depuis plusieurs années, n'ont pas empêché les attaques de l'an dernier.

 

 
Partager :
 
pub Publicité

CloudStack by IkoulaCloudStack by Ikoula

Cloud Computing : Atouts et freins, acteurs du marché, conseils et témoignages