Pharming : encore plus dangereux que le phishing !

De nouvelles techniques de piratage, toujours plus sophistiquées, voient régulièrement le jour. Point sur l’une d’entre elles, le pharming, et sur les moyens de s’en protéger.

Objectif : tromper l’internaute !

L’objectif du pharming est le même que celui du phishing : induire l’internaute en erreur et l’amener sur un site contrefait. Pour cela, les pirates informatiques créent une copie d’un site officiel, comme celui d’une banque par exemple. En y accédant, l’internaute saisit en toute confiance ses identifiants de connexions qui sont ensuite utilisés à mauvais escient par les pirates ! Reste à attirer le maximum d’internautes sur ce site parallèle. Pour cela, la technique du phishing consiste à utiliser des adresses proches de celles du site officiel dans des campagnes de SPAM. Exemple : http://www.ambanque.fr au lieu de http://www.mabanque.fr

L’industrialisation du piratage

Le pharming va encore plus loin : la technique consiste à s’attaquer directement à la résolution DNS. L’internaute tape correctement l’adresse du site d’origine dans son navigateur (http://www.mabanque.fr) mais l’adresse IP associée est piratée et il accède finalement au site contrefait. Pour réaliser ce tour de force, les pirates disposent de plusieurs modes d’attaque :

- La manipulation du cache DNS de l’internaute. Chaque ordinateur gère un cache des résolutions DNS qu’il a déjà effectuées afin d’accélérer les résolutions suivantes similaires. Un virus ou un cheval de Troyes peut pirater ce cache et ainsi modifier artificiellement l’adresse IP associée à un site pour l’utilisateur infecté. De par la vulnérabilité de nombreux postes informatiques, ce type d’attaque est le plus simple à mettre en œuvre ;

- La manipulation d’un serveur DNS d’un FAI. Ce type d’attaque est plus efficace mais plus difficile à mettre en œuvre. Il consiste à insérer un enregistrement DNS frauduleux directement sur le serveur DNS d’un fournisseur d’accès à Internet. Tous les clients de ce FAI utilisant ce serveur seront alors affectés par l’attaque ;

- La manipulation d’un serveur DNS autoritaire. Cette attaque est identique à la précédente mais concerne directement un serveur DNS autoritaire pour le nom de domaine visé. Elle est ainsi la plus dévastatrice car chaque internaute souhaitant accéder au site contrefait sera affecté.

Comment se protéger ?

Le Pharming est beaucoup plus difficile à détecter que le phishing : l’url affichée est valide ! Le seul moyen de protection réside dans la prévention :
- prévention de l’internaute, par la protection de son PC (antivirus, firewall) et par le choix d’un FAI reconnu et fiable ;
- prévention du gestionnaire du site, par le choix d’un prestataire de noms de domaine professionnel, et capable de garantir une sécurité maximale sur ses serveurs DNS autoritaires.

Sources :

INDOM, Noms de domaine
DomainesInfo, L’actualité des noms de domaine
Netapsys, Ingénierie Informatique