all html : Le portail des webmaster

Article publié le vendredi 13 octobre 2006 par yhebert.
Cet article est classé dans les catégories « Hébergement, Internet et Intranet, Nom de domaine »

De nouvelles techniques de piratage, toujours plus sophistiquées, voient régulièrement le jour. Point sur l’une d’entre elles, le pharming, et sur les moyens de s’en protéger.

Objectif : tromper l’internaute !
L’objectif du pharming est le même que celui du phishing : induire l’internaute en erreur et l’amener sur un site contrefait. Pour cela, les pirates informatiques créent une copie d’un site officiel, comme celui d’une banque par exemple. En y accédant, l’internaute saisit en toute confiance ses identifiants de connexions qui sont ensuite utilisés à mauvais escient par les pirates ! Reste à attirer le maximum d’internautes sur ce site parallèle. Pour cela, la technique du phishing consiste à utiliser des adresses proches de celles du site officiel dans des campagnes de SPAM. Exemple : http://www.ambanque.fr au lieu de http://www.mabanque.fr...

L’industrialisation du piratage
Le pharming va encore plus loin : la technique consiste à s’attaquer directement à la résolution DNS. L’internaute tape correctement l’adresse du site d’origine dans son navigateur (http://www.mabanque.fr) mais l’adresse IP associée est piratée et il accède finalement au site contrefait. Pour réaliser ce tour de force, les pirates disposent de plusieurs modes d’attaque :

- La manipulation du cache DNS de l’internaute. Chaque ordinateur gère un cache des résolutions DNS qu’il a déjà effectuées afin d’accélérer les résolutions suivantes similaires. Un virus ou un cheval de Troyes peut pirater ce cache et ainsi modifier artificiellement l’adresse IP associée à un site pour l’utilisateur infecté. De part la vulnérabilité de nombreux postes informatiques, ce type d’attaque est le plus simple à mettre en œuvre ;

- La manipulation d’un serveur DNS d’un FAI. Ce type d’attaque est plus efficace mais plus difficile à mettre en œuvre. Il consiste à insérer un enregistrement DNS frauduleux directement sur le serveur DNS d’un fournisseur d’accès à Internet. Tous les clients de ce FAI utilisant ce serveur seront alors affectés par l’attaque ;

- La manipulation d’un serveur DNS autoritaire. Cette attaque est identique à la précédente mais concerne directement un serveur DNS autoritaire pour le nom de domaine visé. Elle est ainsi la plus dévastatrice car chaque internaute souhaitant accéder au site contrefait sera affecté.


Comment se protéger ?
Le Pharming est beaucoup plus difficile à détecter que le phishing : l’url affichée est valide ! Le seul moyen de protection réside dans la prévention :
- prévention de l’internaute, par la protection de son PC (antivirus, firewall) et par le choix d’un FAI reconnu et fiable ;
- prévention du gestionnaire du site, par le choix d’un prestataire de noms de domaine professionnel, et capable de garantir une sécurité maximale sur ses serveurs DNS autoritaires.

Sources de l'information : INDOM, Noms de domaine

DomainesInfo, L'actualité des noms de domaine

Netapsys, Ingénierie Informatique

Plus d'informations :

• INDOM
• DomainesInfo
• Netapsys