Il existe une autre technique de phishing qui est autrement plus complexe mais autrement plus mortelle puisqu'alors que dans les cas vus précédemment vous pouviez toujours voir l'adresse du site et vous dire qu'il y avait un problème, dans le cas présent, vous serez physiquement (du moins c'est ce que tout vous portera à croire) sur le site officiel.
Mais il n'en sera rien et vous serez en effet bien sur un site déguisé qui ne sera pas celui que vous pensiez, comment peut être possible cette prouesse technologique?
Assez facilement à vrai dire, en effet elle peut se faire de plusieurs manières que nous allons détailler afin de vous montrer à quel point il vous faut rester prudent même si tout vous pousse à croire que vous pouvez avoir confiance.
Tout d'abord il nous faut définir un terme que nous allons réutiliser largement dans cet article qui est le terme DNS (Domain Name Server) c'est un peu l'annuaire des adresses internet.
A quoi cela sert il?
Et bien en réalité internet n'est qu'un ensemble de machine toutes reliées entre elles par une adresse unique qui permet de les identifier, cette adresse est appelée adresse IP elle permet sur un réseau commun de différencier deux machines distinctes, c'est grâce à elle par exemple que l'industrie du disque peut lancer des poursuites contre des internautes puisqu'au moment ou une infraction est avérée par exemple une seule machine dans le monde possède l'adresse IP impliquée, il est ensuite très simple de retrouver la machine physique correspondante.
Mais vous vous en doutez si nous devions connaitre les adresses des machines que nous voulons accéder nous ne serions jamais suffisamment bon pour toutes nous les rappeler, d'autant que pour un même site internet il peut y avoir plusieurs machines différentes avec plusieurs IP donc.
C'est pourquoi on a décidé de donner des adresses aux sites internet afin de simplifier considérablement le travail pour se rappeler, et ainsi être sur d'accéder aux bons endroits (c'est une simplification puisque grâce à ces adresses on peut aussi héberger sous une seule adresse IP plusieurs dizaines ou centaines de sites mais ne rentrons pas dans des détails inutiles pour ce qui nous intéresse ici).
Mais bien entendu les ordinateurs eux ne connaissent pas les adresses internet et quand vous saisissez "http://www.google.com/" sur votre navigateur ça ne veut rien dire, alors les DNS entrent en action, ils vont servir d'annuaire, votre machine va contacter celui qu'elle connait ou le plus proche et lui demander qui est "http://www.google.com/" ce à quoi le DNS va lui répondre une adresse comme xxx.xxx.xxx.xxx qui est l'adresse IP de la machine qui héberge le site en question.
Les DNS se propagent entre eux les informations suivant des techniques assez complexes certains faisant autorité et obligeant les autres à prendre en compte leurs modifications, etc... Bref une sacré mécanique.
Mais le DNS peut aussi être local, en effet votre propre machine peut stocker soit temporairement soit définitivement dans un fichier (HOSTS pour ne pas le citer) un annuaire propre à celle ci, vous permettant par exemple de vous créer des raccourcis spécifiques, d'interdire l'accès à certaines adresses en les redirigeant vers des adresses IP inexistantes ou de faire ce que vous voulez.
En effet si vous saisissez l'adresse locale de la machine (la votre) à savoir 127.0.0.1 pour http://www.google.com/ par exemple, lorsque vous saisirez "http://www.google.com/" dans votre navigateur si vous n'avez aucun site hébergé sur votre machine, aucune page ne se chargera, si par contre vous aviez un site sur votre machine c'est lui qui s'affichera.
Je pense que ceux qui ont bien compris le concept imaginent déjà aisément ce qu'il est possible de faire avec ce système dans le cas ou l'on souhaite faire croire des choses et qu'on souhaite tromper l'utilisateur.
Voyons donc les 3 cas qui nous intéresse dans l'affaire du pharming et qui sont les cas les plus courants.
1- Le Cache DNS sur un serveur
C'est à dire sur un serveur internet que vous utilisez lorsque vous demandez l'accès à une page.
Ce cache peut être compromis et modifié par un pirate par exemple, et si il veut vous tromper il peut indiquer dans l'annuaire l'adresse IP d'une machine qu'il contrôle lui et sur laquelle il a fait une copie des pages du site officiel que vous désiriez consulter, ce faisant vous avez l'impression d'être sur le site officiel alors que vous êtes sur un site sans aucune sécurité où tout ce que vous faites et saisissez peut être récupéré et stocké de manière à être réutilisé à l'avenir par exemple.
Il faut reconnaitre que ce cas est très rare voir quasiment rarissime, mais il est techniquement possible même sur de courtes périodes (entre les resynchronisations par exemple des serveurs).
Hélas dans ce cas là il y a peu de solutions pour effectivement détecter le subterfuge, en effet on pourrait imaginer que la copie est tellement identique à l'originale que rien ne puisse laisser penser que ce n'est pas le site original.
Encore une fois pas besoin de devenir paranoïaque, nous parlons ici de possibilité technique et pas de cas avérés, surtout que les serveurs qui hébergent les DNS sont extrêmement surveillés et sécurisés.
2- Le cache DNS en local
Là c'est autrement plus facile de corrompre ce cache là puisque ce n'est qu'un fichier comme un autre accessible sur votre propre machine et qui fait office de premier DNS consulté avant de faire appel aux serveurs DNS accessibles sur internet.
Pour modifier ce fichier, il suffit d'être sur la machine, comme les pirates n'ont que rarement la possibilité physique d'être devant une machine, c'est pas un virus ou cheval de Troie, ou par un spyware que la contamination va avoir lieu, d'une manière ou d'une autre, vous allez exécuter un programme contaminé ou consulter une page utilisant une faille pour exécuter le programme à votre insu, bref d'une manière ou d'une autre le programme va se retrouver en mémoire de votre ordinateur, et si son but n'est pas d'y rester en mémoire, mais de se faire discret, le fichier sera modifié et ensuite le programme disparaitra voir s'effacera de votre machine.
Difficile de voir l'infection, mais pas impossible vous pouvez régulièrement aller jeter un œil à ce fichier qui est un fichier texte lisible sans logiciel particulier.
Pour se faire cliquez sur "Démarre", "Exécutez..."
Puis saisissez la ligne suivante
notepad "C:\WINDOWS\system32\drivers\etc\hosts"
Le fichier va apparaitre, si il est sain vous ne devriez avoir que peu de ligne voir une seule après les lignes commençant par #
127.0.0.1 localhost
Qui indique quelle est l'adresse locale de la machine.
Si des lignes vous paraissent louches vous pouvez les mettre en suspens en ajoutant un # devant ainsi elles ne seront plus utilisées, après que le système soit redémarré.
Si vous observez à ce moment là des erreurs ou des bizarreries vous n'aurez qu'à enlever le # et redémarrer une autre fois pour que les lignes soient réutilisées.
3- Spyware sur la machine
Ca peut d'ailleurs être l'un des vecteurs du cas numéro deux, bien que là je souhaite vous parler d'un autre genre de spyware, qui comme Torpig par exemple peuvent en temps réel faire en sorte qu'alors que vous croyez naviguer tranquillement sur le site de telle banque, vous soyez en fait sur un site qui n'a rien à voir et ce sans toucher au fichier du cache DNS de la machine rendant sa détection d'autant plus difficile qu'il y a des chances qu'ils utilisent toutes les techniques habituelles des rootkits ou des spywares les plus perfectionnés pour rester discrets et invisibles...
Une fois ce spyware installé sur votre machine, vous n'en êtes plus maitre, le programme réside en mémoire et peut à loisir espionner tout ce que vous tapez au clavier, tout ce que vous faites.
De plus il peut surveiller que vous utilisez votre navigateur internet et rediriger votre demande lorsque vous désirez vous connecter sur tel ou tel site vers un autre site sans même que vous puissiez vous en rendre compte, ce qui peut servir à installer d'autres logiciels nous souhaités ou à récupérer des informations confidentielles par exemple.
Pour traiter ce genre de cas, un antivirus à jour, ainsi au moins qu'un antispyware et peut être si possible un antirootkit seront vos armes, avec cette panoplie de trois outils vous devriez pouvoir normalement traquer et éliminer ces parasites, bien entendu il se peut que la bataille soit difficile, mais les outils sont légions, mais cela peut prendre du temps pour nettoyer une machine surtout si vous possédez cet intrus depuis longtemps...
Le pharming se développe, surtout parce qu'il est plus difficile à diagnostiquer et à découvrir que le phishing classique, il représente un réel risque contre lequel il faut se protéger, mais pour l'instant les seules méthodes de protection sont plutôt la vigilance, et la vérification régulière que votre machine n'abrite pas d'intrus.
Il y a en tout cas fort à parier que ce genre de technique va prendre de plus en plus de place dans les techniques employées par les pirates. Mais plus le grand public les connaitra et moins ces techniques pourront fonctionner car plus les gens seront attentifs et prudents.
Aucun commentaire:
Enregistrer un commentaire