PHISHING/PHARMING Les Nouvelles Techniques qui portent atteinte à l intégrité des S.I
Livre blanc réalisé par le Dr Patrice Guichard Le Phishing Si le «phishing» n est pas à proprement parlé une technique de dernière génération, puisque ce phénomène existait à l état embryonnaire en 2004, celui-ci inquiète dorénavant tous les industriels de la sécurité. En effet, les dernières techniques de «phishing» voient converger différentes techniques de piratage pour mieux piéger les utilisateurs. Tous les jours, des centaines d informations privées et d identités numériques sont dérobées par des individus peu scrupuleux ou des «mafias» bien établies. L ampleur que prend le vol d identité numérique grâce aux gains importants que des personnes malveillantes peuvent en retirer contribue à l amélioration permanente des techniques utilisées. Au regard des pertes accumulées par les établissements bancaires le «phishing» est sans conteste la menace s étant développée la plus avec le SPAM au cours de l année 2006. L estimation de 2,8 Milliards de dollars avancée par Gartner Group qui comptabilise les pertes américaines liées au «phishing» pour l année 2006 est sans nul doute très en deçà du montant réel des pertes accumulées par les différents établissements bancaires. L omerta couramment pratiqué dans le domaine financier pour des raisons de confidentialité et d image permet de masquer des pertes beaucoup plus substantielles. Mais quelles sont ces techniques de «phishing» utilisées pour mieux piéger les utilisateurs crédules et comment ont-elles évolué ces dernières années? 2
Les techniques simples de phishing Technique maintenant parfaitement connue par les éditeurs de solutions de sécurité, la technique d offuscation d URL est assez simple à mettre en œuvre : Un pirate reproduit la page d accueil d un site légitime (le plus souvent une institution financière, organisme de paiement - type Paypal - ou site d enchères dans le but de capturer les identifiants de sessions des utilisateurs. Pour attirer leur victime sur le site contrefait, la technique la plus répandue consiste à diffuser massivement des mails via une campagne de SPAM afin de convaincre les utilisateurs de se connecter au plus tôt. Pour ce faire, les pirates utilisent diverses techniques dérivées prétextant par exemple des problèmes de fraude, de pertes de données utilisateurs, de maintenance de site, etc. Bien évidemment, un lien corrompu est proposé sous la forme d une URL légitime mais menant réellement sur un site contrefait, réplique exacte du site original. Pour rediriger les victimes vers le site contrefait tout en évitant d éveiller les soupçons des victimes, les pirates mettent à profit différentes techniques, allant de l exploitation de failles dans les navigateurs Internet, aux multiples possibilités de codage d'adresse permettant d offusquer les URLs, technique qui avait été déjà mise en oeuvre en 1999 par un hacker du nom de Rain Forest Puppy avec son logiciel «Whisker» pour déjouer les NIDS (Network Intrusion Detection System). Explication : Le protocole http permet d'accéder à une page protégée en intégrant le nom de compte et le mot de passe dans un lien URL (exemple : http://utilisateur:mot_de_passe@www.site.com). Si ladite page n'est pas protégée, seule l'adresse http://www.site.com sera prise en compte. On peut aisément détourner cette possibilité offerte par les navigateurs pour créer des redirections permettant de piéger des victimes. Par exemple, l'adresse : http://www.votrebanque.fr@piege.com pointera vers piege.com et non vers http://votrebanque.fr. L'adresse du faux site peut être également masquée en utilisant des codes réservés tels que %00 ou %01, de sorte qu il devient difficile de voir le piège même pour un internaute expérimenté. Ainsi, le lien http://www.votrebanque.com%00@piege.com, affiché dans le navigateur comme http://www.votrebanque.com, fera croire à l'internaute qu'il renvoie vers le site votrebanque.com, alors qu'il renverra vers http://piege.com. Cette vulnérabilité n'a cependant pas affecté tous les navigateurs et semble avoir été corrigée sur les dernières versions en date. D autres techniques permettent de masquer l'adresse URL en la remplaçant par l'adresse IP correspondante au site piege.com (une adresse numérique, plus communément appelée adresse IP du type 81.255.209.61). La supercherie est encore moins visible pour un utilisateur lambda, même si un simple reverse DNS permet de retrouver l'adresse URL. Exemple : l'adresse http://www.votrebanque.fr%00@81.255.209.61, sera affichée par le navigateur comme http://www.votrebanque.fr, qui redirigera la victime vers une réplique exacte du site www.votrebanque.fr et sur lequel l'internaute victime se connectera en fournissant ses codes d'accès, pensant être sur le site de sa banque. En fait, le lien affiché ne pointera par vers le site www.votrebanque.fr, mais vers l adresse IP du site 81.255.209.61. Enfin, il existe d autres possibilités pour masquer l'adresse IP elle-même, en la codant par exemple en octal ou en hexadécimal. Les liens suivants par exemple : http://0x51ffd13d ou http://0121.0377.0321.0075 pointent vers le site de http://www.safe-protect.com. Le lien suivant qui semble inoffensif au premier coup d oeil sera interprété par le navigateur pour pointer vers le site piege.com http://www.votrebanque.fr%00@%70%69%65%67%65%2e%63%6f%6d. Si ces techniques sont maintenant parfaitement maîtrisées par les éditeurs, d autres techniques présentant des propriétés de furtivités plus poussées sont de nos jours de plus en plus utilisées sur Internet. 3
Les techniques furtives de phishing Phishing et Cross Site Scripting Les vulnérabilités de type «Cross-Site Scripting» découvertes au cours de l année 2001, sont présentes sur de nombreux sites Internet et permettent d utiliser une machine sensible à ce problème comme machine de «rebond» pour tromper la vigilance de l utilisateur lors de sa navigation ou lui voler des informations personnelles. Si les conséquences semblent anodines au premier abord, la gravité croît de façon exponentielle avec la sensibilité des informations contenues dans les cookies récupérés par cette technique (authentification, identificateur de session, etc.). Cette technique de «phishing» née d une convergence de 2 attaques est depuis quelques temps mise en oeuvre pour attaquer des sites bancaires en ligne. Si le site www.votrebanque.com est sensible à ce problème, il y a de grandes chances pour qu un jour ou l autre vous receviez un mail frauduleux comportant un lien URL spécifique comme le montre l exemple suivant : http://www.votrebanque.com/do.asp?name=%3ciframe+style%3d%22top%3a130%3b+l eft%3a0%3b+position%3aabsolute%3b%22+frameborder%3d%220%22+border%3d% 220%22+width%3D150+height%3D150+src%3D%22http%3A%2F%2Fwww.piege.com%22 %3E Dans le cas ou le script ASP de votre banque comporterait une faille de type Cross Scripting, l URL ci-dessus permettrait d afficher au beau milieu de la page légitime du site www.votrebanque.com un encart provenant du site www.piege.com, qui dans la majorité des cas serait une bannière venant se superposer sur le page originale et permettant de récupérer le couple «identifiant / mot de passe» de la victime et pour le pirate l accès à son compte bancaire. Typosquatting Autre technique pouvant être utilisée par les pirates pour voler des identités numériques, le typosquatting» ou «URL Hijacking» est une forme évoluée de «cybersquatting» qui consiste à déposer un nom de domaine très proche d un autre nom de domaine. Le fraudeur se concentrera à déposer des variantes de noms de domaine : - en inversant par exemple des lettres, - en modifiant une lettre par rapport au site original, -en déposant des noms phonétiquement proches du site original, espérant que certains internautes feront de bonne foi une faute d'orthographe ou de frappe lors de la saisie d un lien URL. Si cette technique a été initialement utilisée pour récupérer quelques connexions d utilisateurs de sites à fort trafic, il est très vraisemblable que cette technique risque dans un avenir proche d être utilisée pour récupérer bon nombre d identifiants / mots de passe d utilisateurs distraits et des gains beaucoup plus lucratifs. 4
Le Pharming Encore plus furtive car pratiquement indécelable pour l utilisateur commun et relativement récente, la technique du «pharming» consiste à utiliser des failles dans les serveurs DNS (Domain Name Service) pour rediriger la victime vers un site web frauduleux alors qu elle avait saisi dans le navigateur Internet le lien URL légitime du site sur lequel elle souhaitait se connecter. Pour réussir cette manipulation, les pirates utilisent différentes techniques dont la première fut sans nul doute la pollution de cache DNS. La technique de «DNS Cache Poisoning» permet de modifier le contenu du cache d un serveur de nom de domaine pour que ce dernier attribue une nouvelle adresse IP pointant vers un site frauduleux alors que l URL saisie dans le navigateur par la victime est, elle, légitime. Autres variantes : Manipulation du cache DNS de l internaute. Chaque ordinateur gère un cache de résolution DNS afin d accélérer les résolutions similaires suivantes. Un cheval de Troie peut pirater ce cache et modifier ainsi l adresse IP associée sur le poste infecté. Etant donné le nombre d antivirus rarement mis à jour par les utilisateurs et la faiblesse des moteurs heuristiques antivirus à détecter les nouvelles menaces, ce type d attaque peut facilement être mis en oeuvre et compromettre nombre de postes utilisateur. Manipulation d un serveur DNS d un FAI. Ce type d attaque est envisageable mais difficile à mettre en oeuvre, les machines étant dans la grande majorité des cas sous haute surveillance. La manipulation consisterait à modifier l enregistrement d un site bancaire et lui affecter une adresse pointant vers le site frauduleux du pirate. Dans ce cas, l ensemble des clients du FAI utilisant ce serveur DNS seraient redirigés à leur insu. Manipulation d un DNS Autoritaire. Cette attaque identique à la précédente serait dévastatrice car si le serveur DNS en charge de la gestion de la zone pour l organisme bancaire venait à être modifié, l ensemble des internautes souhaitant accéder au site serait redirigé vers le site frauduleux du pirate. Lorsque l on connaît le nombre de serveurs DNS d entreprise encore vulnérables à des failles du type «transferts de zone AXFR» dans les DMZ des entreprises et le peu de mises à jour effectuées sur ces services par les administrateurs réseau, de peur de bloquer leur SI. Nous pouvons sans trop nous avancer dire que ces vulnérabilités ont encore de beaux jours devant elles. Cependant d autres variantes peuvent être également envisagées pour rediriger des connexions utilisateurs vers des sites frauduleux. L une d elles consisterait à injecter en dur dans le fichier HOST de l utilisateur par l intermédiaire d un cheval de Troie, des redirections malveillantes pour un nombre déterminé d organismes bancaires. Ce fichier HOST étant lu par le navigateur avant toute interrogation de service DNS, l utilisateur serait redirigé systématiquement vers le site frauduleux la encore réplique exacte du site original. 5
Autre variante pouvant être utilisée par les pirates pour rediriger des connexions utilisateurs vers des sites frauduleux consisterait à s attaquer au cache des serveurs proxy des entreprises plutôt qu au cache DNS pour afficher une page maquillée. Si l on regarde le nombre de vulnérabilités récentes dans lesquelles des corruptions de cache ont été pointées dans les serveurs proxy, il n y a qu un pas à franchir pour que des pirates les utilisent à leur profit pour rediriger des connexions vers leurs sites pièges. Si ces différentes techniques ont été utilisées ou peuvent être utilisées pour détourner des utilisateurs vers des sites malveillants, la découverte récente par RSA et son centre antifraude AFCC, de la mise sur le marché d un nouveau kit de «Phishing Man in the middle» universel, montre que les auteurs de «phishing» commencent à industrialiser leurs processus d attaques. En effet, si l on en croit RSA, ce kit «payant» permettrait aux pirates de créer une URL frauduleuse communiquant en temps réel avec le site web légitime de l organisme financier visé (banque, site marchand ou toute entreprise gérant des transactions en ligne avec ses utilisateurs). Les analystes de RSA ont identifié deux avantages majeurs pour les fraudeurs à utiliser ce kit : 1) Sa simplicité d utilisation quelle qu en soit la cible, évitant aux fraudeurs de préparer un kit spécifique pour chaque attaque, puisqu il permettrait d importer les pages de n importe quel site cible. 2) Contrairement aux outils de phishing traditionnels qui ne collectent que des données spécifiques (Couple identifiant / mot de passe), ce kit permettrait d intercepter tout type d information soumise au site après la connexion de la victime à son compte. Parallèlement aux techniques évoquées ci-dessus, le vol d identité numérique ou de données bancaires (numéro de carte de crédit etc..) risque fort de faire converger différentes techniques d attaques (Vers + Rootkit + Keylogger ). Imaginez l impact sur les différentes places financières, si un ver «bancaire» spécifiquement conçu avait la rapidité de propagation d un ver de type «sasser», la furtivité et la ténacité d un cheval de Troie du type «rudstock» en s installant dans les «Alternate Data Stream NTFS», et installait un keylogger qui ne réagirait qu à certaines chaînes de caractères comme login / password ou URL spécifique d organismes financiers, et qui enverrait à votre insu vos coordonnées bancaires dans différentes boites aux lettres réparties sur le globe en utilisant des failles de type «Leak Memory» pour outrepasser les contrôles de votre pare-feu personnel. 6
A PROPOS DE SAFE PROTECT www.safe-protect.com Créée en février 2003 par une équipe de cadres haut niveau à l origine de nombreuses publications et thèses reconnues dans le domaine de la sécurité informatique, les activités de Safe-Protect portent sur l'audit, l architecture et la conception de logiciels destinés à protéger les systèmes d information (SI) des grandes entreprises, des PME, PMI et des organismes gouvernementaux. Safe-Protect a reçu le soutien et la labellisation d OSEO ANVAR et du SGDN ( Secrétariat Général de la Défense Nationale) pour le développement de ses solutions innovantes réunies dans le software «Bellérophon», qui sort ce mois ci. Ses développements font l objet de nombreux brevets. Safe-Protect a investi 1,7 M en R&D. La société est passée en décembre 2006 en SA à un capital de 1M. L ouverture croissante des systèmes d information sur l extérieur, la complexité des nouvelles technologies génère de nouveaux risques pour les entreprises avec des conséquences majeures pour la continuité de leur activité et occasionne des pertes financières souvent élevées. La prise de conscience est aujourd hui très vive et les directions générales doivent intégrer ces risques dans la stratégie globale de l entreprise. Dans cette démarche, le laboratoire R&D de Safe-Protect en collaboration avec ses experts en intrusion et audit de SI, a conçu et réalisé le produit de sécurité Bellérophon, «Tout en un» décentralisé et télé-distribué sur les postes utilisateurs, capable de parer à toutes les menaces externes et internes. A PROPOS D ATHENA GLOBAL SERVICES www.athena-gs.com ATHENA Global Services est distributeur exclusif en France des solutions Bellérophon et Safe-Protect Box éditées par Safe-Protect. Créée en 1997, ATHENA Global Services est une entreprise indépendante spécialisée dans la distribution de logiciels de sécurité informatique. A travers un vaste réseau de distribution, constitué de VARs, revendeurs locaux professionnels et des plus importantes enseignes spécialisées dans la distribution de logiciels, Athena Global Services propose des logiciels et des équipements de sécurité novateurs destinés aux particuliers et aux entreprises pour protéger et gérer leur environnement informatique : antivirus, pare-feu, cryptage, politique de sécurité, authentification, sauvegarde, migration des données, et contrôle du trafic Internet. Outre cette spécialisation dans les solutions de sécurité, ATHENA Global Services propose également une gamme de logiciels utilitaires dédiés à la protection et l optimisation des parcs informatiques. Grâce à son savoir-faire, ATHENA Global Services entretient des relations privilégiées avec des éditeurs mondiaux et même français pour lesquels, elle localise et distribue leurs logiciels. 7