PHISHING/PHARMING. Les Nouvelles Techniques qui portent atteinte à l intégrité des S.I



Documents pareils
Club des Responsables d Infrastructures et de la Production

Notions de sécurités en informatique

LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012

BANQUE NEUFLIZE OBC LES BONNES PRATIQUES INTERNET ET MESSAGERIE

FORMATION PROFESSIONNELLE AU HACKING

Présenté par : Mlle A.DIB

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

MailCube MC 2. 2,5 jours / homme / an. 33 milliards de kwh. 17 millions de. 3,1 millions de. nouvelle génération. Le spam en quelques chiffres :

Aperçu de l'activité virale : Janvier 2011

Symantec MessageLabs Web Security.cloud

«Obad.a» : le malware Android le plus perfectionné à ce jour

Glossaire. Acces Denied

Tech-Evenings Sécurité des applications Web Sébastien LEBRETON

DNS : types d attaques et. techniques de. sécurisation. Le DNS (Domain Name System), un élément essentiel de l infrastructure Internet

Les menaces informatiques

LIVRE BLANC COMBATTRE LE PHISHING. Auteur Sébastien GOUTAL Responsable Filter Lab. Janvier

Résumé. IronPort Web Reputation : protection et défense contre les menaces à base d URL

Progressons vers l internet de demain

Protection pour site web Sucuri d HostPapa

Trusteer Pour la prévention de la fraude bancaire en ligne

Protection des protocoles

ISEC. Codes malveillants

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Les menaces sur internet, comment les reconnait-on? Sommaire

Combattre les attaques d Intermédiation. et les Chevaux de Troie

La sécurité informatique

Fiche pratique. Présentation du problème. Pourquoi Rapport? Comment çà marche?

NETTOYER ET SECURISER SON PC

SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE

Coupez la ligne des courriels hameçons

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

TEST D INTRUSION : UNE SIMULATION DE HACKING POUR IDENTIFIER LES FAIBLESSES DE VOTRE SYSTÈME

DNSSEC. Introduction. les extensions de sécurité du DNS. Les dossiers thématiques de l AFNIC. 1 - Organisation et fonctionnement du DNS

Charte d installation des réseaux sans-fils à l INSA de Lyon

Les conseils & les astuces de RSA Pour être tranquille sur Internet

La sécurité des systèmes d information

Les rootkits navigateurs

Richard MONTBEYRE Master 2 Professionnel Droit de l Internet Administration Entreprises. La banque en ligne et le protocole TLS : exemple

Janvier. Attaque par Phishing

S Catalogue des Formations Sécurité. Présentation. Menu. Présentation P.2 Nos formations P.3 Modalités P.9 Bulletin d inscription P.

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

14.1. Paiements et achats en ligne

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

NETTOYER ET SECURISER SON PC

Botnets, les fantômes de l internet. 6 Novembre Iheb Khemissi - iheb.khemissi@gmail.com Joris Brémond - joris.bremond@gmail.

Document de présentation technique. Blocage du comportement

Sécuriser les achats en ligne par Carte d achat

Comment se protéger contre les s suspicieux?

Sécurité informatique

RSA ADAPTIVE AUTHENTICATION

Sécurité des réseaux Les attaques

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE

La protection des systèmes Mac et Linux : un besoin réel?

Auteur : Axelle Apvrille, chercheur sénior anti-virus sur mobile chez Fortinet

Récapitulatif des principaux risques encourus

Les botnets: Le côté obscur de l'informatique dans le cloud

La sécurité périmètrique multi-niveaux. Un white paper de Daniel Fages CTO ARKOON Network Security

UNE NOUVELLE MENACE : LA PUB-ILLICITE OU QUAND LA PUBLICITE SERT DE PASSERELLE A LA CYBER CRIMINALITE

Sécuriser une infrastructure de postes virtuels avec Citrix NetScaler.

escan Entreprise Edititon Specialist Computer Distribution

La payement par Carte Bancaire sur Internet

Sécurité. Tendance technologique

Messagerie. Dominique MARANT CRI Lille 1. Octobre 2006

Principes de la sécurité informatique

GUIDE DE L'UTILISATEUR AVERTI

Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE

Chaque année, près de 400 millions de personnes 1 sont victimes de la cybercriminalité.

Sécurité et protection contre les vulnérabilités dans Google Apps : une étude détaillée. Livre blanc Google - Février 2007

Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Conseils de sécurité lors de l utilisation d Internet, des cartes bancaires et de l e-banking.

RECOMMANDATIONS ET MISES EN GARDE DE McAFEE EN MATIÈRE d achats en ligne

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

Bilan 2008 du Cert-IST sur les failles et attaques

USERGATE PROXY & FIREWALL. Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

E-réputation : protection des données en ligne. Ghislain NYAMFIT Consultant en

Serveur de messagerie

Vulnérabilités et solutions de sécurisation des applications Web

spam & phishing : comment les éviter?

LES INSCRIPTIONS À L «UNIVERSITÉ DE LA CYBERCRIMINALITÉ» SONT OUVERTES!

Vulnérabilités et sécurisation des applications Web

Le spam introduction. Sommaire

TD n o 8 - Domain Name System (DNS)

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Les principes de la sécurité

Fiche Technique. Cisco Security Agent

FICHE PRODUIT COREYE CACHE Architecture technique En bref Plateforme Clients Web Coreye Cache applicative Références Principe de fonctionnement

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin

SENSIBILISATION À LA CYBERSÉCURITÉ : LE COMPORTEMENT À RISQUE DES INTERNAUTES

(Third-Man Attack) PASCAL BONHEUR PASCAL 4/07/2001. Introduction. 1 Domain Name Server. 2 Commandes DNS. 3 Hacking des serveurs DNS

QUESTIONS / REPONSES ESET Smart Security ESET NOD32 Antivirus V.3

Banque en ligne et sécurité : remarques importantes

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Bibliographie. Gestion des risques

L'écoute des conversations VoIP

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi

L e-commerce : sécurité et paiements en ligne

Transcription:

PHISHING/PHARMING Les Nouvelles Techniques qui portent atteinte à l intégrité des S.I

Livre blanc réalisé par le Dr Patrice Guichard Le Phishing Si le «phishing» n est pas à proprement parlé une technique de dernière génération, puisque ce phénomène existait à l état embryonnaire en 2004, celui-ci inquiète dorénavant tous les industriels de la sécurité. En effet, les dernières techniques de «phishing» voient converger différentes techniques de piratage pour mieux piéger les utilisateurs. Tous les jours, des centaines d informations privées et d identités numériques sont dérobées par des individus peu scrupuleux ou des «mafias» bien établies. L ampleur que prend le vol d identité numérique grâce aux gains importants que des personnes malveillantes peuvent en retirer contribue à l amélioration permanente des techniques utilisées. Au regard des pertes accumulées par les établissements bancaires le «phishing» est sans conteste la menace s étant développée la plus avec le SPAM au cours de l année 2006. L estimation de 2,8 Milliards de dollars avancée par Gartner Group qui comptabilise les pertes américaines liées au «phishing» pour l année 2006 est sans nul doute très en deçà du montant réel des pertes accumulées par les différents établissements bancaires. L omerta couramment pratiqué dans le domaine financier pour des raisons de confidentialité et d image permet de masquer des pertes beaucoup plus substantielles. Mais quelles sont ces techniques de «phishing» utilisées pour mieux piéger les utilisateurs crédules et comment ont-elles évolué ces dernières années? 2

Les techniques simples de phishing Technique maintenant parfaitement connue par les éditeurs de solutions de sécurité, la technique d offuscation d URL est assez simple à mettre en œuvre : Un pirate reproduit la page d accueil d un site légitime (le plus souvent une institution financière, organisme de paiement - type Paypal - ou site d enchères dans le but de capturer les identifiants de sessions des utilisateurs. Pour attirer leur victime sur le site contrefait, la technique la plus répandue consiste à diffuser massivement des mails via une campagne de SPAM afin de convaincre les utilisateurs de se connecter au plus tôt. Pour ce faire, les pirates utilisent diverses techniques dérivées prétextant par exemple des problèmes de fraude, de pertes de données utilisateurs, de maintenance de site, etc. Bien évidemment, un lien corrompu est proposé sous la forme d une URL légitime mais menant réellement sur un site contrefait, réplique exacte du site original. Pour rediriger les victimes vers le site contrefait tout en évitant d éveiller les soupçons des victimes, les pirates mettent à profit différentes techniques, allant de l exploitation de failles dans les navigateurs Internet, aux multiples possibilités de codage d'adresse permettant d offusquer les URLs, technique qui avait été déjà mise en oeuvre en 1999 par un hacker du nom de Rain Forest Puppy avec son logiciel «Whisker» pour déjouer les NIDS (Network Intrusion Detection System). Explication : Le protocole http permet d'accéder à une page protégée en intégrant le nom de compte et le mot de passe dans un lien URL (exemple : http://utilisateur:mot_de_passe@www.site.com). Si ladite page n'est pas protégée, seule l'adresse http://www.site.com sera prise en compte. On peut aisément détourner cette possibilité offerte par les navigateurs pour créer des redirections permettant de piéger des victimes. Par exemple, l'adresse : http://www.votrebanque.fr@piege.com pointera vers piege.com et non vers http://votrebanque.fr. L'adresse du faux site peut être également masquée en utilisant des codes réservés tels que %00 ou %01, de sorte qu il devient difficile de voir le piège même pour un internaute expérimenté. Ainsi, le lien http://www.votrebanque.com%00@piege.com, affiché dans le navigateur comme http://www.votrebanque.com, fera croire à l'internaute qu'il renvoie vers le site votrebanque.com, alors qu'il renverra vers http://piege.com. Cette vulnérabilité n'a cependant pas affecté tous les navigateurs et semble avoir été corrigée sur les dernières versions en date. D autres techniques permettent de masquer l'adresse URL en la remplaçant par l'adresse IP correspondante au site piege.com (une adresse numérique, plus communément appelée adresse IP du type 81.255.209.61). La supercherie est encore moins visible pour un utilisateur lambda, même si un simple reverse DNS permet de retrouver l'adresse URL. Exemple : l'adresse http://www.votrebanque.fr%00@81.255.209.61, sera affichée par le navigateur comme http://www.votrebanque.fr, qui redirigera la victime vers une réplique exacte du site www.votrebanque.fr et sur lequel l'internaute victime se connectera en fournissant ses codes d'accès, pensant être sur le site de sa banque. En fait, le lien affiché ne pointera par vers le site www.votrebanque.fr, mais vers l adresse IP du site 81.255.209.61. Enfin, il existe d autres possibilités pour masquer l'adresse IP elle-même, en la codant par exemple en octal ou en hexadécimal. Les liens suivants par exemple : http://0x51ffd13d ou http://0121.0377.0321.0075 pointent vers le site de http://www.safe-protect.com. Le lien suivant qui semble inoffensif au premier coup d oeil sera interprété par le navigateur pour pointer vers le site piege.com http://www.votrebanque.fr%00@%70%69%65%67%65%2e%63%6f%6d. Si ces techniques sont maintenant parfaitement maîtrisées par les éditeurs, d autres techniques présentant des propriétés de furtivités plus poussées sont de nos jours de plus en plus utilisées sur Internet. 3

Les techniques furtives de phishing Phishing et Cross Site Scripting Les vulnérabilités de type «Cross-Site Scripting» découvertes au cours de l année 2001, sont présentes sur de nombreux sites Internet et permettent d utiliser une machine sensible à ce problème comme machine de «rebond» pour tromper la vigilance de l utilisateur lors de sa navigation ou lui voler des informations personnelles. Si les conséquences semblent anodines au premier abord, la gravité croît de façon exponentielle avec la sensibilité des informations contenues dans les cookies récupérés par cette technique (authentification, identificateur de session, etc.). Cette technique de «phishing» née d une convergence de 2 attaques est depuis quelques temps mise en oeuvre pour attaquer des sites bancaires en ligne. Si le site www.votrebanque.com est sensible à ce problème, il y a de grandes chances pour qu un jour ou l autre vous receviez un mail frauduleux comportant un lien URL spécifique comme le montre l exemple suivant : http://www.votrebanque.com/do.asp?name=%3ciframe+style%3d%22top%3a130%3b+l eft%3a0%3b+position%3aabsolute%3b%22+frameborder%3d%220%22+border%3d% 220%22+width%3D150+height%3D150+src%3D%22http%3A%2F%2Fwww.piege.com%22 %3E Dans le cas ou le script ASP de votre banque comporterait une faille de type Cross Scripting, l URL ci-dessus permettrait d afficher au beau milieu de la page légitime du site www.votrebanque.com un encart provenant du site www.piege.com, qui dans la majorité des cas serait une bannière venant se superposer sur le page originale et permettant de récupérer le couple «identifiant / mot de passe» de la victime et pour le pirate l accès à son compte bancaire. Typosquatting Autre technique pouvant être utilisée par les pirates pour voler des identités numériques, le typosquatting» ou «URL Hijacking» est une forme évoluée de «cybersquatting» qui consiste à déposer un nom de domaine très proche d un autre nom de domaine. Le fraudeur se concentrera à déposer des variantes de noms de domaine : - en inversant par exemple des lettres, - en modifiant une lettre par rapport au site original, -en déposant des noms phonétiquement proches du site original, espérant que certains internautes feront de bonne foi une faute d'orthographe ou de frappe lors de la saisie d un lien URL. Si cette technique a été initialement utilisée pour récupérer quelques connexions d utilisateurs de sites à fort trafic, il est très vraisemblable que cette technique risque dans un avenir proche d être utilisée pour récupérer bon nombre d identifiants / mots de passe d utilisateurs distraits et des gains beaucoup plus lucratifs. 4

Le Pharming Encore plus furtive car pratiquement indécelable pour l utilisateur commun et relativement récente, la technique du «pharming» consiste à utiliser des failles dans les serveurs DNS (Domain Name Service) pour rediriger la victime vers un site web frauduleux alors qu elle avait saisi dans le navigateur Internet le lien URL légitime du site sur lequel elle souhaitait se connecter. Pour réussir cette manipulation, les pirates utilisent différentes techniques dont la première fut sans nul doute la pollution de cache DNS. La technique de «DNS Cache Poisoning» permet de modifier le contenu du cache d un serveur de nom de domaine pour que ce dernier attribue une nouvelle adresse IP pointant vers un site frauduleux alors que l URL saisie dans le navigateur par la victime est, elle, légitime. Autres variantes : Manipulation du cache DNS de l internaute. Chaque ordinateur gère un cache de résolution DNS afin d accélérer les résolutions similaires suivantes. Un cheval de Troie peut pirater ce cache et modifier ainsi l adresse IP associée sur le poste infecté. Etant donné le nombre d antivirus rarement mis à jour par les utilisateurs et la faiblesse des moteurs heuristiques antivirus à détecter les nouvelles menaces, ce type d attaque peut facilement être mis en oeuvre et compromettre nombre de postes utilisateur. Manipulation d un serveur DNS d un FAI. Ce type d attaque est envisageable mais difficile à mettre en oeuvre, les machines étant dans la grande majorité des cas sous haute surveillance. La manipulation consisterait à modifier l enregistrement d un site bancaire et lui affecter une adresse pointant vers le site frauduleux du pirate. Dans ce cas, l ensemble des clients du FAI utilisant ce serveur DNS seraient redirigés à leur insu. Manipulation d un DNS Autoritaire. Cette attaque identique à la précédente serait dévastatrice car si le serveur DNS en charge de la gestion de la zone pour l organisme bancaire venait à être modifié, l ensemble des internautes souhaitant accéder au site serait redirigé vers le site frauduleux du pirate. Lorsque l on connaît le nombre de serveurs DNS d entreprise encore vulnérables à des failles du type «transferts de zone AXFR» dans les DMZ des entreprises et le peu de mises à jour effectuées sur ces services par les administrateurs réseau, de peur de bloquer leur SI. Nous pouvons sans trop nous avancer dire que ces vulnérabilités ont encore de beaux jours devant elles. Cependant d autres variantes peuvent être également envisagées pour rediriger des connexions utilisateurs vers des sites frauduleux. L une d elles consisterait à injecter en dur dans le fichier HOST de l utilisateur par l intermédiaire d un cheval de Troie, des redirections malveillantes pour un nombre déterminé d organismes bancaires. Ce fichier HOST étant lu par le navigateur avant toute interrogation de service DNS, l utilisateur serait redirigé systématiquement vers le site frauduleux la encore réplique exacte du site original. 5

Autre variante pouvant être utilisée par les pirates pour rediriger des connexions utilisateurs vers des sites frauduleux consisterait à s attaquer au cache des serveurs proxy des entreprises plutôt qu au cache DNS pour afficher une page maquillée. Si l on regarde le nombre de vulnérabilités récentes dans lesquelles des corruptions de cache ont été pointées dans les serveurs proxy, il n y a qu un pas à franchir pour que des pirates les utilisent à leur profit pour rediriger des connexions vers leurs sites pièges. Si ces différentes techniques ont été utilisées ou peuvent être utilisées pour détourner des utilisateurs vers des sites malveillants, la découverte récente par RSA et son centre antifraude AFCC, de la mise sur le marché d un nouveau kit de «Phishing Man in the middle» universel, montre que les auteurs de «phishing» commencent à industrialiser leurs processus d attaques. En effet, si l on en croit RSA, ce kit «payant» permettrait aux pirates de créer une URL frauduleuse communiquant en temps réel avec le site web légitime de l organisme financier visé (banque, site marchand ou toute entreprise gérant des transactions en ligne avec ses utilisateurs). Les analystes de RSA ont identifié deux avantages majeurs pour les fraudeurs à utiliser ce kit : 1) Sa simplicité d utilisation quelle qu en soit la cible, évitant aux fraudeurs de préparer un kit spécifique pour chaque attaque, puisqu il permettrait d importer les pages de n importe quel site cible. 2) Contrairement aux outils de phishing traditionnels qui ne collectent que des données spécifiques (Couple identifiant / mot de passe), ce kit permettrait d intercepter tout type d information soumise au site après la connexion de la victime à son compte. Parallèlement aux techniques évoquées ci-dessus, le vol d identité numérique ou de données bancaires (numéro de carte de crédit etc..) risque fort de faire converger différentes techniques d attaques (Vers + Rootkit + Keylogger ). Imaginez l impact sur les différentes places financières, si un ver «bancaire» spécifiquement conçu avait la rapidité de propagation d un ver de type «sasser», la furtivité et la ténacité d un cheval de Troie du type «rudstock» en s installant dans les «Alternate Data Stream NTFS», et installait un keylogger qui ne réagirait qu à certaines chaînes de caractères comme login / password ou URL spécifique d organismes financiers, et qui enverrait à votre insu vos coordonnées bancaires dans différentes boites aux lettres réparties sur le globe en utilisant des failles de type «Leak Memory» pour outrepasser les contrôles de votre pare-feu personnel. 6

A PROPOS DE SAFE PROTECT www.safe-protect.com Créée en février 2003 par une équipe de cadres haut niveau à l origine de nombreuses publications et thèses reconnues dans le domaine de la sécurité informatique, les activités de Safe-Protect portent sur l'audit, l architecture et la conception de logiciels destinés à protéger les systèmes d information (SI) des grandes entreprises, des PME, PMI et des organismes gouvernementaux. Safe-Protect a reçu le soutien et la labellisation d OSEO ANVAR et du SGDN ( Secrétariat Général de la Défense Nationale) pour le développement de ses solutions innovantes réunies dans le software «Bellérophon», qui sort ce mois ci. Ses développements font l objet de nombreux brevets. Safe-Protect a investi 1,7 M en R&D. La société est passée en décembre 2006 en SA à un capital de 1M. L ouverture croissante des systèmes d information sur l extérieur, la complexité des nouvelles technologies génère de nouveaux risques pour les entreprises avec des conséquences majeures pour la continuité de leur activité et occasionne des pertes financières souvent élevées. La prise de conscience est aujourd hui très vive et les directions générales doivent intégrer ces risques dans la stratégie globale de l entreprise. Dans cette démarche, le laboratoire R&D de Safe-Protect en collaboration avec ses experts en intrusion et audit de SI, a conçu et réalisé le produit de sécurité Bellérophon, «Tout en un» décentralisé et télé-distribué sur les postes utilisateurs, capable de parer à toutes les menaces externes et internes. A PROPOS D ATHENA GLOBAL SERVICES www.athena-gs.com ATHENA Global Services est distributeur exclusif en France des solutions Bellérophon et Safe-Protect Box éditées par Safe-Protect. Créée en 1997, ATHENA Global Services est une entreprise indépendante spécialisée dans la distribution de logiciels de sécurité informatique. A travers un vaste réseau de distribution, constitué de VARs, revendeurs locaux professionnels et des plus importantes enseignes spécialisées dans la distribution de logiciels, Athena Global Services propose des logiciels et des équipements de sécurité novateurs destinés aux particuliers et aux entreprises pour protéger et gérer leur environnement informatique : antivirus, pare-feu, cryptage, politique de sécurité, authentification, sauvegarde, migration des données, et contrôle du trafic Internet. Outre cette spécialisation dans les solutions de sécurité, ATHENA Global Services propose également une gamme de logiciels utilitaires dédiés à la protection et l optimisation des parcs informatiques. Grâce à son savoir-faire, ATHENA Global Services entretient des relations privilégiées avec des éditeurs mondiaux et même français pour lesquels, elle localise et distribue leurs logiciels. 7

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back