Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Mot à coucher dehors : le pharming

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Commentaires Commentaires fermés sur Mot à coucher dehors : le pharming

La suite de notre série des acronymes et autres mot tordus du petit monde de la sécurité. Le Pharming, une attaque rurale ou pharmacologique ?

Difficile de se faire une idée de la signification du mot pharming par sa seule sonorité. Certes, c’est une attaque. Mais sans autre indication, les anglo-saxons pencheraient probablement plutôt pour une agression pharmacologique, tandis que les francophones abusés pourraient y voir une sorte de briganderie rurale pas franchement technologique.

Il n’en est rien. Le pharming est une attaque qui vise à mystifier un internaute en le faisant atterrir sur un site choisi par le pirate, alors qu’il a tapé une toute autre adresse dans son navigateur. Cela rappelle le phishing ? Un peu, à la différence que pour être victime d’une attaque par phishing il faut cliquer sur un lien piégé, tandis que le pharming, lui, ne demande aucune intervention de l’utilisateur. C’est un peu le phishing ultime…

L’attaque repose sur la manipulation des mécanismes de résolution d’adresses, qu’ils soient locaux (fichier hosts) ou distants (les serveurs DNS). En changeant l’un ou l’autre de manière silencieuse l’attaquant peut ensuite envoyer sa victime vers le site de son choix, quelle que soit l’adresse que ce dernier a (correctement) entré dans son navigateur.

Il y a donc deux types de pharming. Le premier, local, est le plus simple à mettre en oeuvre. Il consiste, après avoir infecté le PC de la victime, à modifier le fichier hosts de ce dernier. Ce fichier est généralement le premier consulté lorsque l’internaute souhaite naviguer quelque part (même s’il ne donne généralement que très peu information !). Il suffit alors d’indiquer par exemple que www.mabanque.fr est en réalité à telle adresse IP, qui correspond lui à un site pirate. La prochaine fois que l’internaute saisira l’adresse de la banque, l’ordinateur n’ira alors pas chercher plus loin et utilisera les fausses informations, sans même consulter les serveurs DNS du fournisseur d’accès.

Le pharming DNS, lui, est plus compliqué à mettre en oeuvre mais totalement invisible pour l’utilisateur. Il consiste tout simplement à compromettre le serveur DNS dont dépend la victime pour opérer les mêmes substitutions (telle adresse pointe désormais vers tel serveur). C’est une attaque vieille comme le monde qui, faite avec un peu de discrétion, peut rapporter gros. La difficulté, bien entendu, est de pénétrer un serveur DNS que l’on estime – s’il est géré par un opérateur ou une grande entreprise – relativement surveillé.

C’est pourquoi l’on rencontre principalement des attaques de pharming locales, mises en oeuvre depuis un Cheval de Troie. Et elles ne sont généralement pas très fines, puisqu’elles se contente de rediriger la page d’accueil du navigateur vers des sites publicitaires. Mais le potentiel de nuisance d’une telle attaque est particulièrement important.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.