Drive-by pharming les routeurs sont la cible du phishing - 20 février 2007 - 15:13 (Par Etienne Jean de la Perle)

Drive-by pharming les routeurs sont la cible du phishing

Le « Drive-By Pharming » est un nouveau type d'attaque qui vient d’être découvert par Zulfikar Ramzan (Symantec) par routeur interposé. Le « Drive-By Pharming » concerne les routeurs de type familiaux. En effet, Zulfikar Ramzan, explique sur le blog de Symantec un nouveau type d'attaque par Phishing.

L'attaque par « Drive-By Pharming » est basée sur la création d’une page web qui inclue un code Javascript malicieux qui va se connecter sur l'interface web de son routeur ou de son point d'accès WiFi via une attaque de type CSRF (Cross-Site Request Forgery). L'exécution de ce code Javascript malicieux ne nécessite pas d'installation de programme tiers ou d'autress actions de la part de la personne attaquée sauf celui de visualisation de la page.

Cette attaque requiert que le navigateur de la victime est accepté l'activation des fonctionnalités Javascript, ce qui représente quelque 95% des utilisateurs.

Pour Symantec, le pharming est un autre type de fraude en ligne, similaire au phishing. Les pharmers comptent sur les mêmes sites Web factices et le vol d'informations confidentielles afin de mener à bien leurs arnaques en ligne, mais il est plus difficile de les détecter car ils ne dépendent pas de la possibilité que la victime soit "appâtée" par un message. Au lieu de compter entièrement sur les utilisateurs cliquant sur un lien séduisant dans un faux courrier électronique, le pharming consiste à rediriger les victimes vers un faux site Web même si elles ont tapé l'adresse Web correcte de leur banque ou d'un autre service en ligne dans leur navigateur Web.

Selon Symantec, les pharmers redirigent leurs victimes en utilisant divers stratagèmes. La première méthode, celle qui a donné son nom au pharming, est une vieille attaque connue sous le nom "DNS cache poisoning". L'attaque de type "DNS cache poisoning" est une attaque du système de noms sur Internet, lequel permet aux utilisateurs de saisir des noms significatifs pour des sites Web (www.mabanque.fr) au lieu d'une série de chiffres difficiles à retenir (192.168.1.1). Le système des noms repose sur des serveurs DNS pour gérer la conversion des noms des sites Web basés sur des lettres, qui sont facilement mémorisables par les visiteurs, en des chiffres compréhensibles par les machines qui dirigent les visiteurs vers le site Web de leur choix.

Lorsqu'un pharmer monte une attaque réussie de type DNS cache poisoning, celle-ci change véritablement les règles du flux du trafic pour toute une section d'Internet ! Le routage de nombreuses victimes confiantes vers une série de sites Web factices et hostiles et l'impact généralisé potentiel qui en résulterait a donné son nom à ces cyberescrocs. Les phishers lancent quelques lignes à l'eau et attendent de voir qui mord à l'hameçon. Les pharmers sont plutôt des cybercriminels qui font la moisson sur Internet, à un niveau encore inégalé, ajoute Symantec, spécialiste de la sécurité sur le Web. Avec le « Drive-By Pharming », qui permet d’attaquer des victimes via leur routeur, l’univers des pharmers vient de prendre encore une nouvelle dimension.

Retrouvez toutes les actualités de l'Internet, de l'informatique, des sciences du jour