Alors que les cybercriminels continuent à faire évoluer leurs méthodes et leurs tactiques, l'une des menaces les moins connues et pourtant les plus dangereuses est celle des attaques par pharming.

Contrairement aux formes traditionnelles de piratage, le pharming ne repose pas sur des courriels malveillants ou des liens hypertextes suspects. Il détourne le trafic d'un site web pour envoyer des utilisateurs peu méfiants vers des sites web frauduleux. Ces sites sont si bien conçus qu'ils paraissent suffisamment légitimes pour que l'utilisateur y saisisse des informations sensibles telles que des mots de passe, des données de carte de crédit ou des numéros de sécurité sociale.

Dans cet article, nous expliquerons ce que sont les attaques par pharming, comment elles fonctionnent, quelles sont les implications du pharming sur la cybersécurité et comment on peut se protéger pour ne pas devenir la proie de ce danger caché.

Vous pensez que des menaces dangereuses se cachent dans votre application mobile ? Verimatrix XTD assure une surveillance 24 heures sur 24 et 7 jours sur 7 contre les menaces afin que vous puissiez vous concentrer sur la croissance, et non sur les violations. Découvrez-le ici!

Sens et définition de la pharmacie

En fait, le terme "pharming" est dérivé de la combinaison des mots "phishing" et "farming". Alors que le phishing consiste à tromper les utilisateurs par le biais de courriels ou de faux liens, le pharming est vraiment plus avancé dans sa nature, car il se produit même lorsque les utilisateurs tapent l'URL correcte sur leur navigateur.

Le pharming est une autre forme de cyberattaque dans laquelle les paramètres du système de noms de domaine (DNS) sont altérés par un pirate ou l'appareil de l'utilisateur est compromis pour rediriger le trafic web provenant d'un site valide vers un faux site. L'objectif est de recueillir des informations sensibles, comme les identifiants de connexion ou les données financières, sans que les utilisateurs ne se doutent de rien.

Pharming et phishing : quelle est la différence ?

Il est important de comprendre les différents concepts de phishing et de pharming pour se protéger en ligne.

Hameçonnage

Il s'agit d'une méthode qui consiste à inciter quelqu'un à divulguer des informations personnelles en envoyant des courriels ou des messages frauduleux, ou en créant de faux sites web. Le phishing nécessite une forme de réponse active de la part de la victime, qui doit cliquer sur un lien ou télécharger une pièce jointe.

Pharmacie

En revanche, le pharming est une attaque dans laquelle les utilisateurs sont passivement détournés vers un faux site web à leur insu. Contrairement à l'hameçonnage, il ne nécessite aucune interaction de la part de l'utilisateur, si ce n'est la saisie de l'adresse d'un site web légitime.

En d'autres termes, le phishing relève de l'ingénierie sociale, tandis que le pharming consiste à modifier les paramètres DNS ou les fichiers hôtes pour rediriger les utilisateurs.

Qu'est-ce que le pharming en matière de cybersécurité ? Comment fonctionnent les attaques par pharming

Le pharming contourne les mesures de sécurité traditionnelles de deux manières principales :

  • Empoisonnement DNS: Cela se produit lorsque des pirates informatiques accèdent au serveur DNS et modifient ses enregistrements. Dès qu'un utilisateur tape l'URL d'un site web, le DNS l'oriente vers le site frauduleux au lieu de la bonne cible.
  • Manipulation du fichier hôte: Cela se produit lorsque les fichiers hôtes locaux de l'appareil d'un utilisateur sont modifiés par les attaquants. Si un utilisateur tente d'ouvrir un site web, par le biais du fichier hôte modifié, il est dirigé vers un faux site web au lieu du vrai.

Types d'attaques de pharming

Un diagramme qui montre 4 types d'attaques de pharming.

Si les attaques de type "pharming" peuvent sembler une menace simple, elles peuvent se manifester de différentes manières, avec diverses techniques et tactiques pour compromettre les systèmes. 

La sensibilisation aux types d'attaques de pharming suivants permettra aux organisations et aux particuliers de les repérer et de s'en protéger.

Pharmacie basée sur le DNS

Le pharming basé sur le DNS est une attaque à grande échelle qui cible le DNS, le système responsable de la conversion des noms de domaine conviviaux (comme www.example.com) en adresses IP que les ordinateurs utilisent pour communiquer. En corrompant le serveur DNS, les attaquants peuvent rediriger les utilisateurs de sites web légitimes vers des sites malveillants sans modifier quoi que ce soit sur les appareils des utilisateurs.

Imaginez un scénario dans lequel un pirate compromettrait les enregistrements DNS d'un service bancaire en ligne. Dans un tel scénario, les tentatives urgentes des utilisateurs d'accéder au site web de la banque en tapant correctement son URL seraient redirigées vers un faux site web conçu pour capturer les identifiants de connexion. Cette campagne malveillante pourrait cibler des milliers d'utilisateurs par le biais d'une attaque de type "pharming" et est très difficile à tracer car elle se produit au niveau du DNS.

Comment fonctionne le pharming basé sur le DNS :

  1. Les attaquants compromettent le serveur DNS d'un fournisseur d'accès à Internet (FAI) ou un serveur DNS interne à l'organisation.
  2. Ils manipulent les enregistrements DNS pour connecter l'utilisateur à un faux site géré par l'attaquant après avoir tapé l'URL correcte d'un site de confiance, tel qu'une banque.
  3. Le faux site ressemble exactement à l'original mais demande à son tour des informations sensibles, des mots de passe et des numéros de carte de crédit à ses utilisateurs.

Pharmacie locale (empoisonnement du fichier hôte)

Le local pharming, également connu sous le nom de host file poisoning (empoisonnement du fichier hôte), est une attaque qui cible les appareils des utilisateurs individuels. Dans ce type d'attaque, une certaine modification est apportée au fichier hôte d'un ordinateur appartenant à la victime. Le fichier hôte est un fichier en clair qui conserve une correspondance entre les noms de domaine et les adresses IP avant de consulter un serveur DNS. 

Pour accéder à l'appareil de l'utilisateur et manipuler ce fichier hôte, les attaquants diffusent un logiciel malveillant ou un cheval de Troie par le biais d'un courriel d'hameçonnage ou du téléchargement d'un logiciel infecté. Une fois l'appareil infecté, le cheval de Troie modifie silencieusement le fichier hôte, ce qui permet de diriger le trafic web sans que le serveur DNS ne soit altéré.

Lorsque la victime tente d'accéder à un site web de confiance - comme www.examplebank.com, par exemple - elle est automatiquement redirigée vers un site de phishing qui ressemble exactement au site original et qui capture les identifiants de connexion.

Comment fonctionne la pharmacie locale :

  1. Les attaquants utilisent généralement des logiciels malveillants, des chevaux de Troie ou des téléchargements malveillants pour s'introduire dans le système d'un utilisateur.
  2. Ils ouvrent le fichier hôte pour le modifier et remplacent les domaines de confiance habituels - une banque ou un réseau social, par exemple - par l'adresse IP d'un faux site.
  3. Lorsque les membres tentent de visiter le site web réel, ils sont redirigés vers le faux site, même s'ils ont saisi la bonne adresse URL.

Attaques pharmaceutiques hybrides

Certains attaquants combinent des éléments de pharming basé sur le DNS et de pharming local pour augmenter leurs chances de succès. 

Un pirate peut attaquer le serveur DNS d'un FAI tout en diffusant des logiciels malveillants par le biais de campagnes d'hameçonnage qui infectent les appareils des utilisateurs individuels. Cette double approche peut être utilisée pour s'assurer que les utilisateurs se voient présenter des sites malveillants soit à partir du serveur DNS compromis, soit en s'appuyant sur leur fichier hôte.

Comment fonctionnent les attaques pharmaceutiques hybrides :

  1. Les attaquants peuvent d'abord compromettre un serveur DNS pour effectuer une redirection du trafic à grande échelle.
  2. Ils installent des logiciels malveillants sur les appareils des utilisateurs qui altèrent les fichiers hôtes, de sorte qu'ils continuent d'être dirigés vers ces faux sites web même lorsqu'ils passent à un autre réseau ou à un autre serveur DNS.

Attaques par empoisonnement du cache (empoisonnement du cache DNS)

Une variante du pharming basé sur le DNS est l'empoisonnement du cache DNS, dans lequel le cache DNS à l'intérieur d'un routeur ou d'un appareil individuel devient la cible d'un attaquant. 

La mise en cache du DNS est un moyen d'accélérer la navigation sur le web, car les recherches DNS sont stockées localement dans la machine. Toutefois, si un pirate parvient à empoisonner ce cache, il peut rediriger les utilisateurs vers un faux site sans compromettre le serveur DNS principal.

Par exemple, les utilisateurs qui tentent de joindre leur fournisseur de courrier électronique dans le cas d'une attaque par empoisonnement de cache peuvent être redirigés vers une page de connexion usurpée où les attaquants recueillent les identifiants de courrier électronique d'utilisateurs peu méfiants. Cela peut être très dangereux dans le cas de réseaux partagés, tels que ceux des bureaux ou des points d'accès Wi-Fi publics.

Comment fonctionnent les attaques par empoisonnement de cache :

  1. Les attaquants renvoient des réponses malveillantes aux requêtes DNS qui, à leur tour, font que le cache DNS stocke des adresses IP invalides pour un domaine légitimement demandé.
  2. Les utilisateurs du cache DNS empoisonné sont dirigés vers des sites malveillants, même si le serveur DNS faisant autorité n'est pas compromis.

Exemples réels d'attaques de pharming

Dans le passé, les attaques de type "pharming" ont visé de nombreux secteurs, causant d'énormes dommages financiers et de réputation. Voici quelques exemples notables :

Attaque des institutions financières mondiales (2007)

En 2007, des cybercriminels ont mené une attaque de pharming très organisée visant 50 institutions financières différentes dans diverses régions des États-Unis, d'Europe et d'Asie. Les attaquants ont réussi à rediriger les utilisateurs vers de faux sites web afin de s'emparer d'informations sensibles, ce qui a entraîné d'importantes pertes financières.

Incident bancaire au Brésil (2017)

En 2017, l'une des principales banques brésiliennes a été victime d'une attaque de pharming au cours de laquelle tout le trafic entrant de son site web légitime a été redirigé vers un site contrefait. Les données de ses clients ont été facilement compromises, ce qui a mis en évidence une certaine vulnérabilité dans la sécurité des DNS.

Violation de données concernant des volontaires vénézuéliens (2019)

En 2019, une attaque par pharming a été perpétrée contre la page web d'inscription des volontaires pour la campagne "Voluntarios por Venezuela" afin de rediriger les utilisateurs vers une fausse inscription. Cela a entraîné la collecte non autorisée des données personnelles de nombreux volontaires.

Comment prévenir les attaques de pharming

Les attaques par pharming peuvent être évitées en prenant des mesures de cybersécurité, en sensibilisant davantage les utilisateurs et en exerçant une surveillance proactive. Voici quelques stratégies efficaces :

Mettre en œuvre les extensions de sécurité DNS (DNSSEC)

 DNSSEC ajoute une couche d'authentification au DNS, ce qui aide les utilisateurs à être dirigés vers des adresses IP exactes ; cette technique permet de se protéger contre l'usurpation de DNS.

Effectuer des audits DNS réguliers

 Vérifier régulièrement les paramètres DNS pour détecter toute modification non autorisée pouvant indiquer une tentative de pharming.

Mise à jour du logiciel

 Mettez régulièrement à jour les systèmes d'exploitation, les navigateurs et tous les autres logiciels afin de vous tenir au courant des correctifs apportés aux vulnérabilités qu'un pirate informatique pourrait exploiter.

Mises à jour du micrologiciel

 Les dispositifs de réseau, tels que les routeurs et les commutateurs, doivent être dotés des derniers microprogrammes, ce qui permet également d'éviter les attaques provenant d'exploits connus.

Logiciel antivirus et anti-malware

 Mettre en œuvre un logiciel de sécurité réputé capable de détecter et de bloquer, ou au moins de mettre en quarantaine, les codes malveillants susceptibles d'affecter les fichiers hôtes ou les paramètres DNS.

Systèmes de détection d'intrusion (IDS)

 Les IDS peuvent être mis en œuvre pour surveiller le trafic réseau et rechercher des activités suspectes susceptibles de révéler des indices d'attaques de type "pharming".

Formation de sensibilisation à la sécurité

 Former les employés et les utilisateurs à reconnaître une attaque de type "pharming", par exemple en cas de redirection inattendue d'un site web ou d'avertissement concernant un certificat de sécurité.

Pratiques de navigation sûres

 Vérifier l'authenticité des URL des sites web pour l'inclusion de HTTPS avant de saisir des informations sensibles.

HTTP Strict Transport Security (HSTS)

 Appliquer HSTS pour s'assurer que les utilisateurs se connectent via une connexion sécurisée et pour les empêcher de se connecter à des sites via un protocole HTTP non sécurisé.

Détection des anomalies

 Mettre en place des mécanismes de détection des flux de trafic anormaux qui indiqueraient un empoisonnement du DNS ou des redirections non autorisées.

Analyse du journal

 Examiner régulièrement les journaux du serveur et du réseau pour y déceler des signes de falsification ou des tentatives d'accès non autorisé.

Modifier les informations d'identification par défaut

 Comme pour les autres périphériques réseau, les noms d'utilisateur et les mots de passe par défaut des routeurs doivent être modifiés pour empêcher tout accès non autorisé.

Désactiver les services inutiles

 Désactivez les services et les ports inutilisés afin de réduire les points d'entrée potentiels pour les attaquants.

Conclusion

Les attaques par pharming peuvent causer de graves dommages si elles ne sont pas traitées correctement. En comprenant le fonctionnement de ces attaques et les différences entre le phishing et le pharming, vous serez mieux à même de vous protéger et de protéger votre organisation contre une éventuelle menace. 

Que vous développiez une application mobile ou que vous souhaitiez maintenir votre posture de cybersécurité à jour, Verimatrix XTD peut vous aider. Découvrez les avantages d'une détection des menaces complète et sans souci, et assurez-vous que vos applications restent protégées 24 heures sur 24, 7 jours sur 7.