Vous êtes sur la page 1sur 10

Le Phishing

Focus

Claude Chaloux

Degré de difficulté

Grâce à l’Internet, de nouveaux services financiers


et transactionnels sont maintenant à la disposition d’utilisateurs
amateurs. Des adaptations dans les techniques qu’utilisent les
cyber-pirates étaient prévisibles. Quelles sont ces nouvelles
techniques ? L’identité des victimes est-elle connue à l’avance ?
Pouvons-nous protéger nos clients face à de telles attaques ?

L
’hameçonnage consiste en un envoi Historique : d’où ça provient ?
massif de courriels contrefaits, communé- Le terme phishing s'inspire du terme phreaking,
ment appelés courriels hameçon, uti- qui est un diminutif de phone et freak. Originel-
lisant l’identité d’une institution financière ou lement, le phreaking était un type d'arnaque uti-
d’un site commercial connu de façon apparem- lisé afin de profiter de services téléphoniques
ment authentique.
Dans ces courriels contrefaits, on demande
aux destinataires de mettre à jour leurs coor- Cet article explique ...
données bancaires ou personnelles en cliquant
• Ce qu'est l'hameçonnage, les scénarios d'atta-
sur un lien menant vers un site Web illégitime
ques possibles, les faiblesses exploitées dans
qui est habituellement une copie conforme du ce type d'attaque ainsi que les techniques les
site de l’institution ou de l’entreprise. Le pirate, plus fréquemment utilisées. De plus, il men-
ou criminel informatique qui a envoyé le cour- tionne certains des mécanismes de prévention
riel hameçon peut alors récupérer ces rensei- et de défense présents et futurs pour enfin
gnements afin de les utiliser à son avantage. conclure avec des statistiques sur les attaques
Le terme anglais phishing est issu de l'an- de ce genre.
glais fishing (pêche) écrit avec un ph, comme
c'est souvent le cas dans le jargon des pirates
informatiques. Il fait allusion à la pêche à la ligne Ce qu'il faut savoir ...
et à l'océan des utilisateurs d'Internet, dans le-
• Le lecteur doit être un utilisateur d'Internet
quel le pirate essaie de piéger quelques pois- ayant des connaissances de base envers son
sons. fonctionnement et ses principes. De plus, le
En guise d'hameçon (d'où la proposition du lecteur doit avoir un minimum d'intérêt vis-
terme français hameçonnage), un courriel est à-vis la sécurité de l'information sur Internet
lancé sur l’Internet jusqu'au moment où un ainsi qu'aux technologies de sécurité qui s'y
internaute, moins soupçonneux qu'un autre, s'y rattachent.
accroche.

66 hakin9 Nº 10/2007 www.hakin9.org


Mécanismes de prévention et de défense contre le phishing

gratuits surtout présents à l'époque bancaires et de cartes de crédit en li- aussi appelée usurpation d’identité,
des appareils analogiques (années gne ainsi que les sites de ventes aux qui emploie l’ingénierie sociale ainsi
'70). enchères tels que eBay. Les adeptes que le pharming.
Le terme phishing aurait été in- de l'hameçonnage envoient habituel- L’ingénierie sociale est la disci-
venté par les pirates informatiques lement des courriels au plus grand pline consistant à obtenir de l’infor-
qui essayaient de voler des comptes nombre d’utilisateurs possibles afin mation personnelle et confidentielle
AOL. Il serait construit sur l'expression de rejoindre le plus grand nombre de en exploitant la confiance, mais par-
anglaise password harvesting fish- victimes potentielles. fois aussi l’ignorance ou la crédulité
ing, soit pêche aux mots de passe. Un Typiquement, les messages ainsi de tierces personnes. Il s’agira pour
attaquant se faisait passer pour un envoyés semblent émaner d'une les personnes usant de ces métho-
membre de l'équipe AOL et envoyait société digne de confiance et sont des d’exploiter le facteur humain,
un message instantané à une victime formulés de manière à ne pas alarmer qui peut être considéré comme le
potentielle. Ce message demandait le destinataire afin qu'il effectue une maillon faible de tout système de
à la victime d'indiquer son mot de action en conséquence. sécurité.
passe afin de vérifier son compte Une approche souvent utilisée est Ce terme est surtout utilisé en
AOL ou confirmer ses informations d'indiquer à la victime que son compte jargon informatique pour définir les
bancaires. Après que la victime ait a été désactivé due à un problème méthodes des pirates informatiques
révélé son mot de passe, l'attaquant et que la réactivation ne sera possi- qui usent d’ingénierie sociale pour
pouvait accéder au compte et l'utiliser ble que lorsque l'usager suivra cer- obtenir respectivement un accès
à des fins malveillantes, comme pour taines instructions. à un système informatique ou pour
effectuer des envois de pourriel, c’est- Le message fournit alors un lien qui satisfaire leur curiosité.
à-dire des communications massives, dirige l'utilisateur vers une page Web Le pharming de son côté est une
sous forme de courriels électroniques, qui est une copie conforme du vrai site technique de piratage informatique
non sollicités par les destinataires de la société de confiance. Arrivé sur exploitant des vulnérabilités DNS pour
servant à des fins publicitaires ou mal- cette page trompeuse, l'utilisateur est récupérer les données d’une victime.
honnêtes. invité à entrer des informations con- Ce type d’hameçonnage permet de
Les criminels informatiques utili- fidentielles qui sont alors capturées voler des informations après avoir at-
sent généralement l'hameçonnage et enregistrées par le criminel. tiré la victime sur un site web maquillé
pour voler de l'argent. Les cibles L’hameçonnage est donc une même si le nom de domaine est cor-
les plus populaires sont les services forme de vol d’identité électronique, rectement saisi ou affiché.

Le pirate contacte l'usager de


eBay l'aide d'un courriel

Les données personnelles de l'usager


sont envoyées au pirate

From: support@ebay.ca
Subject: Alerte de sécurité

Selon les regles qui régissent notre site Internet, vous devez confirmer que vous
etes le vrai propriétaire du compte en complétant la forme ci-jointe ou nous nous
verrons obliger votre compte Ebay.

SVP ne jamais divulguer votre mot de passe a quiquonque !

Veuillez cliquer sur le lien ici-bas pour etre redirigé vers notre page d'authentification.
Le processus prend environ 5 minutes. Apres avoir validé correctement votre
identité, votre compte eBay sera a nouveau disponible.

Merci de votre collaboration.

Click here

L'usager est
redirigé vers
un faux site

Site Internet frauduleux Site Internet légitime

Figure 1. Schéma d’une attaque typique

www.hakin9.org hakin9 Nº 10/2007 67


Focus

Ainsi, l’adresse d’une banque, par Ces utilisateurs voyant un mes- me-çonnage peut être, dans le plus
exemple, ne pointera plus vers l’adres- sage apparemment officiel se rési- simple des cas, une copie du code
se IP du serveur de ladite banque, mais gnaient facilement à la volonté des HTML du site d’une compagnie que
plutôt vers un serveur frauduleux. pirates puisque le message en ques- les pirates veulent utiliser comme
Certaines techniques d’hame- tion avait un ton sérieux et qu’il sem- appât, vers un site Web compromis;
çonnage plus récentes, consistent blait offrir de l'assistance. De plus, copie conforme de celle de la com-
en des logiciels malveillants, ou mali- les utilisateurs étaient priés de ré- pagnie. De plus, le serveur qui est
ciels, qui sont développés dans le pondre rapidement afin d’éviter un l’hôte du site compromis doit avoir un
but de nuire à des systèmes infor- problème sérieux, comme l’annula- script, ou un processus, dont le but
matiques. Dans le cas d’une attaque tion de leur compte par exemple. est de capturer et d’enregistrer les
d’hameçonnage, les logiciels mal- Les données de cette époque données que les utilisateurs crédu-
veillants peuvent varier d’un capteur pas si lointaine mentionnent que les envoient. Dans d’autres cas, les
de touches aux corrupteurs de don- les pirates exerçaient leurs actes de pirates peuvent aussi utiliser des si-
nées stockées. fraude seuls ou en petits groupes tes compromis plus complexes avec
Tandis qu’un capteur de tou- peu sophistiqués. D’autres rubriques de la redirection de trafic.
ches est utilisé pour intercepter les et documents de littérature de cette Cependant, le but est le même,
touches frappées à l’aide du clavier époque mentionnent aussi que les créer une fausse présence sur Inter-
et ainsi capter des mots de passe premiers pirates utilisant l’hameçon- net d’une compagnie digne de con-
et autres informations personnelles, nage étaient des adolescents qui dé- fiance avec une assistance automati-
les corrupteurs de données de leur siraient récupérer de l’information de sée qui capture les données des utili-
côté servent plutôt à corrompre les comptes personnels afin de causer sateurs et qui les met à la disposition
données des infrastructures de na- du vandalisme électronique et pour de l’attaquant. De nos jours, il est
vigation afin de réorienter de façon faire des appels interurbains, sans très facile, à l’aide d’outils d’édition
automatique les utilisateurs vers des pour autant faire partie d’organisa- de code HTML, de créer un site Web
sites Web frauduleux à l’aide d’aiguil- tions criminelles. qui imite le site d’une organisation,
leurs (proxy) contrôlés par des pirates Aujourd’hui, la stratégie préférée société ou d’une compagnie légi-
informatiques. des pirates utilisant l’hameçonnage time. Les sites Web, les serveurs
est d’envoyer des courriels truqués généraux et autres ordinateurs qui
Comment ça fonctionne, (courriels semblant provenir de com- affichent un faible niveau de sécurité
pourquoi et pour qui ? pagnies de confiance) au plus grand et qui peuvent être retracés facile-
Les premières attaques utilisant l’ha- nombre d’utilisateurs possible, en es- ment sur Internet sont ceux qui sont
meçonnage visaient essentiell-ement pérant que les utilisateurs qui ont déjà choisis dans la majorité des cas par
à gagner l’accès aux comptes AOL confiance à cesdites compagnies agi- les pirates.
pour obtenir des renseignements de ront rapidement et sans réfléchir. L’at- De plus, les attaquants emploient
cartes de crédit dans le but de com- taquant espère donc que les victimes souvent des balayeurs Internet afin
mettre des fraudes. Les messages seront fourvoyées et enverront les de trouver des sites hôtes vulnérables
hameçon exploitaient la naïveté des données sensibles au site illégitime, dans des sections entières d’Internet.
usagers qui croyaient recevoir un qui est une réplique exacte de celui Une fois compromis, même les ordi-
message automatisé de l’entreprise de la compagnie digne de confiance nateurs personnels situés dans des
de messagerie électronique. mais qui est gouverné par les pirates résidences privées peuvent être uti-
Comme démontré dans la Figure 1, eux-mêmes. lisés de façon très efficace comme
on demande à l’utilisateur de cliquer Des exemples de compagnies hôte pour les sites hameçons, mais
sur le lien pour être redirigé vers un de confiance que les pirates utilisent les sites corporatifs bien connus ain-
site de la compagnie afin d’y entrer sont les banques populaires, les
ses informations personnelles, nom compagnies de cartes de crédit ainsi
d’utilisateur et mot de passe. que des marchands électroniques
Une autre méthode qui était très bien connus sur Internet. Les cour-
répandue consistait à envoyer un riels hameçons affichent un très haut
message faisant croire à une corru- degré de ressemblance avec les
ption de bases de données ou à une originaux, ce qui ne fait qu’accroître
défaillance au niveau du matériel les chances de piéger les utilisateurs
qu’utilise la compagnie fraudée. Cette ciblés. Les attaques d’hameçonnage
défaillance avait supposément en- dépendent généralement de certains
gendré une erreur et une corruption outils et techniques de base afin de
dans les données personnelles ou tromper les utilisateurs crédules. Figure 2. Des internautes peu
confidentielles des utilisateurs con- La structure de base requise méfiants se voient voler leur
tactés. pour commettre des attaques d’ha- identité …

68 hakin9 Nº 10/2007 www.hakin9.org


Mécanismes de prévention et de défense contre le phishing

si que les institutions académiques voyer des messages présentant des dans ce dernier cas sont en effet
sont les plus souvent attaqués. Les hyperliens pointant au site illégitime plus grandes que si le courriel n’af-
pirates se soucient rarement de l’en- dans des sessions de clavardage fiche rien de connu et mène vers un
droit où se situe l’ordinateur à piéger et autres forums électroniques reliés site affichant une image avec lequel
puisqu’ils incluent, dans leur projet à la compagnie visée, celle-ci se l’utilisateur n’est pas familier.
d’hameçonnage, tous les ordinateurs rendrait compte ou serait avisée très Afin d’améliorer les chances que
ayant rapporté une vulnérabilité lors rapidement du lien fautif et pourrait les utilisateurs puissent croire que
du balayage d’Internet. l’effacer ou le désactiver avant qu’il le courriel envoyé est légitime, les
Lorsque le pirate a établi un site n’y ait un trop grand nombre de vic- pirates peuvent utiliser un nombre de
Web illégitime de façon convaincan- times. techniques connexes afin d’amélio-
te et réaliste, son principal problème De plus, il y a de fortes chances rer la qualité de leur arnaque :
est désormais de trouver la meilleure pour que la compagnie visée prenne
façon de détourner les utilisateurs du des mesures drastiques afin de met- • en utilisant une adresse IP au
site réel vers l'illégitime. À moins que tre fin au site illégitime à l’aide de lieu d’un nom de domaine dans
le pirate ait la capacité d’altérer les lois et des agences du maintien de les hyperliens qui dirigent les
données DNS d’un site Web légitime l’ordre qui les régit. Les pirates n’ont utilisateurs vers le site illégitime.
(technique communément appelée alors d’autres choix que d’utiliser une Plusieurs victimes innocentes ne
empoisonnement DNS) ou de redi- façon de rejoindre le plus de victimes vérifieront pas (ou ne savent com-
riger le trafic réseau du site légitime, potentielles ayant un très faible taux ment vérifier) qu’une adresse IP
le pirate doit alors se fier sur un appât de risque via l’envoi massif de cour- est enregistrée et assignée à la
relativement fiable de façon à attirer riels contrefaits. Les pirates utilisant compagnie visée et dont le site
les utilisateurs malchanceux vers le l’hameçonnage possèdent des ba- illégitime dit représenter,
site illégitime. Meilleur est l’appât ses de données contenant plusieurs • en enregistrant des noms de do-
et plus le nombre d'utilisateurs visés millions d’adresses de courriel vali- maines DNS similaires ou s’ap-
est grand, plus il y a de chance pour des et actives. prochant de très près de celui
qu’un grand nombre de ceux-ci accè- La technique d’envoi massif est du nom utilisé par la compagnie
dent au site frauduleux et fournissent souvent préconisée par ces pirates visée en espérant que les utilisa-
leurs données personnelles. Les pour envoyer des courriels au plus teurs se méprendront entre le
pirates, qui contrefont l’image d’une grand nombre de destinataires possi- vrai nom de domaine de la com-
compagnie en particulier (comme bles avec un taux de risque prati- pagnie de celle vers laquelle ils
une banque ou un marchand connu) quement nul. Un utilisateur recevant se font malicieusement diriger,
n’ont souvent aucune information sur un courriel à l’effigie de sa banque • en encapsulant les hyperliens
qui sont les clients faisant affaire utilisera malheureusement les hy- dans du code HTML dont con-
avec elle et donc, qui pourrait être perliens qui lui sont offerts vers le siste le courriel contrefait afin que
plus réceptifs à un appât particulier. site pour y entrer des données per- le navigateur Internet des utilisa-
Même si les pirates pouvaient en- sonnelles. Les chances de réussite teurs puisse faire la plupart des
connexions HTTP au vrai site
Web de la compagnie avec un
minimum de connections au site
Web illégitime. Si dans ce cas
le navigateur de l’utilisateur sup-
porte l’interprétation automatique
du contenu du courriel, l’utilisateur
en question sera alors contraint
d'être dirigé vers le site Web illégi-
time dès l’ouverture du courriel,
• en encodant ou en rendant la
fausse adresse URL obscure. Dé-
pendamment de la méthode utili-
sée, plusieurs utilisateurs ne se
rendront pas compte ou ne com-
prendront tout simplement pas
que les hyperliens ont été altérés
et assumeront alors qu’ils sont
légitimes. Une variante de cette
Figure 3. Les cyber-pirates s’adapteront constamment pour trouver les technique est l’utilisation d’hyper-
techniques les plus efficaces liens dans le format Unicode, qui

www.hakin9.org hakin9 Nº 10/2007 69


Focus

se voit dans le navigateur comme le but de manipuler le fichier hôte • exécuter des transactions non au-
l’adresse ori-ginale du site de la qui est utilisé afin de maintenir les torisées en utilisant des numéros
compagnie visée, mais qui dirige liens entre les noms de domaine de carte de crédit ou de débit,
les utilisateurs vers le site Web et les adresses IP associées. En • en accédant à des applications
illégitime à l’aide d’une tout autre insérant une fausse entrée DNS bancaires et/ou financières en uti-
adresse, dans le fichier hôte d’une victime, lisant un nom d’utilisateur et un mot
• en tentant d’exploiter une faiblesse la victime sera automatiquement de passe volé, les pirates peuvent
quelconque dans le navigateur In- redirigée vers le site illégitime, avoir accès aux détails financiers
ternet de l’utilisateur afin de mas- mais verra l’adresse de la com- des utilisateurs et effectuer des
quer la vraie nature du contenu du pagnie légitime alors qu'il navigue transactions financières au dépend
message. Le navigateur de Micro- sur le site illégitime. des victimes,
soft (Internet Explorer) ainsi que • vendre les données sensibles des
les applications d’Outlook ont été Pourquoi et pour qui victimes tels numéros de télépho-
particulièrement vulnérables à cet- ça fonctionne ? ne, adresses civiques et numéros
te technique, nous y reviendrons La motivation première qui fait en de compte à d’autres groupes de
plus tard dans cet article, sorte que l’hameçonnage existe de- pirates pour différentes activités
• en configurant le site Web illégi- puis un certain temps est sans con- malicieuses,
time pour capturer et enregistrer tredit la fraude, c’est-à-dire le gain • causer un refus ou une suspension
les données entrées par l’utili- d’argent pour les pirates en utilisant de service pour les utilisateurs lé-
sateur puis en redirigeant celui- les techniques les plus simples et les gitimes en modifiant les mots de
ci, subtilement, vers le vrai site moins risquées pour eux passe et autres détails des fiches
Web. Cette action occasionnera Avec la croissance exponentielle de contacts,
sûrement un message d’erreur des transactions financières qui se • détruire la confiance qu’a une vic-
(mot de passe non valide, S. V. P. déroulent sur Internet, l’hameçon- time face à une compagnie quel-
essayer de nouveau) ou être to- nage est ainsi devenu une option conque afin de salir la réputation
talement transparente. Dans ces lucrative pour les pirates. De nos de cette dernière.
deux cas, le pirate aura obtenu jours, presque toutes les banques
ce qu’il voulait, et compagnies de crédit offrent des Moyens de détection
• en configurant le site Web illégitime services en ligne. Les clients de ces et de prévention
pour qu’il puisse agir en tant que banques en ligne peuvent devenir La vérification de l'adresse Web dans
proxy (ou d’aiguilleur) pour le vrai des proies faciles pour les pirates la barre d'adresse du navigateur Web
site Web, qui pourra donc capturer utilisant l’hameçonnage comme peut ne pas être suffisante pour
et enregistrer les données sensi- arme de prédilection. En utilisant de détecter la supercherie, car cer-
bles des utilisateurs piégés qui ne l’information volée, les pirates infor- tains navigateurs n'empêchent pas
sont pas chiffrés (utilisant SSL), ou matiques peuvent exercer un nom- l'adresse affichée à cet endroit d'être
parfois même en les décryptant en bre d’activités criminelles telles que : contrefaite. Il est toutefois possible
utilisant un certificat SSL valide
pour le domaine illégitime,
• en redirigeant les victimes vers un
site illégitime en se servant avant
tout de logiciels malveillants qui
installent des objets d’aide mal-
veillants au navigateur Internet
directement sur l’ordinateur per-
sonnel des victimes. Les objets
d’aide malveillants sont des ajouts
type plugiciel aux navigateurs
Internet qui permettent certains
changements personnalisés qui,
si bien utilisés par les pirates, pour-
ront faire en sorte de rediriger les
utilisateurs de façon parfaitement
transparente vers les sites illégi-
times,
• en utilisant des logiciels malveil-
lants préalablement installés sur
les ordinateurs des victimes dans Figure 4. Vos clients morderont-ils à l’hameçon ?

70 hakin9 Nº 10/2007 www.hakin9.org


Mécanismes de prévention et de défense contre le phishing

d'utiliser la boîte de dialogue pro- en ligne visent à obtenir l'identifiant L’utilisateur n’est
priétés de la page fournie par le na- (nom d’utilisateur) et le mot de passe pas familier avec l’Internet
vigateur pour découvrir la véritable du titulaire d'un compte. Il est alors et ses pièges
adresse de la page illégitime. possible pour le fraudeur de se con- Le fait que les utilisateurs de l’In-
Une personne contactée au sujet necter sur le site Web de la banque ternet soient peu familiers avec ce
d'un compte devant être vérifié doit et d'effectuer des virements de fonds type d’attaque est probablement le
chercher à régler le problème direc- vers son propre compte. Pour parer plus gros facteur de succès de l’ha-
tement avec la société concernée ou à ce type de fraude, la plupart des meçonnage. Puisque les utilisateurs
se rendre sur le site Web en tapant sites bancaires en ligne n'autorisent ne peuvent différencier le site Web
manuellement l'adresse dans son plus l'internaute à saisir lui-même ou courriel légitime des contrefaits,
navigateur. Il est important de savoir le compte destinataire du virement. ceux-ci deviennent des victimes en
que les sociétés bancaires n'utilisent En règle générale, il faut téléphoner divulguant leurs informations per-
jamais le courriel pour corriger un pro- à la banque afin d'utiliser un service qui sonnelles.
blème de sécurité avec leurs clients. reste le seul moyen de saisir le compte
En règle générale, il est recommandé destinataire dans une liste de comp- Banque
de faire suivre le message suspect tes. La conversation téléphonique est d’adresses de courriels
à usurpation (par exemple, si l'hame- souvent enregistrée et peut alors ser- facilement accessible
çonnage concerne societe.com, ce vir de preuve. D'autres banques utili- Un autre facteur est la facilité avec
sera usurpation@societe.com), ce qui sent une identification renforcée, qui laquelle les pirates peuvent avoir
permettra à la société de faire une verrouille l'accès aux virements si accès aux adresses de courriel. Les
enquête. l'utilisateur n'indique pas la bonne pirates d’aujourd’hui possèdent d’im-
Il faut être particulièrement vigi- clé à quatre chiffres demandée aléa- menses banques de données con-
lant lorsque l'on rencontre une adres- toirement, parmi les soixante-quatre tenant plusieurs millions d’adresses
se contenant le symbole @, par qu'il possède. de courriel. Ceci leur permet d’être
exemple http://www.mabanque.com Si la clé est la bonne, l'internaute en mesure de contacter le plus
@members.onsite.com/. Ce genre peut effectuer des virements en ligne. de proies possible. Ces adresses
d'adresse tentera de connecter l'in- Due à la nature relativement com- de courriel peuvent aussi bien ap-
ternaute en tant qu'utilisateur www. plexe de plusieurs applications Web partenir à des utilisateurs quel
mabanque.com sur le serveur mem- de transactions financières et autres conques qu’à des utilisateurs de
bers.onsite.com. Il y a de fortes chan- transactions électroniques en ligne, banques et autres firmes de crédits
ces que cela se réalise même si qui souvent emploient des cadres en ligne.
l'utilisateur indiqué n'existe pas réel- (frames) et sous-cadres HTML ou
lement sur le serveur, mais par cette autres structures de pagination Web Une technologie
méthode la première partie de l'adres- complexes, il pourrait s’avérer être maintenant facile à utiliser
se semble être tout à fait innocente. difficile pour un utilisateur quelcon- La facilité d’utilisation de la technolo-
Des navigateurs récents, tels que de déterminer si le contenu gie offerte aux pirates contribue aus-
que Firefox et Internet Explorer 7, et même l’adresse d’un de ces ca- si au bon succès de l’hameçonnage.
possèdent un système permettant dres est légitime ou non. L’utilisation En utilisant la technologie qu’offre
d'avertir l'utilisateur du danger et de d’une combinaison des techniques l’Internet et le Web, les pirates peu-
lui demander s'il veut vraiment navi- énumérées préalablement dans vent ainsi construire, configurer et dé-
guer sur de telles adresses douteu- cet article peut faire en sorte de ployer rapidement de sites illégitimes.
ses. Netscape 8 intègre quant à lui masquer la source légitime de la Si on compare avec la création de
des technologies permettant de tenir page (et de ses cadres HTML) vi- virus, de vers et autres techniques
à jour une liste noire de sites dange- sionnée par l’utilisateur, qui trompe d’exploitation, l’hameçonnage est re-
reux de ce type. ce dernier et l’incite à entrer ses in- lativement simple.
Les filtres anti-pourriels aident formations personnelles, faisant de
aussi à protéger l’utilisateur contre lui une autre victime d’une attaque Vulnérabilités dans
des criminels informatiques en rédui- d’hameçonnage. les protocoles de courriels
sant le nombre de courriels que les L’existence de faiblesses et de vul-
utilisateurs reçoivent et qui peuvent Pourquoi tant nérabilités dans les protocoles de
être de l'hameçonnage. de poissons mordent-ils courriels qu’utilisent les systèmes
Le logiciel client de messagerie à l’hameçon ? de courriers électroniques aide d’au-
Mozilla Thunderbird comporte un Essayons à présent de creuser un tant plus les pirates. Par exemple, un
filtre bayésien très performant (filtre peu plus afin de découvrir ce qui fait pirate peut très facilement modifier
anti-pourriels auto-adaptatif). Tel que qu’une attaque d’hameçonnage soit l’adresse d’origine du courriel (From)
mentionné plus tôt dans cet article, souvent malheureusement couron- pour paraître légitime. De plus, il existe
les fraudes concernant les banques née de succès… de simples fonctionnalités rendues

www.hakin9.org hakin9 Nº 10/2007 71


Focus

disponibles par les langages de pro- et enraillait complètement la vulné- domaine de la finance en ligne. En
grammation Web qui permettent de rabilité. effet, le processus d’authentification
tromper les utilisateurs. Si on consi- L’anonymat qu’offre le Web et l’In- devrait être agrémenté en introdui-
dère le code HTML suivant : ternet en général, dans certaines sant des certificats sécurisés ou des
situations, fait en sorte de rendre clés matérielles sécurisées (hard-
<a href=http://www.site-illegitime.com> encore plus difficile la tâche de lo- ware tokens).
https://www. site-legitime. com caliser les attaquants. En effet, les Les clés matérielles (ou jetons)
</a> pirates peuvent très rapidement lan- sécurisées introduisent un deuxième
cer leurs attaques et effacer toutes niveau d’authentification dans les
Ce code est utilisé pour afficher un traces de leurs actes de façon tout applications Web. Ces dispositifs de
hyperlien dans une page Web ou aussi rapide. clés matérielles sont généralement
dans un courriel par exemple. L’utili- Les logiciels d’anti-pourriels et de de deux types : celles qui utilisent la
sateur voit le lien comme étant http:// filtration de contenu ne sont pas très méthode du challenge – réponse;
www.site-legitime.com mais lorsqu’il efficaces pour détecter et arrêter les et ceux qui utilisent le dispositif Se-
clique dessus, il est dirigé vers la courriels hameçons. De plus, la plu- cureID de RSA. Dans le cas des
page Web dont l'adresse est http:// part des navigateurs Internet n’offrent dispositifs qui utilisent la méthode
www. site-illegitime.com. pas de mesures de détection ou autres du challenge – réponse, l’application
En plus de ce cas spécifique, plu- outils anti-hameçonnage efficaces. Web envoie un challenge lorsque
sieurs autres techniques avancées Toutes ces raisons regroupées font l’utilisateur se connecte à l’aide de
peuvent être utilisées afin de rendre en sorte de contribuer à la grande son nom d’utilisateur et son mot de
obscure la destination finale qui est croissance dans le monde des atta- passe. Le challenge qui est en fait
affichée dans la barre d’adresse du ques utilisant l’hameçonnage. un nombre généré au hasard est
navigateur. envoyé dans le dispositif de sécurité
Ce que les firmes afin de générer un nouveau nombre
Vulnérabilités dans peuvent faire pour au hasard, qui est la réponse.
les navigateurs browsers aider à contrer Cette réponse est ainsi envoyée
L’une de ces techniques consiste l’hameçonnage à l’application pour une seconde
à exploiter certaines vulnérabilités que Un adage bien connu sur la sécurité authentification. Puisque la réponse
possèdent les navigateurs Internet dit : La bonne gestion de la sécu- générée est toujours différente
qui aident ainsi à tromper les utili- rité est directement dépendante des et dépendante du dispositif, les pira-
sateurs. Un exemple de ce phéno- gens, du processus et de la techno- tes utilisant l’hameçonnage ne peu-
mène était la vulnérabilité reliée à la logie qui la gouverne. vent avoir accès au site visé, même
fonctionnalité de la barre d’adresse Cette approche est aussi vraie s’il a réussi au préalable à obtenir
d’Internet Explorer lorsqu’elle analy- en ce qui concerne la défense con- le nom d’utilisateur et son mot de
sait le contenu qui lui était passé en tre l’hameçonnage. Même si les passe. Dans le cas du dispositif Se-
paramètre. solutions contre l’hameçonnage sont cureID de RSA, le serveur d'authenti-
Cette vulnérabilité permettait encore au stage de développement, fication est parfaitement synchronisé
à l’attaquant de modifier l’adresse plusieurs combinaisons de méca- avec le dispositif de sécurité où un
de la barre d’adresse du navigateur nismes de défense peuvent être code de six chiffres affiché sur ce
pendant que la page du site Web jumelées pour prévenir et dissuader dernier est modifié toutes les trente
illégitime était ouverte et accédé. l’hameçonnage. La section suivante ou soixante secondes. Il est alors
Considérons l’adresse http://www. décrit certains de ces mécanismes possible de jumeler ce code avec
site-legitime.com%01%00 @www. qui peuvent être implémentés par un mot de passe qui devient alors
site-illegitime.com. les banques ou autres organisations impossible à déchiffrer puisque le
Lorsque l’adresse était visitée, pour se protéger contre l’hameçon- délai de rotation des codes est trop
le résultat était que la barre d’adres- nage. court. Dans les deux cas, le pirate
se du navigateur affichait seulement Il existe une variété de techniques doit nécessairement avoir en main le
la partie http://www.site-legitime.com de contrôle qui aident à prévenir les dispositif de l’utilisateur visé.
alors que l’utilisateur était dirigé vers attaques que les firmes, les banques Les certificats clients peuvent
http:// www.site-illegitime.com. et autres organisations ou institutions eux aussi introduire un processus
Cette vulnérabilité était causée cibles devraient mettre en pratique d’authentification plus fort dans les
par une mauvaise interprétation des pour contrer l’hameçonnage lors de applications Web. Une option est d’uti-
caractères spéciaux tels que %01 la construction de leurs applications liser des certificats clients à travers des
et %00. La solution était alors d’ap- Web. Un simple nom d’utilisateur et cartes intelligentes (smart card) uti-
pliquer un patch que fournissait le un mot de passe ne sont pas suffisants lisant les capacités cryptographiques
vendeur, dans le cas présent Micro- pour les sites Web offrant des ser- d’infrastructures à clé publique. Les
soft, qui mettait à jour le navigateur vices aussi cruciaux que celui du cartes intelligentes introduisent une

72 hakin9 Nº 10/2007 www.hakin9.org


Mécanismes de prévention et de défense contre le phishing

plateforme mobile et sécuritaire pour Cette seconde page pourrait être Les banques et autres organisa-
l’authentification. Dans les applica- personnalisée selon une phrase que tions ciblées devraient mieux infor-
tions Web qui se servent de cartes in- l’utilisateur a préalablement choisit mer leur clientèle et leurs employés
telligentes, seulement les utilisateurs lors de son inscription ou grâce sur les pratiques de sécurité de
qui ont les bonnes cartes peuvent à une image ou autre moyen pourvu base.
avoir accès à l’application Web. Puis- qu’il soit personnalisé. Il serait alors En effet, la mise à disposition
que le pirate n’aurait pas en sa pos- extrêmement difficile pour un site il- d’information sur les façons de
session une carte intelligente valide, légitime, utilisé pour l’hameçonnage, détecter les sites et courriels illé-
celui-ci ne pourrait donc pas avoir de fournir la deuxième page avec gitimes devrait être établie par les
accès à l’application Web, même succès. La personnalisation de pa- banques et autres organisations qui
si encore une fois, il a préalablement ges Web peut aussi être accomplie sont visées par l’hameçonnage. Des
réussi à obtenir d’autres informations en utilisant d’autres moyens. Des guides de base simples devraient
tels le nom d’utilisateur, le mot de biscuits (cookie) persistants du côté être distribués aux utilisateurs afin
passe ou le numéro de compte de de l’utilisateur (stockés sur son or- de les informer sur la procédure qui
l’utilisateur visé. Le problème avec dinateur) peuvent être utilisés par est suivie lorsqu'une banque con-
les cartes intelligentes cependant est l’application Web afin de présenter tacte ses utilisateurs. Cette séance
l’infrastructure qui doit être mise en une page personnalisée d’authenti- d’information devrait être présentée
place afin de supporter cette solu- fication. non seulement de façon périodique,
tion. Si l’on compare avec les dis- En effet, lorsque l’utilisateur se mais aussi de façon sécuritaire
positifs matériels sécurisés, l’infras- connecte pour la toute première fois et facilement comprise par tous les
tructure requise pour traiter avec des sur le site, l’application Web pourrait types d’utilisateurs, des incrédules
cartes intelligentes est beaucoup enregistrer un biscuit persistant sur aux crédules. Ces guides pourraient
plus rigoureuse que celle requise l’ordinateur de l’utilisateur contenant être offerts sous forme de docu-
pour traiter avec des dispositifs ma- une phrase clé non confidentielle, ments remis aux utilisateurs lors de
tériels sécurisés. comme le nom de cet utilisateur par leur inscription. Ces guides pour-
Comme vous pouvez le constater, exemple. Lorsque l’utilisateur retour- raient aussi être affichés à même le
l’utilisation de dispositifs matériels sé- nera sur le site afin d’être authentifié site Web avant que les utilisateurs
curisés ou de certificats clients trans- à nouveau, l’application Web pourra puissent s'y authentifier.
mit par cartes intelligentes présente alors souhaiter la bienvenue à l’utili- Bref, cette pratique servirait non
bon nombre de problèmes et de sateur en utilisant son nom tel que seulement à informer les utilisateurs
changements qui doivent être appor- stocké dans le biscuit avant qu’il en- du site des méthodologies de sécurité
tés aux applications Web existantes. tre ses informations personnelles. encourue par les banques et autres
C’est pourquoi l’utilisation de ces Un site illégitime utilisant l’hame- organisations, mais aussi pour les
derniers est propice lors du dévelop- çonnage ne pourrait en aucun cas informer à propos d’alertes concer-
pement et la création de nouvelles lire le contenu de ce biscuit puisqu’il nant des attaques frauduleuses qui
applications Web. est limité à son propre domaine. peuvent ou sont en train de survenir.
Il existe cependant une autre so- L’utilisateur qui naviguerait sur le site Voici les propos sur lesquels les
lution simple qui permet de réduire illégitime ne verrait pas le mot de banques, les organisations et autres
considérablement le risque d’hame- bienvenue comme l’application Web institutions devraient informer leurs uti-
çonnage. La solution qui peut être légitime afficherait et serait ainsi en lisateurs :
implémentée est celle où l’on fait en mesure de conclure qu’il n’est pas
sorte de rendre la tâche d’usurpation sur le bon site ou du moins, permettre • la banque ou l'organisation ne de-
d’identité d’un site plus difficile, voir d’annuler sa visite. Encore une fois mandera jamais aux utilisateurs
même impossible dans certains cas. cependant, ces méthodes de per- de fournir leur nom d’utilisateur,
Une façon de réaliser ceci est de sonnalisation de pages n’auront de leur mot de passe, leur numéro de
personnaliser l’application Web pour succès que si les utilisateurs restent carte de crédit, leur numéro de
les utilisateurs. En effet, l’application constamment vigilants et alertes. compte (etc.) par courriel,
Web peut utiliser deux pages lors de La majorité des attaques ayant • que les courriels envoyés aux uti-
l’authentification d’un utilisateur. La du succès dépendent de la réaction lisateurs, s’il y a, ne con-tiendraient j
première page peut demander à l’uti- et des réponses de la part des utilisa- amais d’hyperlien et ne deman-
lisateur d’entrer seulement le nom teurs visés. Il doit donc y avoir certai- derait jamais d’entrer de l’infor-
de l’utilisateur. Lorsque l’application nes mesures de sécurité qui doivent mation à l’aide d’un formulaire
reçoit un nom valide d’utilisateur, être implémentées aussi du côté des contenu dans le courriel,
celle-ci afficherait alors une seconde utilisateurs. Bon nombre d’attaques • les courriels ne demanderaient ja-
page qui serait personnalisée et dans peuvent être évitées si les utilisateurs mais aux utilisateurs de télé-charger
laquelle l’utilisateur entrerait son mot sont alertes et en connaissances des logiciels provenant d’autres si-
de passe. des menaces auxquels ils font face. tes et ne leur demanderait jamais

www.hakin9.org hakin9 Nº 10/2007 73


Focus

d’aller visiter d’autres sites à part duit par le Sender ID Framework pro- un groupe formé de professionnels
ceux d’organisations connexes posé par Microsoft. en sécurité informatique qui se con-
bien connues, Une autre approche est celle pro- centre exclusivement sur les crimes
• les utilisateurs devraient toujours posée par Cisco Systems qui s’ap- commis sur Internet provenant de
accéder au site de la banque, par pelle l'Identified Internet Mail. Dans l’hameçonnage et dont le but est
exemple, en tapant directement les deux cas, ce qui est proposé est d’enrailler ce genre d’attaque.
l’adresse du site dans la barre l’arrêt de courriels contrefaits avant Ce groupe possède un système
d’adresse du navigateur et de même qu’ils ne rejoignent la boîte de traçage et d’enregistrement d’aler-
regarder pour les indications de postale des destinataires. Le Sender tes causées par des attaques utili-
sécurité affichées sur la page ID Framework essaie de prévenir sant l’hameçonnage ainsi que des
et/ou dans le navigateur, l’usurpation d’identité de domaines. sites illégitimes dont les pirates se
• finalement, les utilisateurs de- Il vérifie les messages des courriels servent. Ils ont tout récemment amé-
vraient être suspicieux vis-à-vis pour assurer qu’ils proviennent bel lioré leur système de traçage de rap-
les courriels contenant des re- et bien des domaines desquels ils di- port de courriels hameçons uniques
quêtes urgentes de confirmation sent provenir. L’adresse IP d’origine en plus des sites utilisés afin de
ou de modification d’entrée d’in- du courriel est utilisée pour cette commettre des attaques d’hame-
formation personnelle. vérification. Le serveur qui reçoit le çonnage. Nous entendons par rap-
courriel contrefait peut alors valider ports de courriels hameçons uniques,
De plus, les utilisateurs devraient et distribuer seulement ceux qui sont un courriel unique qui est envoyé
être mis au courant des meilleures valides. L’approche que Cisco propo- à plusieurs utilisateurs cibles, qui
pratiques en matière de sécurité, se de son côté est un mécanisme ba- les dirigent vers un site illégitime
incluant : sé sur l’authentification signée pour servant à l’hameçonnage. L’APWG
assurer la validité d’un courriel. En compte chacun de ces rapports de
• mettre à jour régulièrement le utilisant la méthode cryptographique courriels uniques comme ceux qui
navigateur Internet utilisé afin d’y à clé publique, le serveur de courriers dans un mois donné possèdent la
appliquer les derniers correctifs, électroniques qui envoie un courriel même ligne de sujet dans le courriel.
• avoir un filtre anti-pourriels ainsi signe numériquement celui-ci et il est L’APWG répertorie et compte le nom-
qu’un logiciel d’anti-virus installé vérifié lors de la réception par le ser- bre de sites servant à des buts d’ha-
et configuré correctement, veur sur le domaine le recevant. meçonnage.
• utiliser un simple stoppeur de Cette vérification peut autant se Ceci est maintenant déterminé
page pop-up pour arrêter l’exécu- faire au niveau du domaine qu’au à l’aide des adresses uniques des
tion de code malicieux, niveau de l’utilisateur. Une politique sites illégitimes identifiées. Finale-
• et utiliser des outils de détection de sécurité peut être définie afin de ment, l’APWG répertorie aussi les
de logiciels malveillants (mali- savoir quoi faire dans le cas ou la logiciels malveillants en calculant un
ciels) pour détecter et effacer ce vérification de l’authenticité d’un hachage MD5. Selon l’APWG, le
type de programmes nuisibles. courriel échouerait. nombre de sites illégitimes servant
Dans ce cas, les courriels ayant à l’hameçonnage détectés par le
Finalement, l’utilisation de signatures aucune ou une mauvaise signature groupe a augmenté à 55,643 en avril
numériques est une autre bonne so- numérique pourront être considérés dernier, un bond majestueux par rap-
lution pour différencier les courriels comme étant de courriels contrefaits port au mois de mars qui affichait
contrefaits des légitimes. destinés à causer une attaque d’ha- 35,000 sites illégitimes.
Les organisations, les banques meçonnage. Enfin, de nouveaux con- Cette augmentation drastique est
et autres institutions devraient du sortiums comme le FSTC (Financial le résultat de tactiques agressives
mieux qu’elles le peuvent signer nu- Services Technology Consortium) et d’hameçonnage par sous-domaine,
mériquement chacune des communi- l’APWG (Anti-Phishing Working Group) où les attaquants regroupent un grand
cations avec les utilisateurs via cour- travaillent actuellement à de nouvelles nombre d’adresses de sites illégiti-
riel et les informer sur la façon d’iden- solutions. Ces groupes ont rassemblé mes sous le même domaine. Cette
tifier une signature valide. La clé publi- leurs ressources afin de développer tactique ressemble étrangement à la
que requise pour vérifier la signature un modèle de travail qui pourra être tactique utilisée vers la fin de 2006,
de l’organisation ou l’institution concer- utilisé par les banques et autres institu- où les pirates rassemblaient des mil-
née pourra alors être distribuée sous tions financières pour détecter et con- liers d’adresses sous le seul et même
forme de CD-ROM lorsque requis. trer les attaques d’hameçonnage. domaine.
En avril 2007, le groupe a enregis-
Tendances et évolution Pour conclure, quelques tré une augmentation des marques
Quelques technologies futures pour- statistiques de L’APWG et des compagnies attaquées à plus de
ront aider à ralentir la menace qu’impose L’APWG (anti-phishing working group 174 et il a aussi remarqué que de plus
l’hameçonnage. Un tel effort est con- – http://www. antiphishing. org/ ) est en plus de marques n’étant pas reliées

74 hakin9 Nº 10/2007 www.hakin9.org


Mécanismes de prévention et de défense contre le phishing

aux finances étaient attaquées, telles


les compagnies de réseaux sociaux
et les larges compagnies qui offrent
des services de courriers électroni-
ques.
Malgré ce fait, le groupe note que
ce sont les services d’institutions fi-
nancières qui sont le plus visés, ce
qui représente plus de 92. 5% des
attaques perpétrées et que les ban-
ques des États-Unis sont les plus
visées.
Un grand nombre de banques
européennes sont aussi visées puis-
que sept des vingt marques les plus
visées sont européennes, alors qu’-
une seule des vingt marques attaquées
appartient à une institution finan-
cière canadienne. Le groupe a aussi
déterminé que 98. 83% des sites illé-
gitimes redirigeaient le trafic vers un
serveur Web qui écoute sur la porte
logicielle HTTP 80 ou 8080.
Éventuellement, les filtres anti-
pourriels et les autres méthodes
de détection d’attaques basées sur
l’hameçonnage vont s’améliorer. Le
nombre et la qualité des courriels
augumentera malheureusement au
même rythme que les techniques
de détection.
Cependant, même avec toutes
les technologies disponibles, de-
meurer vigilant face aux messa-
ges que nous recevons et traitons
semble être la solution la plus ef-
ficace contre l'hameçonnage pré-
sentement. l

À propos de l'auteur
L’auteur a travaillé plus de 10 années
au Centre de Sécurité des Télécom-
munications du gouvernement fé-
déral du Canada exclusivement dans
le domaine de la sécurité informa-
tique.
Il détient un baccalauréat univer-
sitaire de l’Université de Sherbrooke
en Informatique. Il travaille actuel-
lement chez Above Sécurité à la
division de Montréal (province de
Québec) dans un poste de recherche
et de développement visant à amélio-
rer sans cesse les produits et servi-
ces offerts par cette compagnie.

www.hakin9.org hakin9 Nº 10/2007 75

Vous aimerez peut-être aussi