Outils / logiciels et technologies Pharming
Le pirate informatique redouble d’énergie pour subtiliser les informations sensibles des utilisateurs du web. Ainsi, selon le baromètre CESIN de la cybersécurité en entreprise, 54 % des entreprises françaises ont été victimes d’attaques informatiques en 2021. Parmi les techniques de piratage, le pharming représente une tactique très élaborée d’escroquerie.
Le pharming crée l’illusion. Vous êtes certain d’être sur le site internet voulu. Mais, ce n’est qu’une apparence. Le pirate utilise la confiance des utilisateurs pour agir. Et les conséquences sont rudes pour les particuliers comme pour les professionnels. Heureusement, des solutions de protection existent. Mais elles demandent une attention décuplée de l’utilisateur du web.
Qu’est-ce que le pharming en cybersécurité ?
Le pharming exploite toutes les failles de la sécurité informatique sur internet : l’humain, l’ordinateur et le navigateur.
Le pharming : une tactique élaborée pour voler les données des utilisateurs sur le web
Pharming signifie dévoiement en français : détourner quelqu’un du droit chemin. Cette traduction reflète précisément la tactique utilisée par les pirates informatiques pour voler des informations sensibles. Le mot provient de la contraction des mots phishing et farming.
Le premier mot désigne les actions d’hameçonnage en piratage informatique. Et le second évoque l’exploitation frauduleuse issue de la manipulation de l’utilisateur. Le pharming vise donc à attirer l’internaute à son insu sur un site internet frauduleux. L’objectif, c’est de subtiliser des données à des fins d’escroquerie.
Pharming et phishing : des attaques différentes fondées sur des sites frauduleux
Les actions de phishing et de pharming partagent la même finalité : conduire l’utilisateur sur un site web frauduleux. Mais les approches diffèrent.
Le phishing ou la technique du lien malveillant
La technique du phishing repose sur l’envoi d’un mail contenant un lien malveillant. Le mail ressemble à un message provenant d’organismes officiels ou de sociétés connues : Hadopi, EDF, Facebook, etc. Son contenu incite l’utilisateur à cliquer sur un lien pour régulariser sa situation ou pour profiter d’un cadeau.
Le phishing s’appuie sur la forte probabilité que le destinataire se sente concerné. Pour Hadopi, il mise sur la certitude que ce dernier a téléchargé ou visionné illégalement plusieurs fois des films. Le contenu l’incite alors à cliquer sur un lien frauduleux. Le destinataire arrive alors sur une page de capture de ses données. Cette page imite l’ergonomie et le design du site officiel.
Le pharming ou le phishing sans leurre
Le pharming n’utilise pas de leurre : l’utilisateur ne clique pas sur un lien incitatif. Mais, il avance masqué sous la forme d’un code malveillant (malware) téléchargé ou présent dans le serveur DNS. Il remplace automatiquement l’adresse URL d’un site web officiel par celle d’un site malveillant.
La ressemblance entre les deux sites est très forte. Lorsque l’utilisateur tape le nom du site officiel dans sa barre de recherche, il est en confiance. Il arrive sur une page réplique du vrai site. Sans méfiance, il laisse alors ses coordonnées personnelles pour effectuer une commande ou une demande.
Exemple : une pharming attack déjoue la sécurité de 50 banques en 2007
Selon le magazine Computerworld, des attaques de pharming ont visé simultanément 50 établissements financiers dans le monde entier en février 2007. Leurs sites étaient infectés par un code malveillant. Téléchargé dans l’ordinateur du client, il redirigeait celui-ci vers une réplique du site de sa banque. Ce dernier collectait ses identifiants de connexion et les transférait à un serveur russe. Après le transfert, l’utilisateur était renvoyé vers le vrai site. Cette manipulation rendait l’attaque impossible à détecter.
Comment fonctionne le pharming attack ?
Le pharming utilise les techniques de l’ingénierie sociale : amener l’internaute à réaliser des actions à son insu. Cette manipulation psychologique emprunte deux voies : le pharming par malware ou le pharming par empoisonnement du serveur DNS.
Le pharming local : un malware dans l’ordinateur de l’utilisateur
Le pharming local, c’est une attaque individuelle. L’internaute télécharge un malware lors de sa navigation sur internet. Ce virus écrase certaines adresses URL contenues dans le cache DNS de son PC. Il peut également corrompre les fichiers hosts du système d’exploitation (C:\windows\system32\drivers\etc.). Puis, il les remplace par des adresses IP contrefaites. Lorsque l’internaute souhaite de nouveau se connecter à ses sites préférés, il est automatiquement redirigé vers des sites malveillants. Ces derniers sont des maquettes des vrais sites. C’est cette apparence trompeuse qui endort la vigilance du visiteur.
Le pharming distant : des attaques de masse via les serveurs DNS
Le pharming distant représente une technique avancée de piratage informatique. Il vise à « empoisonner » le serveur DNS du navigateur utilisé par l’internaute. Pour rappel, le DNS (Domain Name System) traduit le langage humain (URL) en langage informatique. Le pharming profite d’une faille dans la sécurité du serveur DNS pour implanter un code malveillant. Celui-ci falsifie alors la traduction de certaines adresses URL.
Les utilisateurs tapent donc l’URL exacte du site recherché, mais sont dirigés vers une adresse trompeuse. Ils atterrissent sur un site réplique de l’original. Selon leurs besoins, ils partagent alors leurs données personnelles sans méfiance. L’empoisonnement du DNS permet des attaques massives. Dans le cas des attaques menées contre des banques en 2007, 1000 ordinateurs avaient été touchés pendant trois jours.
Comment détecter une attaque par pharming ?
Malgré la sophistication du pharming, il existe des solutions simples pour détecter ses attaques.
Vérifier l’URL des sites malveillants
Même si vous êtes sûr d’avoir tapé la bonne URL d’un site, vérifiez si le site est sécurisé. Une icône de cadenas fermé doit figurer dans la barre de recherche. Elle témoigne de la sécurité du site par chiffrement grâce au protocole HTTPS. Si vous constatez un cadenas ouvert ou un protocole HTTP et non HTTPS, méfiez-vous !
Repérer les éléments frauduleux des sites internet
Malgré son savoir-faire, le pirate informatique ne parvient pas à reproduire exactement un site web. Il existe de subtiles différences. Soyez attentif au design, à la configuration et à la navigation sur les sites que vous visitez habituellement. De plus, la présence inhabituelle de fenêtres pop-up doit également vous alerter.
Observer son ordinateur : comportement inhabituel ou logiciels inconnus téléchargés
Les malwares consomment de l’espace dans les ordinateurs. Si votre poste vous semble plus lent ou se bloque, vous êtes peut-être victime d’un malware. Observez également si des modifications surviennent dans le fonctionnement de votre ordinateur : page d’accueil modifiée, programme inhabituel au démarrage, désactivation de votre antivirus, etc. Dans le cas d’anomalie, vérifiez si vous n’avez pas téléchargé à votre insu des logiciels malveillants.
Quels sont les dommages potentiels causés par une attaque de pharming ?
Le pharming attack cause des dommages difficilement mesurables. Les victimes ne souhaitent pas toujours dévoiler le vol d’informations sensibles.
L’utilisation frauduleuse des informations des entreprises victimes de pharming attack
La data collectée par les hackers alimente des opérations d’escroquerie. Selon le cabinet Stoïk, assureur en risques cybercriminels, les actions de piratage informatique coûtent 50 000 euros en moyenne aux entreprises. Les attaques informatiques entraînent aussi une perte de 27% de leur chiffre d’affaires en moyenne. Cette estimation prend en compte l’arrêt éventuel du site internet et sa sécurisation.
Les données des particuliers utilisées pour des actes malveillants sur le web
Pour les particuliers, le site gouvernemental cybermalveillance.gouv.fr a enregistré 2,9 millions de consultations d’articles sur les cyberattaques en 2022. Et 280 000 personnes ont demandé l’assistance de la plateforme. Les hackers revendent leurs données sur le darknet. Selon le volume, c’est une source importante de revenus pour un pirate informatique. Selon TitanHQ, cabinet de cybersécurité, les données des particuliers sont une mine d’or pour les hackers.
- Les données d’identité se vendent jusqu’à 3000 euros en moyenne selon le pays.
- Le prix de la data bancaire se négocie en fonction du solde du compte ciblé.
- Les informations médicales s’estiment selon la notoriété de la victime et se vendent aux enchères sur un darknet market (marché noir du dark web).
Quelles entreprises et quels secteurs sont les plus vulnérables aux attaques de pharming ?
Tous les secteurs d’activité sont concernés par le pharming attack. Mais, les sites bancaires restent les cibles privilégiées des hackers. De même, les e-commerces à fort volume de transactions représentent un terrain privilégié pour des attaques massives. Enfin, les réseaux sociaux sont très exposés à la cybercriminalité. Leurs utilisateurs représentent 60% de la population française en 2022 (étude Digimind) : c’est une immense source d’informations sensibles !
Comment prévenir et repousser les attaques de pharming sur internet ?
La prévention et la gestion des attaques de pharming reposent sur deux axes : la vigilance et la sécurisation.
La vigilance utilisateur : détecter les malwares et les sites frauduleux
Les actualités regorgent de faits divers de cybercriminalité. Détecter et repousser les attaques exige la vigilance des utilisateurs. Une communication régulière sur ces risques doit donc s’intensifier pour apprendre à détecter les malwares et les sites frauduleux. Les banques et les services publics multiplient heureusement les actions de prévention.
La protection du serveur DNS
Le système DNS n’a pas vocation à sécuriser les données des utilisateurs. En revanche, le nouveau protocole DNSSEC (DNS Security Extensions) représente une solution de protection contre les attaques de pharming. C’est une signature numérique des données. L’objectif est de valider leur authenticité.
Quels sont les défis futurs en matière de cybersécurité liée au pharming ?
L’utilisation de l’intelligence artificielle menace de doper l’efficacité des hackers. Les Réseaux Antagonistes Génératifs (GAN) représentent un double système d’IA redoutable. Un premier mécanisme simule du contenu existant pour apprendre à recréer le design des sites ciblés. Et un second apprend à identifier leurs failles.
Le pharming illustre la sophistication grandissante de la cybercriminalité. L’IA apporte de nouveaux horizons aux hackers. Cette spirale représente une menace réelle de déstabilisation économique, voire politique. Enfin, la formation d’experts en cybersécurité devient plus que jamais une priorité.