Pas une semaine ne se passe sans qu'une alerte de type ? Phishing ? ne soit relay?e par la presse. Tous les jours, des centaines d'informations priv?es et identit?s num?riques sont d?rob?es par des individus peu scrupuleux qui s'empressent de les revendre ? de v?ritables malfaiteurs. Qu'en est-il de cette menace grandissante et des contre-mesures possibles ?
Le vol d'identit? num?rique est sans conteste le grand champion des menaces s'?tant d?velopp?es ces derni?res ann?es. Les constatations sont ?loquentes : l?APWG recense un doublement des sites de phishing entre mi 2005 et mi 2006, les malware d?di?s au vol d?identit? sont de plus en plus r?pandus de m?me que les sites qui h?bergent ces programmes malicieux dixit Websense, Gartner compte les points et comptabilise les pertes am?ricaines li?es au phishing en 2006? L?estimation est de 2,8 milliards de dollars.
En effet, entre le vol d?identit? num?rique et la fraude en ligne, il n?y a qu?un pas - que les ? pirates ? ne se privent pas de faire. ? une ?poque o? les syst?mes d?exploitation grand public n?ont jamais inclus autant de fonctionnalit?s s?curit?, comment ce ph?nom?ne peut-il s?expliquer ? Par un manque de r?activit? des ?diteurs ? par le laxisme des utilisateurs ? par des erreurs d?impl?mentation dans les applications en ligne ou bien encore par une trop grande difficult? ? lutter contre cette fraude invisible mais bien r?elle ?
Comme souvent, la r?ponse est nuanc?e. Tous les facteurs ?nonc?s peuvent en effet tenir une part de responsabilit? dans le d?veloppement du vol d?identit?s et du cyber-crime. Mais de fait, la faute n?est r?ellement imputable ? personne.
Ainsi pour reprendre les points ?nonc?s, jamais les ?diteurs n?ont ?t? aussi rapides ? sortir leurs correctifs et ? communiquer (m?me s?il reste encore du chemin pour certains). Les utilisateurs, quant ? eux, essayent autant qu?il le peuvent de r?pondre au mieux aux probl?matiques de s?curit? qui se posent ? eux. Antivirus install? et pare-feu activ?, ils se croient par?s pour affronter Internet en toute s?curit?. Au niveau des entreprises, les portails en ligne et plus particuli?rement les portails bancaires s??quipent de moyens pour assurer l?authentification mutuelle entre le client et le site. Pour finir, m?me si la complexit? du droit international et le manque de coop?ration de certains ?tats rendent les investigations et les poursuites contre les r?seaux de fraude particuli?rement complexes, des initiatives existent n?anmoins.
Les menaces li?es au vol d?identit? num?rique sont nombreuses, tachons de d?tailler les principales :
Le phishing simple
Technique maintenant parfaitement connue, le phishing a acquis ses lettres de ? noblesse ? courant 2004. Le principe est simple : un site reproduit un contenu l?gitime (le plus souvent une institution financi?re) dans le but de capturer les identifiants du client. Pour faire en sorte que la victime parvienne sur le site contrefait, la technique la plus r?pandue consiste ? diffuser massivement des mails via une campagne de spam. Ces mails utilisent une raison quelconque pour pr?texter que l?utilisateur doit se connecter au plus t?t sur le portail de sa banque. Bien ?videmment, un lien corrompu est propos? se pr?sentant sous la forme de l?URL l?gitime de la banque mais menant r?ellement sur le site contrefait. Certains sites de phishing prennent grand soin ? para?tre l?gitime. Pour ce faire, des techniques de typosquatting sont utilis?es. Plus traitres encore, des phishing simples peuvent utiliser des vuln?rabilit?s de Cross Site Scripting (XSS) pour laisser croire ? l?utilisateur qu?il se trouve sur le site de sa banque alors qu?il est en r?alit? sur une page affich?e en superposition du site l?gitime. Lorsque le site en question met en place une identification du client en utilisant un couple login / mot de passe, le site de phishing n?a aucune difficult? ? r?cup?rer ces informations.
Le phishing en Man in the Middle
Voici une ?volution particuli?rement int?ressante du phishing puisqu?elle met en place une rupture protocolaire pour parvenir ? son objectif. Dans ce cas, la victime est redirig?e sur un faux site qui se chargera de faire le mandataire entre elle et le portail bancaire. Les donn?es qui sont alors transmises par la victime sont imm?diatement re-transf?r?es sur le site r?el. Dans cette attaque, le contenu affich? est toujours l?gitime puisqu?il provient du vrai site. Le pirate aura alors la possibilit? de reprendre l?initiative de l??change d?s lors que le client se sera authentifi? ou qu?un cookie de session sans restriction aura ?t? ?chang?. Le premier cas de phishing MITM est apparu courant 2006, r?duisant ? n?ant les efforts d?une banque dans l?impl?mentation d?une solution d?authentification ? deux facteurs.
Le pharming
Entendons nous bien, pharming est un mot r?cent et ? la mode, mais les concepts n?ont rien de nouveaux. Le pharming consiste ? d?tourner une r?solution de nom. Par ce biais, un utilisateur croyant se connecter sur un site avec l?URL
www.site.com sera en r?alit? renvoy? vers un autre endroit. Cela peut s?op?rer classiquement en deux endroits distincts : localement sur le poste d?une victime (on pr?f?rera alors parler de trojan redirecteur) ou sur un serveur DNS. C?est ce dernier cas qui va nous int?resser ici. En toute logique, les serveurs cibles du pharming sont des serveurs DNS ? haute fr?quentation comme un serveur DNS cache d?un fournisseur d?acc?s Internet. La plupart du temps, le pharming se concr?tise par un empoisonnement du cache DNS. Cependant, cette technique est de moins en moins utilisable dans la mesure o? seuls les vieux serveurs DNS sont vuln?rables ? cette attaque (due ? une entropie trop faible dans la g?n?ration des identifiants des requ?tes DNS). D?autres variantes existent permettant de jouer avec des effets de statistiques pour corrompre un cache DNS.
Le trojan
De plus en plus complexe, les trojan s?installent souvent via la consultation d?une page web malicieuse. Bien souvent, l?utilisateur n?y voit que du feu, et pourtant? G?n?ralement, un premier trojan (appel? downloader) va ?tre ex?cut? pour r?cup?rer un ensemble d?autres composants qui seront activ?s dans la foul?e. Ces composants vont venir s?installer au sein d?Internet Explorer (ce seront les Browser Helper Object) ou directement au c?ur du syst?me (ce seront alors des trojan r?sidents avec des fonctionnalit?s de rootkit). Les fonctionnalit?s de ces codes sont impressionnantes. Les plus simples se contentent de capturer les touches tap?es lorsque l?utilisateur se situe sur un site web cibl? (portail bancaire dans plus de 90% des cas). Les plus complexes peuvent supprimer la fen?tre de pr?sentation de danger SSL (via l?utilisation de hooking d?API), modifier les r?solutions DNS (pharming local), capturer les formulaires ?mis (formgrabbing) m?me g?olocaliser les victimes. Autant dire que l?utilisateur lambda ne peut pas grand-chose contre ces ? merveilles ? de sophistication.
Toutes ces techniques ne sont motiv?es que par un seul objectif : retirer du profit en acc?dant au compte bancaire d?une victime.
Plusieurs pistes de r?flexion se dessinent lorsque l?on essaye de dresser le panorama des solutions permettant de r?pondre aux enjeux de s?curit?. Ce dossier met en relation des propositions techniques et les protections couvertes par celles-ci. Le site dresse un panorama relativement exhaustif des briques logicielles pouvant ?tre utilis?es gratuitement. Au programme, on y retrouve des mesures permettant de d?tecter l?apparition d?un site de phishing, des moyens pour une utilisation simple de l?authentification deux facteurs via l?utilisation d?un second canal de communication, etc. Les ?quipes techniques y trouveront probablement des ?l?ments d?inspiration et les RSSI pourront orienter leurs r?flexions sur des solutions adapt?es. Toutes les protections sont mesur?es suivant la robustesse face aux menaces li?es au vol d?identit? num?rique et la facilit? que l?utilisateur en aura.
Source : Par David Bizeul pour Vulnerabilite.com
