Caractérisation et considérations relatives au phishing :
Le phishing est une forme d’activité criminelle qui utilise des techniques d’ingénierie sociale et se caractérise par la tentative d’obtenir frauduleusement des informations sensibles, telles que des mots de passe, des numéros ou des informations de carte bancaire, des données personnelles, etc., en usurpant l’identité d’une personne ou d’une entreprise/institution de confiance dans une communication électronique d’apparence officielle, comme le courrier électronique (SMTP/POP3/IMAP4), la messagerie instantanée (IM/MSN/ICQ), le Web (HTTP/HTTPS), la téléphonie (fixe, mobile, VoIP/SIP, SMS, MMS), etc. Le phishing est devenu un problème de sécurité croissant et les attaques sont de plus en plus sophistiquées. Dans une attaque classique, la victime reçoit un courriel semblant provenir d’une institution de confiance. Ce courriel l’informe souvent d’un problème quelconque avec son compte (saturation imminente de la messagerie, expiration du mot de passe, possible piratage de compte ou de carte bancaire, détection d’intrusion à son domicile protégé par un système antivol, alerte dans son établissement de santé, etc.) et exige une action immédiate. La victime, en cliquant sur un lien malveillant, est redirigée vers un site web imitant parfaitement le site officiel de l'institution de confiance usurpée. Ce site affiche alors un écran invitant la victime à saisir son nom d'utilisateur, son mot de passe, ses informations personnelles, etc.
Il existe deux variantes : (1) Passive. L’attaquant collecte les informations de la victime pour les exploiter ultérieurement ou les vendre à des tiers. (2) Active. L’attaquant transmet les informations de la victime à l’institution légitime et vide le compte de la victime en temps réel. L’hameçonnage peut s’effectuer par courrier électronique (SMTP/POP3/IMAP4, VoIP), via Internet (HTTP/HTTPS, messagerie web, réseaux sociaux), par téléphone fixe ou mobile, par SMS/MMS, etc. Il peut servir à l’usurpation d’identité (personnelle ou institutionnelle), l’identité numérique pouvant désigner une personne physique, une personne morale (entreprise, institution, etc.) ou un ordinateur/automate programmable dans un environnement industriel ou une infrastructure critique. L’identité numérique est un ensemble d’attributs, dont certains peuvent évoluer et d’autres être certifiés par des tiers. Par exemple, nom et prénom, âge, numéro de carte d'identité nationale, identifiants utilisateur, informations médicales, méthodes d'authentification (traditionnelles ou fédérées), etc. Comme il est très difficile, voire impossible, d'effacer les données numériques utilisées, les identités numériques ont tendance à croître et jamais à diminuer.
Techniques d'hameçonnage
: Les auteurs d'hameçonnage utilisent diverses techniques, notamment : (i) l'utilisation d'éléments visuels provenant du site web de confiance usurpé ; (ii) l'utilisation de techniques basées sur le DNS, telles que les URL pièges : www.ebay.com.kr, www.ebay.com@191.175.114.32
(URL contenant un @, le navigateur redirige alors vers l'adresse 191.175.114.32 en utilisant www.ebay.com comme nom, ce qui ouvre une page inexistante), www.gooogle.com (URL mal orthographiées), www.ebay-members-security.com (n'appartenant pas à www.ebay.com), les attaques Unicode et l'utilisation de noms de domaine internationaux ; (iii) les attaques JavaScript, par exemple la falsification et la création d'un faux cadenas apparaissant en bas du navigateur pour simuler l'utilisation du protocole SSL/TLS, ou la falsification de l'URL dans la barre d'adresse ; (iv) l'utilisation de certificats numériques. Les auteurs de phishing peuvent obtenir des certificats pour des domaines leur appartenant. Les autorités de certification commettent parfois des erreurs. (v) Utilisation de CSS/XSS. Ceci redirige l'utilisateur. Certaines techniques de phishing plus avancées reposent sur : (a) une meilleure sélection des victimes ; (b) des attaques basées sur la connaissance du contexte social, par exemple, l'adresse e-mail semble provenir d'une personne connue de la victime ; (c) des attaques contextuelles, par exemple, la réception d'un message indiquant « Votre enchère eBay a été remportée » ou que « les livres de votre liste d'achats Amazon sont en promotion ». Du point de vue de l'utilisateur, nous rencontrons les problèmes suivants : (1) La sécurité est une priorité secondaire pour de nombreux utilisateurs ; (2) Les utilisateurs choisissent des mots de passe faibles, facilement compromis ; (3) Les utilisateurs sont incapables d'analyser les URL, les noms de domaine (en particulier les noms internationaux contenant des caractères cyrilliques, chinois, arabes, etc.) ou les certificats numériques PKI (Infrastructure à Clé Publique). (4) Les utilisateurs sont inondés d’avertissements et de fenêtres contextuelles, et soit ils les ignorent (permettant des attaques de type « homme du milieu »), soit ils se font piéger (si une fenêtre contextuelle apparaît avec un avertissement disant « votre ordinateur est peut-être infecté », cliquez rapidement sur « oui » pour l’analyser ; ce que vous faites en réalité, c’est télécharger un cheval de Troie).
Méthodes anti-phishing
. Voici quelques méthodes anti-phishing : (1) Heuristiques. Par exemple, l’utilisation d’outils tels que Spoofguard, Trustbar, eBay Toolbar, Spoofstick, etc. Des études récentes indiquent que les utilisateurs ignorent les avertissements des barres d’outils. (2) Mots de passe modifiés. Par exemple : (i) Authentification unique (SSO). Cette méthode exige que les utilisateurs fassent confiance à une seule institution pour tous leurs mots de passe. Un problème d’authentification persiste. Il est imprudent que l’authentification mutuelle ne soit pas utilisée systématiquement dans toutes les interactions. (ii) PwdHash. Cette méthode est acceptable, mais vulnérable au pharming, à l’usurpation DNS et aux attaques par dictionnaire. (iii) Mots de passe à usage unique (OTP). Par exemple, les cartes à gratter, RSA SecurID, mais ces méthodes sont vulnérables aux attaques de type « homme du milieu » (MITM). (3) Authentification d’origine. Par exemple : Dynamic Security Skins, Passmark, Petname, etc. Toutes ces méthodes reposent sur la vigilance de l’utilisateur ; une simple erreur peut compromettre un compte. Il est crucial de souligner que la sécurité ne doit pas dépendre entièrement de l’erreur humaine. que le système doit être sécurisé par défaut ; et que sa conception doit être robuste face aux erreurs potentielles des utilisateurs (une technologie doit être utilisée pour surveiller le niveau de vigilance de l'utilisateur, quel que soit son rôle : gestionnaire, administrateur, superviseur, employé, invité, etc.).
Voici quelques objectifs de prévention du phishing : (1) Idéalement, garantir que les données sensibles, confidentielles et personnelles des utilisateurs n’atteignent que leur destinataire. (2) Concrètement, empêcher les auteurs de phishing de consulter ou de modifier les comptes utilisateurs et réduire l’efficacité des attaques. Pour ce faire : (a) Corriger les erreurs en sauvegardant les comptes utilisateurs, même en cas d’erreur. (b) Utiliser les appareils mobiles pour établir une authentification difficilement compromise par l’utilisateur. (c) Se protéger contre les attaques de type « homme du milieu » (MITM). (d) Se prémunir contre les enregistreurs de frappe (logiciels et matériels), par exemple en utilisant des claviers et souris virtuels ainsi que des outils de détection et de suppression tels que les logiciels anti-espion et anti-chevaux de Troie. (e) Fournir une authentification mutuelle entre le serveur et l’utilisateur. (f) Éviter les dépendances à l’interface du navigateur, car elles sont facilement vulnérables. L’approche IBE (Intrusion Based Enterprise) peut être utilisée. Le chiffrement basé sur l'identité (IBE) est une variante plus flexible du chiffrement asymétrique à clé publique (PKI), où l'identité de l'utilisateur (par exemple, son adresse électronique, son numéro de carte d'identité nationale/de sécurité sociale, une photographie contenant un stéganogramme le personnalisant, sa session de visioconférence, un échantillon biométrique, etc.) est utilisée à la place de sa clé publique (ou de son certificat numérique signé par une autorité de certification). Dans ce cas, un tiers de confiance doit convertir en temps réel l'identité de l'utilisateur en sa clé privée.
Techniques de pharming :
De nombreuses protections anti-phishing reposent sur le DNS. Le pharming peut contourner ces protections en corrompant le cache DNS et/ou en usurpant les réponses DNS. Ainsi, lorsque notre navigateur demande, par exemple, l’adresse www.paypal.com, l’attaquant l’aura trompé pour qu’il réponde avec une adresse IP du site web qu’il contrôle, telle que 138.6.6.6. Le pharming dynamique fournit de fausses correspondances DNS pour un serveur de confiance, incitant l’utilisateur à télécharger un script malveillant. Il force également l’utilisateur à télécharger du contenu depuis le serveur légitime en fournissant temporairement la correspondance DNS correcte. Le script malveillant et le contenu ont la même origine.
Il existe principalement deux techniques de pharming : (1) L’utilisation de virus, de logiciels malveillants ou de codes malveillants dans les courriels. Un courriel d’apparence anodine (quoique légèrement suspecte) peut contenir une image qui, une fois ouverte dans votre logiciel de messagerie, télécharge en réalité un virus sur votre ordinateur. Ce virus modifie le fichier « hosts » (résolution statique des noms de domaine) qui traduit normalement les URL standard (comme www.google.com) en adresses IP compréhensibles par votre ordinateur (comme 132.45.13.7). Un ordinateur dont le fichier hosts est falsifié redirigera vers un site web erroné, même si l’utilisateur saisit l’URL correcte. (2) L’empoisonnement DNS (résolution dynamique des noms de domaine). Il s’agit de la menace la plus dangereuse, car elle fonctionne même avec les meilleurs antivirus. Elle modifie la correspondance entre les URL web/adresses courriel et les adresses IP.
Prévention du pharming :
Voici quelques techniques utilisées : (i) Les serveurs doivent ajouter une couche d’authentification supplémentaire, prouvant leur identité et établissant un lien de confiance entre l’utilisateur et le serveur. Cela nécessite que le site web obtienne un certificat numérique auprès d’une autorité de certification réputée telle que VeriSign/Izenpe. La plupart des navigateurs web sont déjà capables de vérifier la présence de certificats de serveur valides. Le problème se situe côté serveur. Certains sites proposent déjà des certificats ; lorsqu’un utilisateur visite ces sites, une boîte de dialogue lui demande s’il souhaite faire confiance au certificat. Si le nom du certificat ne correspond pas au site prévu, un problème est détecté et l’utilisateur est invité à quitter le site. Il est possible que le site web de destination (l’URL de votre banque) ait été piraté. Si le certificat est valide, il est enregistré afin que, lors de la prochaine navigation vers l’adresse correcte, l’utilisateur puisse se connecter au site. (ii) Utilisation généralisée de DNSSEC, qui permet d’authentifier cryptographiquement la correspondance entre l’URL/l’adresse e-mail et l’adresse IP. Cependant, cette méthode ne protège pas contre les attaques DoS/DDoS. Il existe trois versions : (a) PK-DNSSEC, basée sur la cryptographie asymétrique à clé publique ; (b) SK-DNSSEC, basée sur la cryptographie symétrique à clé secrète, qui utilise un nonce (une valeur unique et éphémère) dans chaque message pour empêcher les attaques par rejeu ; (c) une approche hybride, combinant les deux technologies, le serveur de zone racine DNS possédant une clé publique.
Considérations finales
Notre groupe de recherche travaille depuis plus de vingt ans sur la synthèse, l'analyse et l'évaluation des mécanismes de protection contre le vol de données confidentielles/sensibles via différentes approches de réseaux filaires et sans fil.
Cet article s'inscrit dans le cadre des activités menées au sein du réseau thématique LEFIS.
Bibliographie :
Areitio, J. « Sécurité de l’information : réseaux, informatique et systèmes d’information ». Cengage Learning-Paraninfo, 2010.
– Areitio, J. et Areitio, A. « Nouvelles approches dans l’analyse de la technologie des pare-feu, un composant essentiel de la sécurité des réseaux ». Conectrónica Magazine, n° 122, novembre 2008.
– Aycock, J. « Logiciels espions et logiciels publicitaires ». Springer, 2010.
– Corby, M.J. « Guide complet de la prévention des pertes de données ». CRC Press, 2011.
Auteur:
Prof. Dr. Javier Areitio Bertolín – E.Mail :
Professeur à la Faculté d'ingénierie.
Directeur du groupe de recherche sur les réseaux et les systèmes. Université de Deusto.
Prof. Dr. Ana Areitio Bertolín – E.Mail :
Laboratoire d'informatique appliquée. Université du Pays basque (UPV/EHU)
