Tweet
Pharming
Avec l'évolution du phishing ces dernières années, (les chiffres parlent d'eux mêmes, une évolution d'environ 15 a 20% annuel depuis 2005 qui tendent a encore augmenter), les navigateurs ont eux aussi étaient amenées a évoluer.
En effet, les navigateurs réuissent tant bien que mal a déjouer les phisher, grâce a des sytèmes d'anti-phishing intégré.
Mais l'évolution ce fait également du côter des pirate. Des méthodes encore plus vicieuses, c'est le pharming. Le pharming a pour but de tromper la victime a sont insu, on ne parle plus de faille humaine, mais bien de faille informatique, puisque le concept s'appuie sur des failles informatique.
Nous avons déja évoquer le pharming dans le dns spoofing, ou encore l'arp spoofing.
Nous allons nous interesser à présent à une faille activeX, (par le biais du Javascript), donc vulnérable pour IE, qui a pour but en remote (donc a distance) de modifier le contenu du fichier HOSTS.
Sous windobe XP, le fichiers HOSTS est situé par ici:
C:/WINDOWS/system32/Drivers/etc/hosts
On peut y voir affiché (ouverture à l'aide du bloc note) des exemples HOSTS utilisé par microsoft:
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
127.0.0.1 localhost
On peut voir dans ce fichier, que la dernière ligne contient notre adresse locale. Si le navigateur ne trouve pas l'url demandé par l'utilisateur, il va essayer différentes combinaisons, tel que d'ajouter www ou encore .com ...
Ce qui est important a savoir ici, c'est que si ce fichier hosts est modifié, il restera modifié tant que l'utilisateur ne l'aura pas remodifié... Un problème qui ne semble pas vraiment inquiéter Microsoft…
Un utilisateur qui ouvre une page ayant été modifiée verra sont fichier HOSTS modifié sans même le savoir.
En effet, des URL tels que ebay ou paypal seront redirigé vers une adresse IP différente.
Une attaque inquiétante, quand on connait le nombre d'utilisateurs qui connaissent ce fichier HOSTS ...
A savoir que le Pharming peut s'exploiter de divers manières que ce soit, une simple redirection par le biais d'une faille XSS est considéré comme du pharming.
En effet, les navigateurs réuissent tant bien que mal a déjouer les phisher, grâce a des sytèmes d'anti-phishing intégré.
Mais l'évolution ce fait également du côter des pirate. Des méthodes encore plus vicieuses, c'est le pharming. Le pharming a pour but de tromper la victime a sont insu, on ne parle plus de faille humaine, mais bien de faille informatique, puisque le concept s'appuie sur des failles informatique.
Nous avons déja évoquer le pharming dans le dns spoofing, ou encore l'arp spoofing.
Nous allons nous interesser à présent à une faille activeX, (par le biais du Javascript), donc vulnérable pour IE, qui a pour but en remote (donc a distance) de modifier le contenu du fichier HOSTS.
Sous windobe XP, le fichiers HOSTS est situé par ici:
C:/WINDOWS/system32/Drivers/etc/hosts
On peut y voir affiché (ouverture à l'aide du bloc note) des exemples HOSTS utilisé par microsoft:
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
127.0.0.1 localhost
On peut voir dans ce fichier, que la dernière ligne contient notre adresse locale. Si le navigateur ne trouve pas l'url demandé par l'utilisateur, il va essayer différentes combinaisons, tel que d'ajouter www ou encore .com ...
Ce qui est important a savoir ici, c'est que si ce fichier hosts est modifié, il restera modifié tant que l'utilisateur ne l'aura pas remodifié... Un problème qui ne semble pas vraiment inquiéter Microsoft…
Un utilisateur qui ouvre une page ayant été modifiée verra sont fichier HOSTS modifié sans même le savoir.
En effet, des URL tels que ebay ou paypal seront redirigé vers une adresse IP différente.
Une attaque inquiétante, quand on connait le nombre d'utilisateurs qui connaissent ce fichier HOSTS ...
A savoir que le Pharming peut s'exploiter de divers manières que ce soit, une simple redirection par le biais d'une faille XSS est considéré comme du pharming.
Commentaire