Pharming : comment vous protéger et rester vigilant

Le pharming est une forme de phishing (hameçonnage) particulièrement rusée. Nous vous expliquons comment il fonctionne et les manières de vous en protéger.

Temps de lecture: 8 min

Le pharming est une forme de fraude en ligne particulièrement sophistiquée. La technique étant difficile à détecter, même les internautes les plus vigilants peuvent se faire piéger. Dans cet article, nous vous expliquons précisément comment s’y prennent les hackers, à quoi il faut faire attention et comment se protéger de cette menace en ligne, aussi discrète que dangereuse.

Qu’est-ce que le pharming ?

« Pharming » est un mot-valise créé à partir des termes anglais « farming » (exploitation) et « phishing » (hameçonnage). Le principe de base est : les criminels attirent leurs victimes dans un piège et parviennent ainsi à leur soutirer des informations sensibles. Il y a cependant une différence fondamentale : dans le cas du phishing, la cible clique consciemment sur un lien qui la redirige vers un site frauduleux, tandis que les attaques de pharming utilisent un code malveillant qui redirige l’utilisateur de façon automatique, même lorsque celui-ci a tapé la bonne adresse.

Comment est-ce possible ? Le pharming est une technique particulièrement rusée, parce qu’elle s’appuie sur le fonctionnement même d’internet. Accrochez-vous, on va devoir parler un peu technique... Mais ne vous inquiétez pas, les éléments à comprendre pour garantir votre sécurité sont tout à fait accessibles !

Comment se protéger du pharming ?

Se protéger contre les attaques de pharming peut paraître très complexe à première vue, mais la bonne nouvelle, c’est que vous pouvez prendre certaines précautions pour améliorer votre sécurité. Votre première ligne de défense, c’est votre ordinateur. Vérifiez que vous êtes protégé par un antivirus, un logiciel anti-espion et que votre pare-feu est activé.

Voici des points supplémentaires pour vous protéger :

  • Vérifiez systématiquement que la connexion internet est sécurisée (HTTPS) grâce au petit cadenas affiché dans le navigateur Chrome. Les certificats SSL ne sont cependant que de simples indicateurs de confiance. En effet, le Anti-Phishing Working Group (groupe de travail anti-phishing) a récemment publié indiquant que fin 2019, 74 % des sites internet de phishing en utilisaient un.

  • Utilisez un VPN (Virtual Private Network) avec un DNS fiable.

  • Modifiez le mot de passe par défaut de votre routeur.

De manière générale, si un site internet vous semble « étrange », soyez prudent et ne l’ouvrez pas avant d’avoir procédé à une vérification. Les indices peuvent parfois être très subtils : fautes d’orthographe ou de grammaire, formatage étrange, tailles de police incohérentes, etc.

Pour garantir votre sécurité sur internet, choisissez des services pour lesquels la sécurité est également une priorité. Chez N26, nous avons mis en place plusieurs mesures préventives pour garantir la sécurité de votre compte, notamment la synchronisation de votre smartphone, l’identification sécurisée et une option permettant de configurer les paramètres de sécurité directement depuis l’application N26.

Qu’est-ce qu’un DNS (Domain Name System) ?

Avant de nous lancer dans l’explication des deux types d’attaques de pharming, penchons-nous rapidement sur le fonctionnement des navigateurs internet. Lorsque vous naviguez sur le web, vous saisissez un nom de domaine (par exemple « N26.com » ou « Facebook.com ») pour vous rendre sur le site. Cependant, l’emplacement réel du site internet est défini par son adresse de Protocole Internet, la fameuse adresse IP. Cette adresse est une sorte de traduction du nom de domaine en langage informatique.

Les navigateurs internet repèrent les sites à partir de leurs adresses IP et non pas de leurs noms de domaine. Imaginez maintenant que vous cherchiez à localiser un endroit où vous n’êtes encore jamais allé. Pour ce faire, vous pouvez vous servir du nom de la ville, du quartier, de l’adresse ou bien du code postal. Ces informations sont l’équivalent des noms de domaines. Si l’on filait cette métaphore, l’adresse IP correspondrait aux coordonnées géographiques précises de votre destination.

Pour traduire les innombrables noms de domaines en adresses IP, votre navigateur internet a besoin d’une sorte d’annuaire. Et c’est là que le système DNS (Domain Name System) entre en jeu ! Un serveur DNS traduit les noms de domaine en adresses IP. C’est lui qui indique l’emplacement précis de votre destination à votre navigateur internet, une fois que vous avez saisi le domaine.

Quel est le rôle du cache DNS ?

Une fois le domaine traduit en adresse IP, le navigateur trouve l’emplacement exact du site en contactant un serveur DNS en ligne. Pour accélérer le processus, les données sont stockées temporairement afin que votre ordinateur puisse accéder rapidement à l’emplacement du site internet. Plutôt que de contacter un serveur DNS externe, l’information est stockée sur votre ordinateur.

Ce processus de stockage est appelé « cache DNS », il s’agit de votre annuaire personnel, stocké directement sur votre appareil. Les navigateurs internet récents stockent automatiquement les informations dans un cache DNS. Cela permet de limiter les intermédiaires et donc d’accélérer la navigation. Malheureusement, certains criminels ont trouvé une manière d’utiliser ce système à leurs fins.

Les différents types d’attaques de pharming

Comprendre le fonctionnement d’internet permet d’expliquer comment les criminels parviennent à en tirer parti. Il existe deux types d’attaques de pharming : celles qui utilisent des logiciels malveillants et celles qui ciblent les serveurs DNS. Dans la première catégorie, les criminels utilisent le cache DNS dont ils modifient les paramètres pour influencer l’ordinateur directement. La seconde méthode est plus sophistiquée, car les criminels attaquent le serveur DNS en lui-même, sans intervenir sur les ordinateurs des internautes.

Les attaques de pharming basées sur un logiciel malveillant

Un logiciel malveillant (de l’anglais « malware ») est un code malveillant installé sur un ordinateur à partir d’un e-mail corrompu ou d’un téléchargement douteux. Dans le cas d’attaques de pharming basées sur un logiciel malveillant, les fraudeurs utilisent un code malveillant pour rediriger le navigateur de leur victime vers un faux site internet dont ils ont le contrôle. Il est particulièrement difficile d’échapper à cette technique, car l’internaute saisit une adresse URL correcte (voire, clique sur une adresse déjà ajoutée à ses favoris) avant d’être redirigé.

Le réacheminement est indétectable, car le logiciel malveillant a été installé sur l’ordinateur et modifie ses fichiers hosts locaux et son cache DNS. Ces fichiers hosts contiennent l’annuaire utilisé pour traduire les domaines en adresses IP. En modifiant ces informations, on peut faire en sorte qu’un nom de domaine légitime soit traduit en une adresse IP liée à un site internet frauduleux.

Pour compliquer encore les choses, le site frauduleux est souvent une copie du site d’origine. Non seulement vous entrez la bonne adresse URL, mais en plus, vous naviguez sur un site qui ressemble à celui sur lequel vous pensez être. L’ensemble des informations saisies sur le faux site sont directement transmises aux hackers qui les utilisent pour frauder ou usurper votre identité.

L’empoisonnement de cache DNS

Les attaques de pharming ciblant les serveurs DNS sont encore plus sophistiquées. Plutôt que d’attaquer des internautes isolés en infectant leurs ordinateurs, les criminels s’attaquent ici directement au serveur. Une fois corrompu, le serveur redirige les utilisateurs vers une fausse adresse IP, même lorsque leur ordinateur est parfaitement sain. Avec cette technique, les fichiers des internautes n’entrent pas en jeu, car c’est le serveur lui-même qui est « empoisonné » et redirige les internautes alors même qu’ils ont saisi la bonne adresse URL.

Ces attaques représentent une telle menace que les grandes entreprises dépensent des sommes colossales pour s’équiper de systèmes anti-pharming sophistiqués. Les risques encourus par les victimes (en raison des pertes financières subies par leurs clients ou encore du préjudice en matière de réputation) placent la cybersécurité parmi les des entreprises.


La sécurité chez N26

Au-delà des mesures que vous pouvez prendre vous-même pour vous protéger, vous vous demandez peut-être quelles sont celles que nous prenons pour garantir votre sécurité ? On vous explique tout dans la suite de cet article.

Le chiffrement de bout en bout (E2EE)

Chaque fois que nos clients interagissent avec nos services, plusieurs données effectuent des va-et-vient entre deux points de communication. Afin de garantir la sécurité du canal de communication et éviter l’interception d’informations sensibles par des tiers non autorisés, nous cryptons ces données grâce au protocole TLS (Transport Layer Security).

L’épinglage de certificat

Nous avons intégré un certificat approuvé à notre application web qui procède à la validation des demandes de connexion grâce à la mise en correspondance de certificats. Si une demande de connexion est effectuée et que le client (le navigateur internet) détecte un certificat ne correspondant pas, la demande de connexion est refusée, ce qui évite aux utilisateurs finaux de se connecter à des sites potentiellement malveillants.

Malheureusement, ce système ne protège pas les ordinateurs localement. Comme nous l’expliquions plus haut, les hackers ciblent parfois directement les utilisateurs. C’est la raison pour laquelle nous vous conseillons de vérifier l’absence de certificats non approuvés sur votre ordinateur. Si vous n’êtes pas sûr de savoir comment vous y prendre, demandez conseil à une personne plus expérimentée.

Quelles protections supplémentaires pour votre navigateur ?

Le protocole HSTS

Le HSTS (ou HTTP Strict Transport Security) est la toute dernière version du chiffrement SSL (Secure Socket Layer). Ce protocole sécurise les interactions entre navigateurs et sites internet.

Pourquoi est-il sécurisé ?

Le protocole HSTS contient des couches de chiffrement, notamment une liste de sites internet approuvés codée de manière irréversible : la liste précharge HSTS. Les navigateurs approuvés et répandus, tels que Google Chrome et Firefox, ont intégré un mécanisme HSTS activé par défaut, ce qui signifie que vous n’avez rien à faire pour bénéficier de cette protection supplémentaire.

Comment l’éligibilité est-elle déterminée et par qui ?

Les normes relatives au protocole HSTS sont définies par l’IEFT (Internet Engineering Task Force), une organisation ouverte intégralement gérée par des bénévoles et dont le travail est financé par des sponsors du monde entier. Pour pouvoir figurer sur la liste de précharge, les entreprises légitimes, telles que N26, doivent respecter un ensemble d’obligations strictes. Une fois ajoutés, les membres sont tenus de respecter les politiques mises en place par l’IETF, sans quoi ils sont retirés de la liste. Pour aller plus loin, cliquez.

Par N26

La banque qui s'adapte à votre quotidien.

Articles similaires

Ces articles pourraient vous intéresser