Qu’est-ce que le pharming ?

Signification et définition du pharming

Pharming est une cyberattaque avancée qui redirige silencieusement les utilisateurs des sites Web légitimes vers des sites frauduleux afin de collecter des informations sensibles. Les attaquants utiliseront des techniques malveillantes telles que le phishing pour compromettre l’ordinateur de la victime. Le code exécuté à partir de cet e-mail de phishing compromettra l’ordinateur ou le routeur de la victime et redirigera son trafic Web vers le site Web usurpé de l’attaquant. L’objectif de ce site Web est de collecter autant d’informations sensibles que possible, telles que les identifiants de connexion et les données financières. 

Fonctionnement du pharming

Les pharming attaques se produisent lorsque des cybercriminels manipulent le système de noms de domaine (DNS) ou compromettent l’appareil d’un utilisateur pour le rediriger vers un site Web frauduleux. DNS est un système qui traduit les noms de domaine (comme www.example.com) en adresses IP afin que les navigateurs puissent charger le bon site Web. Dans une attaque de pharming, les attaquants corrompent ce processus pour rediriger les utilisateurs vers des sites Web malveillants qui imitent ceux légitimes. 

Les pharming attaques se présentent généralement sous deux formes  : 

Pharming local  

Les attaquants infectent l’appareil d’un utilisateur avec un malware qui modifie les paramètres DNS locaux. En modifiant le fichier hôte sur l’appareil, l’attaquant peut réacheminer l’utilisateur vers des sites Web frauduleux, même s’il saisit la bonne URL. 

Pharming basé sur DNS  

Les attaquants cibleront eux-mêmes les serveurs DNS afin de pouvoir rediriger le trafic de milliers d’utilisateurs vers des sites Web malveillants sans compromettre directement leurs appareils individuels. 

La nature fluide des attaques de pharming les rend particulièrement dangereuses, car les utilisateurs n’ont souvent aucune idée qu’ils ont été redirigés vers un site frauduleux. Ces faux sites Web sont conçus pour ressembler à des sites légitimes, incitant les utilisateurs à saisir des informations sensibles, qui sont ensuite volées par les attaquants. 

Pharming vs phishing

Pharming est souvent confondue avec le phishing, mais les deux types de cyberattaques sont fondamentalement différents. Alors que le phishing s’appuie sur l’ingénierie sociale pour inciter les utilisateurs à fournir des informations personnelles par le biais d’e-mails, de messages ou de sites Web trompeurs, le pharming redirige silencieusement les utilisateurs vers des sites frauduleux sans nécessiter d’interaction directe. 

Dans une attaque de phishing, un utilisateur peut recevoir un e-mail prétendant provenir de sa banque, l’invitant à cliquer sur un lien et à saisir ses identifiants de connexion. En revanche, le pharming n’exige pas que les utilisateurs prennent de telles mesures. Ils peuvent saisir correctement l’URL de leur banque, mais être toujours redirigés vers un site frauduleux qui semble identique à la véritable. Cela rend le pharming difficile à détecter, car les victimes ignorent souvent qu’elles ont été compromises. 

Exemples concrets d’attaques de Pharming

Plusieurs attaques de pharming de premier plan ont démontré les risques importants que ce type de cyberattaque pose  : 

Le pharming attack de 2007 sur Pharming.org  

Les attaquants ont ciblé un grand groupe d’internautes en empoisonnant un serveur DNS majeur. Des milliers d’utilisateurs ont été redirigés vers de faux sites Web bancaires, où leurs identifiants ont été volés. L’attaque a révélé des faiblesses dans la sécurité DNS, ce qui a suscité un examen plus approfondi des vulnérabilités DNS. 

Attaque DNS Pharming 2015 au Brésil  

Les attaquants ont compromis les routeurs des utilisateurs à domicile au Brésil, les redirigeant vers de fausses versions de sites Web bancaires populaires. Cette attaque a ciblé les paramètres DNS du routeur, ce qui a conduit à un nombre important de victimes qui ont, sans le savoir, remis des identifiants bancaires aux attaquants. 

Pharming basé sur DNS en 2019  

Les attaquants ont ciblé les petites entreprises en empoisonnant les serveurs DNS publics. Les employés se connectant aux sites Web et aux portails de messagerie de l’entreprise ont été redirigés vers des versions frauduleuses de ces sites, ce qui a permis aux attaquants de voler des identifiants de connexion et des informations commerciales sensibles. Cette attaque a mis en évidence les dommages potentiels que le pharming basé sur DNS peut causer aux entreprises de toutes tailles. 

Signes d’une attaque de Pharming 

  • Reconnaître les signes d’une attaque de pharming peut être difficile, mais vous pouvez surveiller plusieurs signaux d’alarme  : 

Redirections inhabituelles  

Si vous saisissez une URL que vous connaissez, mais que vous finissez par être redirigé vers un site différent, cela peut être le signe d’une attaque de pharming. 

URL modifiées  

Les sites Web du pharming imiteront ceux légitimes, mais les attaquants apporteront souvent de légères modifications à l’URL, comme l’ajout de caractères supplémentaires, ou ils pourraient même mal écrire un mot. 

Certificats HTTPS ou SSL manquants  

Les sites Web légitimes, en particulier ceux qui traitent des données sensibles telles que des informations bancaires, utilisent des connexions HTTPS. Si vous remarquez qu’un site Web familier manque soudainement de HTTPS ou d’icône de cadenas, vous pourriez être sur un site frauduleux. 

Fenêtres contextuelles ou invites étranges 

Certains sites de pharming peuvent afficher des fenêtres contextuelles ou des invites inhabituelles demandant des informations personnelles que le site légitime ne demanderait pas. 

Rester attentif à ces signes peut vous aider à éviter d’être victime d’une attaque de pharming. 

Les risques du pharming

Vol d’identité  

En volant des informations sensibles telles que les identifiants de connexion, les numéros de carte de crédit ou les numéros de sécurité sociale, les attaquants peuvent commettre une usurpation d’identité et d’autres formes de fraude. 

Fraude financière  

Les pharming attaques ciblent souvent les sites Web bancaires ou les portails de paiement en ligne, ce qui permet aux attaquants de siphonner les fonds des comptes des victimes sans détection. 

Violations de données 

Pour les entreprises, les attaques de pharming peuvent entraîner des violations de données généralisées, exposant les informations des clients, les secrets d’entreprise ou d’autres données sensibles. 

Dommages à la réputation 

Les entreprises victimes d’attaques de pharming peuvent subir de graves dommages à leur réputation, en particulier si les données des clients sont compromises. Cela peut entraîner une perte de confiance, une action en justice et des pertes financières importantes. 

  • Pharming présente plusieurs risques graves, tant pour les particuliers que pour les entreprises  : 

Prévention des pharming attaques

  • Heureusement, les individus et les organisations peuvent prendre plusieurs mesures pour se protéger contre les attaques de pharming  : 

Mettre à jour les logiciels antivirus et antimalware 

La mise à jour régulière du logiciel de sécurité peut aider à détecter et à supprimer les malware qui peuvent modifier les paramètres DNS pour permettre une attaque de pharming. 

Utiliser les services DNS sécurisés  

S’appuyer sur des services DNS fiables et sécurisés qui offrent des extensions de sécurité DNSSEC (DNS Security Extensions) peut empêcher les modifications non autorisées des enregistrements DNS, bloquant ainsi les tentatives de pharming au niveau DNS. 

Activer l’authentification à deux facteurs (2FA) 

La 2FA ajoute une couche de protection supplémentaire aux comptes en ligne, ce qui rend plus difficile pour les attaquants d’accéder à des informations sensibles, même s’ils ont volé des identifiants de connexion. 

Vérifier les certificats SSL  

Assurez-vous toujours que les sites Web qui traitent des données sensibles disposent de certificats SSL valides (recherchez « HTTPS » dans l’URL et le symbole du cadenas). Cela garantit une connexion sécurisée et chiffrée entre votre appareil et le site Web. 

Surveiller régulièrement l’activité du réseau 

Les entreprises doivent mettre en œuvre des outils de surveillance du réseau pour détecter les modifications DNS inhabituelles ou les redirections qui pourraient indiquer une attaque de pharming. 

Le rôle des solutions de cybersécurité

  • Les solutions de cybersécurité avancées jouent un rôle essentiel dans la prévention des attaques de pharming  : 

Filtrage DNS 

Les outils de filtrage DNS bloquent l’accès aux sites Web malveillants connus en analysant les requêtes DNS en temps réel. Cela peut empêcher les utilisateurs d’être redirigés vers des sites frauduleux, même si les paramètres DNS ont été falsifiés. 

Pare-feu

Un système de pare-feu robuste peut surveiller et contrôler le trafic entrant et sortant d’un réseau, en stoppant les attaques de phishing avant qu’elles n’atteignent les utilisateurs. 

Outils de protection des endpoints 

Ces outils offrent une protection complète aux appareils individuels en identifiant et en atténuant les menaces telles que les malware qui pourraient être utilisées pour modifier les paramètres DNS locaux ciblés pour les attaques de Pharming.

Adopter un modèle de sécurité Zero Trust  

Lorsqu’aucun utilisateur ou appareil n’est approuvé par défaut, cela peut également aider à minimiser les risques de pharming. En vérifiant continuellement l’identité des utilisateurs et des appareils, les modèles Zero Trust garantissent que seules les connexions légitimes sont autorisées à accéder aux ressources réseau. 

Recherches associées

Articles associés