Qu’est-ce que le pharming ? Définition, exemples et prévention

Vous ouvrez votre navigateur, saisissez soigneusement l'adresse web de votre banque et appuyez sur Entrée. La page est identique. Même logo. Même mise en page. Même formulaire de connexion. Vous entrez votre identifiant et votre mot de passe sans réfléchir. Plus tard, vous découvrez qu'il ne s'agissait pas de votre banque et que vos identifiants sont déjà entre de mauvaises mains.

C'est du pharming. Il s'agit d'une attaque qui redirige votre trafic internet avant même que la page ne se charge, vous envoyant discrètement vers un faux site conçu pour être identique au site légitime. Contrairement au phishing, qui tente de vous piéger en vous incitant à cliquer sur un lien suspect, le pharming ne repose pas sur une erreur manifeste. Vous pouvez saisir l'adresse correcte, éviter les courriels douteux, voire revérifier l'URL, et vous retrouver malgré tout au mauvais endroit sans vous en rendre compte.

Comprendre le fonctionnement du pharming permet de repérer plus facilement les signes avant-coureurs subtils et de prendre des mesures pour protéger vos informations avant qu'elles ne soient divulguées.

Qu’est-ce que le pharming ?

Le pharming est une cyberattaque qui redirige les utilisateurs de sites web légitimes vers des répliques frauduleuses sans nécessiter d'intervention de leur part, une fois l'infrastructure initialement compromise. Ce terme combine « phishing » et « farming », illustrant la manière dont les attaquants collectent en masse des identifiants et des données sensibles. Plutôt que de tromper les individus un par un, le pharming permet aux attaquants de capturer simultanément les informations de nombreux utilisateurs en manipulant les systèmes qui gèrent le trafic web.

Lorsque vous saisissez une adresse web comme « mybank.com », votre appareil ne connaît pas directement l'emplacement de ce site web sur Internet. Il interroge un serveur DNS (Domain Name System) pour traduire le nom de domaine en une adresse IP numérique qui localise le serveur. Le pharming pervertit ce processus de traduction en substituant des adresses IP contrôlées par un attaquant à des adresses IP légitimes.

Les utilisateurs accèdent aux sites frauduleux par leur navigation habituelle, et non par des liens ou des avertissements suspects. Sans une vérification minutieuse des certificats de sécurité et des détails subtils de l'URL, il n'y a souvent aucun signe visuel d'anomalie.

Comment fonctionne le pharming

Le pharming exploite le processus de résolution DNS qui sous-tend chaque visite de site web, que ce soit au niveau de l'infrastructure ou sur les appareils individuels.

Chaque site web est associé à une adresse IP numérique (par exemple 203.0.113.42) qui identifie l'emplacement de son serveur. Les serveurs DNS gèrent des bases de données qui traduisent les noms de domaine (mybank.com) en adresses IP. Lorsque vous saisissez une adresse, votre navigateur interroge le DNS, reçoit l'adresse IP correspondante et se connecte au serveur.

Les attaques de pharming corrompent ce processus à deux niveaux : soit au niveau des serveurs DNS qui desservent de nombreux utilisateurs, soit au niveau des fichiers hôtes sur les appareils individuels qui effectuent des traductions locales avant de consulter les serveurs DNS.

Pourquoi les faux sites web semblent légitimes

Les sites de pharming sont conçus pour tromper. Les attaquants créent des répliques qui copient le code HTML, CSS, les images et les fonctionnalités des sites légitimes. Ils utilisent les mêmes couleurs, mises en page et éléments graphiques. Les formulaires de connexion acceptent les identifiants et redirigent parfois même les utilisateurs vers le site authentique après avoir capturé leurs informations, de sorte que les victimes ne se rendent compte de rien.

Types d'attaques de pharming

Les attaques de pharming se répartissent en deux grandes catégories selon l'endroit où se produit la corruption DNS et le nombre d'utilisateurs touchés.

pharming basé sur le DNS

Les attaques basées sur le DNS ciblent l'infrastructure partagée qui dessert de nombreux utilisateurs, ce qui en fait une catégorie plus dangereuse en termes d'échelle.

Empoisonnement du cache DNS

Des attaquants exploitent des failles de sécurité dans les logiciels de serveurs DNS pour injecter de faux enregistrements dans les caches de ces serveurs. Une fois en cache, la fausse traduction persiste jusqu'à l'expiration du cache ou sa suppression manuelle, ce qui peut affecter tous les utilisateurs de ce serveur DNS pendant des heures, voire des jours.

Ce type d'attaque est connu depuis les années 1990, mais des vulnérabilités dans l'infrastructure DNS continuent d'être découvertes. La faille Kaminsky de 2008 a révélé des faiblesses fondamentales du DNS, permettant l'empoisonnement du cache à grande échelle et entraînant une mise à jour urgente des correctifs à l'échelle de l'industrie. Des vulnérabilités similaires ont été découvertes depuis.

Détournement DNS au niveau du registrar

Les attaquants qui obtiennent l'accès aux bureaux d'enregistrement de noms de domaine (les entreprises qui gèrent les enregistrements de noms de domaine) peuvent modifier les enregistrements DNS officiels des domaines légitimes, en redirigeant mybank.com vers des serveurs contrôlés par l'attaquant au niveau faisant autorité plutôt que de simplement empoisonner les caches.

Cette attaque est plus difficile à exécuter, mais elle affecte tous les utilisateurs du monde entier, et pas seulement ceux qui utilisent un serveur DNS spécifique. Des cas de détournement de domaine très médiatisés ont déjà entraîné le détournement du trafic de grandes organisations avant d'être détectés et rétablis.

Redirection au niveau du FAI

Les fournisseurs d'accès Internet compromis ou les FAI malveillants peuvent rediriger les requêtes DNS de manière transparente, affectant tous les clients sans toucher aux appareils individuels ni aux serveurs DNS externes.

pharming basé sur les fichiers hôtes

Les attaques par fichier hôte ciblent des appareils individuels plutôt que l'infrastructure partagée, ce qui limite leur ampleur mais les rend accessibles à des attaquants moins sophistiqués.

Modification par un logiciel malveillant

Les virus, chevaux de Troie et autres logiciels malveillants qui infectent les ordinateurs intègrent souvent une fonctionnalité permettant de modifier le fichier hosts. Une fois modifié, le périphérique infecté redirige systématiquement les domaines ciblés vers des sites contrôlés par l'attaquant, indépendamment des réponses des serveurs DNS.

installation d'ingénierie sociale

Les utilisateurs peuvent être amenés à exécuter des scripts ou des logiciels modifiant directement leur fichier hosts, notamment via des pièces jointes à des courriels, de faux téléchargements de logiciels ou des infections de sites web par téléchargement furtif. Contrairement à l'empoisonnement DNS, qui nécessite un accès au serveur, les attaques par modification du fichier hosts peuvent être perpétrées par quiconque capable d'inciter un utilisateur à exécuter du code malveillant.

Signes courants d'une attaque de pharming

Le pharming est conçu pour être invisible, mais certains signes avant-coureurs indiquent que vous avez peut-être été redirigé vers un site frauduleux.

Problèmes liés au site web et aux certificats de sécurité :

• Pas de HTTPS ou certificat invalide : Le navigateur affiche un avertissement du type « Votre connexion n'est pas privée », l'icône de cadenas est absente ou une erreur s'affiche. Les sites de pharming échouent fréquemment à la validation des certificats.
• Certificat délivré à une entité erronée : Cliquez sur le cadenas et examinez le certificat ; il doit être délivré à l’organisation dont vous visitez le site, et non à une entité inconnue.
• HTTP au lieu de HTTPS : Les sites légitimes de banque, de finance et de gestion de comptes utilisent toujours le protocole HTTPS ; le protocole HTTP non chiffré est un signe d’alerte sérieux sur les sites sensibles.

Irrégularités d'URL :

• Différences subtiles de domaine que vous n'avez pas remarquées en tapant : mybank-secure.com au lieu de mybank.com
• Numéros de port inattendus dans la barre d'adresse (mybank.com:8080)
• Adresses IP dans l'URL au lieu des noms de domaine

Anomalies comportementales :

• Des sites familiers semblent soudainement légèrement différents : modifications de la mise en page, changements de logo, éléments manquants
• Pages de connexion qui ne correspondent pas à ce dont vous vous souvenez
• Demandes d'informations que le site ne demande normalement jamais (questions de sécurité sur une page qui n'en pose généralement pas)
• Les pages se chargent anormalement lentement ou se comportent de manière inattendue.

Problèmes survenant après la connexion :

• On me demande de me reconnecter immédiatement après avoir saisi mes identifiants.
• Activité inhabituelle sur le compte ou transactions non autorisées après la visite d'un site
• Notifications de changement de mot de passe que vous n'avez pas initiées

Panneaux d'avertissement techniques :

• Les logiciels antivirus signalent les modifications DNS ou les modifications du fichier host.
• Avertissements du navigateur concernant des erreurs de certificat sur des sites précédemment considérés comme fiables
• Outils de sécurité réseau détectant les anomalies DNS

Risques et conséquences du pharming

Les attaques de pharming réussies causent des dommages graves et souvent durables sur les plans financier, de la vie privée et organisationnel.

Vol financier

Le vol d'identifiants bancaires par pharming permet un accès direct aux comptes. Les pirates se connectent aux comptes compromis, initient des virements, vident les comptes d'épargne et effectuent des achats avant même que les victimes ne se rendent compte de la fraude. Il est souvent difficile de se remettre d'une fraude financière résultant du pharming, notamment lorsqu'il s'agit de virements internationaux.

Les informations de cartes de paiement capturées sur de faux sites de commerce électronique permettent des achats frauduleux et le clonage de cartes, ce qui continue de générer des pertes jusqu'à ce que les cartes soient annulées et remplacées.

Vol d'identifiants et prise de contrôle de compte

Les identifiants de connexion volés restent rarement limités à un seul compte. Nombreux sont ceux qui réutilisent leurs mots de passe sur plusieurs services ; ainsi, un mot de passe bancaire volé peut également donner accès à la messagerie, au stockage cloud, aux réseaux sociaux, etc. Dès lors, les pirates peuvent déclencher des réinitialisations de mot de passe et progresser d'un compte à l'autre, transformant une simple compromission en une prise de contrôle bien plus importante.

Vol d'identité

Les informations personnelles obtenues par pharming, telles que les noms, adresses, numéros de sécurité sociale et dates de naissance, peuvent servir à commettre un vol d'identité. Une fois divulguées, ces données peuvent permettre aux criminels d'ouvrir des comptes frauduleux, de déposer de fausses déclarations de revenus ou d'utiliser abusivement le crédit au nom de la victime. Les dommages financiers peuvent mettre des années à être détectés et entièrement réparés.

Impacts sur les entreprises et les organisations

Les organisations victimes de pharming subissent des perturbations opérationnelles, une exposition des données clients et des conséquences réglementaires. Un détournement DNS réussi affectant le propre domaine d'une entreprise peut rediriger tous les clients vers des sites frauduleux, ébranlant la confiance même si l'entreprise elle-même n'a pas été compromise. La récupération nécessite un délai de propagation DNS, ce qui laisse les utilisateurs dans l'incertitude quant à la légitimité des sites.

Atteinte à la réputation à long terme

Les entreprises dont les clients ont été victimes de pharming, même lorsque les attaquants et non l'entreprise en sont responsables, subissent des conséquences en termes de réputation. La confiance des clients est difficile à rétablir après des incidents de sécurité, en particulier ceux qui affectent des données financières ou personnelles.

Courrier électronique Le pharming et le détournement de fichiers sont souvent utilisés ensemble : les courriels d’hameçonnage dirigent les utilisateurs vers des URL compromises par le pharming, combinant ainsi les mécanismes de diffusion pour un impact maximal.

Comment se protéger du pharming

La protection contre le pharming nécessite des précautions techniques, des habitudes comportementales et des pratiques de sécurité organisationnelles.

Utilisez des services DNS sécurisés

Les serveurs DNS standard fournis par les FAI offrent une sécurité minimale. Opter pour des fournisseurs DNS axés sur la sécurité, qui mettent en œuvre les extensions de sécurité DNS (DNSSEC) et utilisent des protocoles DNS chiffrés, réduit le risque d'empoisonnement. DNSSEC signe numériquement les enregistrements DNS, ce qui complique considérablement l'injection de fausses entrées par des attaquants.

Vérifiez les certificats HTTPS avant de saisir vos identifiants.

Avant de vous connecter à un site sensible, comme un site bancaire, de messagerie ou de services financiers, vérifiez le certificat HTTPS :

• Vérifiez que l'icône de cadenas est présente et qu'aucun avertissement ne s'affiche.
• Cliquez sur le cadenas et vérifiez que le certificat est délivré à l'organisation appropriée.
• Vérifiez que le certificat est valide et non expiré.

Ne jamais saisir ses identifiants de connexion sur des pages affichant des erreurs de certificat, même si le site semble correct.

Maintenez vos appareils et logiciels à jour.

Les correctifs de sécurité pour les systèmes d'exploitation, les navigateurs et les logiciels antivirus corrigent les vulnérabilités connues exploitées par les logiciels malveillants de type « pharming » pour modifier les fichiers hôtes ou intercepter les requêtes DNS. L'activation des mises à jour automatiques garantit l'application rapide des correctifs sans nécessiter de surveillance manuelle.

Utilisez un logiciel antivirus et anti-malware réputé

Les logiciels de sécurité détectent les modifications du fichier host, les changements DNS suspects et les logiciels malveillants permettant les attaques de pharming ciblant l'hôte. La protection en temps réel, qui surveille les modifications du système, les détecte dès leur apparition, avant même que des dommages ne soient causés.

Activer l'authentification à deux facteurs (2FA)

Même si le pharming permet de récupérer vos identifiants de connexion, l'authentification à deux facteurs (2FA) empêche les attaquants d'accéder aux comptes sans ce second facteur de vérification. Les mots de passe à usage unique basés sur le temps (TOTP) et les clés de sécurité matérielles sont particulièrement efficaces car ils ne peuvent pas être réutilisés par des attaquants ayant récupéré des identifiants sur un site de pharming.

Surveiller les paramètres DNS du routeur

Les routeurs domestiques sont une cible fréquente des attaques de pharming. Des logiciels malveillants ou des attaquants ayant compromis les identifiants d'administrateur du routeur peuvent modifier les paramètres DNS afin de rediriger tout le trafic réseau du foyer. Vérifiez régulièrement la configuration DNS de votre routeur pour vous assurer qu'elle pointe vers votre fournisseur DNS habituel et non vers des serveurs contrôlés par des attaquants.

Pratiquez une vérification d'URL prudente

Vérifiez attentivement les URL avant de saisir vos identifiants, surtout après avoir cliqué sur un lien, quelle que soit sa provenance. Soyez vigilant face aux variations subtiles du domaine, assurez-vous d'utiliser le protocole HTTPS et vérifiez le certificat avant de vous connecter.

Mettre en œuvre l'authentification par courriel

Configuration correcte des enregistrements SPF DMARC contribue à prévenir les attaques par courriel souvent associées aux campagnes de pharming, réduisant ainsi le nombre de courriels d'hameçonnage redirigeant les utilisateurs vers des sites compromis. La protection conjointe des infrastructures de messagerie et web permet de neutraliser les vecteurs d'attaque combinés les plus fréquemment utilisés par les attaquants.

Maintenir listes d'emails propres réduit l'exposition organisationnelle de emails rejetés et des contacts invalides que les attaquants peuvent exploiter lors de reconnaissances préalables au lancement de campagnes de pharming ciblées.

Récapitulation

Le pharming redirige les utilisateurs de sites web légitimes vers des répliques frauduleuses en corrompant les systèmes DNS ou en manipulant les fichiers hosts de leurs appareils, sans nécessiter de lien suspect ni de tromperie manifeste. Les utilisateurs saisissant des adresses correctes peuvent ainsi se retrouver sur des sites contrefaits parfaitement identiques et perdre leurs identifiants, leurs données financières et leurs informations personnelles sans même s'en apercevoir.

La protection nécessite plusieurs niveaux : des services DNS sécurisés qui mettent en œuvre DNSSEC, une vérification rigoureuse du certificat HTTPS avant la saisie des identifiants, des appareils et des logiciels de sécurité à jour, une authentification à deux facteurs qui reste valide même lorsque les mots de passe sont capturés et une sécurité du routeur qui empêche la modification DNS au niveau du réseau.

Modifiez dès aujourd'hui les paramètres DNS de votre appareil et de votre routeur pour un fournisseur axé sur la sécurité qui prend en charge DNSSEC et les requêtes DNS chiffrées. Activez ensuite l'authentification à deux facteurs pour tous vos comptes financiers, de messagerie et sensibles, afin d'empêcher les pirates de mener à bien leurs actions, même avec des identifiants volés.

Maintenez une sécurité renforcée pour votre messagerie électronique, en plus de la sécurité web. Utilisez DéBounce Pour maintenir la qualité de vos listes de diffusion et la fiabilité de votre infrastructure d'envoi, et ainsi réduire les risques d'hameçonnage et de spam souvent associés aux campagnes de pharming, il est essentiel de disposer d'un environnement de messagerie sécurisé qui atteint uniquement les destinataires vérifiés. Cette approche fait partie intégrante de la stratégie de sécurité qui protège contre les attaques web telles que le pharming.