Le vol d'identité numérique est sans conteste le grand champion des menaces s'étant développées ces dernières années. Les constatations sont éloquentes : l’APWG recense un doublement des sites de phishing entre mi 2005 et mi 2006, les malware dédiés au vol d’identité sont de plus en plus répandus de même que les sites qui hébergent ces programmes malicieux dixit Websense, Gartner compte les points et comptabilise les pertes américaines liées au phishing en 2006… L’estimation est de 2,8 milliards de dollars.
En effet, entre le vol d’identité numérique et la fraude en ligne, il n’y a qu’un pas - que les « pirates » ne se privent pas de faire. À une époque où les systèmes d’exploitation grand public n’ont jamais inclus autant de fonctionnalités sécurité, comment ce phénomène peut-il s’expliquer ' Par un manque de réactivité des éditeurs ' par le laxisme des utilisateurs ' par des erreurs d’implémentation dans les applications en ligne ou bien encore par une trop grande difficulté à lutter contre cette fraude invisible mais bien réelle '
Comme souvent, la réponse est nuancée. Tous les facteurs énoncés peuvent en effet tenir une part de responsabilité dans le développement du vol d’identités et du cyber-crime. Mais de fait, la faute n’est réellement imputable à personne.
Ainsi pour reprendre les points énoncés, jamais les éditeurs n’ont été aussi rapides à sortir leurs correctifs et à communiquer (même s’il reste encore du chemin pour certains). Les utilisateurs, quant à eux, essayent autant qu’il le peuvent de répondre au mieux aux problématiques de sécurité qui se posent à eux. Antivirus installé et pare-feu activé, ils se croient parés pour affronter Internet en toute sécurité. Au niveau des entreprises, les portails en ligne et plus particulièrement les portails bancaires s’équipent de moyens pour assurer l’authentification mutuelle entre le client et le site. Pour finir, même si la complexité du droit international et le manque de coopération de certains états rendent les investigations et les poursuites contre les réseaux de fraude particulièrement complexes, des initiatives existent néanmoins.
Les menaces liées au vol d’identité numérique sont nombreuses, tachons de détailler les principales :
Le phishing simple
Technique maintenant parfaitement connue, le phishing a acquis ses lettres de « noblesse » courant 2004. Le principe est simple : un site reproduit un contenu légitime (le plus souvent une institution financière) dans le but de capturer les identifiants du client. Pour faire en sorte que la victime parvienne sur le site contrefait, la technique la plus répandue consiste à diffuser massivement des mails via une campagne de spam. Ces mails utilisent une raison quelconque pour prétexter que l’utilisateur doit se connecter au plus tôt sur le portail de sa banque. Bien évidemment, un lien corrompu est proposé se présentant sous la forme de l’URL légitime de la banque mais menant réellement sur le site contrefait. Certains sites de phishing prennent grand soin à paraître légitime. Pour ce faire, des techniques de typosquatting sont utilisées. Plus traitres encore, des phishing simples peuvent utiliser des vulnérabilités de Cross Site Scripting (XSS) pour laisser croire à l’utilisateur qu’il se trouve sur le site de sa banque alors qu’il est en réalité sur une page affichée en superposition du site légitime. Lorsque le site en question met en place une identification du client en utilisant un couple login / mot de passe, le site de phishing n’a aucune difficulté à récupérer ces informations.
Le phishing en Man in the Middle
Voici une évolution particulièrement intéressante du phishing puisqu’elle met en place une rupture protocolaire pour parvenir à son objectif. Dans ce cas, la victime est redirigée sur un faux site qui se chargera de faire le mandataire entre elle et le portail bancaire. Les données qui sont alors transmises par la victime sont immédiatement re-transférées sur le site réel. Dans cette attaque, le contenu affiché est toujours légitime puisqu’il provient du vrai site. Le pirate aura alors la possibilité de reprendre l’initiative de l’échange dès lors que le client se sera authentifié ou qu’un cookie de session sans restriction aura été échangé. Le premier cas de phishing MITM est apparu courant 2006, réduisant à néant les efforts d’une banque dans l’implémentation d’une solution d’authentification à deux facteurs.
Le pharming
Entendons nous bien, pharming est un mot récent et à la mode, mais les concepts n’ont rien de nouveaux. Le pharming consiste à détourner une résolution de nom. Par ce biais, un utilisateur croyant se connecter sur un site avec l’URL www.site.com sera en réalité renvoyé vers un autre endroit. Cela peut s’opérer classiquement en deux endroits distincts : localement sur le poste d’une victime (on préférera alors parler de trojan redirecteur) ou sur un serveur DNS. C’est ce dernier cas qui va nous intéresser ici. En toute logique, les serveurs cibles du pharming sont des serveurs DNS à haute fréquentation comme un serveur DNS cache d’un fournisseur d’accès Internet. La plupart du temps, le pharming se concrétise par un empoisonnement du cache DNS. Cependant, cette technique est de moins en moins utilisable dans la mesure où seuls les vieux serveurs DNS sont vulnérables à cette attaque (due à une entropie trop faible dans la génération des identifiants des requêtes DNS). D’autres variantes existent permettant de jouer avec des effets de statistiques pour corrompre un cache DNS.
Le trojan
De plus en plus complexe, les trojan s’installent souvent via la consultation d’une page web malicieuse. Bien souvent, l’utilisateur n’y voit que du feu, et pourtant… Généralement, un premier trojan (appelé downloader) va être exécuté pour récupérer un ensemble d’autres composants qui seront activés dans la foulée. Ces composants vont venir s’installer au sein d’Internet Explorer (ce seront les Browser Helper Object) ou directement au cœur du système (ce seront alors des trojan résidents avec des fonctionnalités de rootkit). Les fonctionnalités de ces codes sont impressionnantes. Les plus simples se contentent de capturer les touches tapées lorsque l’utilisateur se situe sur un site web ciblé (portail bancaire dans plus de 90% des cas). Les plus complexes peuvent supprimer la fenêtre de présentation de danger SSL (via l’utilisation de hooking d’API), modifier les résolutions DNS (pharming local), capturer les formulaires émis (formgrabbing) même géolocaliser les victimes. Autant dire que l’utilisateur lambda ne peut pas grand-chose contre ces « merveilles » de sophistication.
Toutes ces techniques ne sont motivées que par un seul objectif : retirer du profit en accédant au compte bancaire d’une victime.
Plusieurs pistes de réflexion se dessinent lorsque l’on essaye de dresser le panorama des solutions permettant de répondre aux enjeux de sécurité. Ce dossier met en relation des propositions techniques et les protections couvertes par celles-ci. Le site dresse un panorama relativement exhaustif des briques logicielles pouvant être utilisées gratuitement. Au programme, on y retrouve des mesures permettant de détecter l’apparition d’un site de phishing, des moyens pour une utilisation simple de l’authentification deux facteurs via l’utilisation d’un second canal de communication, etc. Les équipes techniques y trouveront probablement des éléments d’inspiration et les RSSI pourront orienter leurs réflexions sur des solutions adaptées. Toutes les protections sont mesurées suivant la robustesse face aux menaces liées au vol d’identité numérique et la facilité que l’utilisateur en aura.
En effet, entre le vol d’identité numérique et la fraude en ligne, il n’y a qu’un pas - que les « pirates » ne se privent pas de faire. À une époque où les systèmes d’exploitation grand public n’ont jamais inclus autant de fonctionnalités sécurité, comment ce phénomène peut-il s’expliquer ' Par un manque de réactivité des éditeurs ' par le laxisme des utilisateurs ' par des erreurs d’implémentation dans les applications en ligne ou bien encore par une trop grande difficulté à lutter contre cette fraude invisible mais bien réelle '
Comme souvent, la réponse est nuancée. Tous les facteurs énoncés peuvent en effet tenir une part de responsabilité dans le développement du vol d’identités et du cyber-crime. Mais de fait, la faute n’est réellement imputable à personne.
Ainsi pour reprendre les points énoncés, jamais les éditeurs n’ont été aussi rapides à sortir leurs correctifs et à communiquer (même s’il reste encore du chemin pour certains). Les utilisateurs, quant à eux, essayent autant qu’il le peuvent de répondre au mieux aux problématiques de sécurité qui se posent à eux. Antivirus installé et pare-feu activé, ils se croient parés pour affronter Internet en toute sécurité. Au niveau des entreprises, les portails en ligne et plus particulièrement les portails bancaires s’équipent de moyens pour assurer l’authentification mutuelle entre le client et le site. Pour finir, même si la complexité du droit international et le manque de coopération de certains états rendent les investigations et les poursuites contre les réseaux de fraude particulièrement complexes, des initiatives existent néanmoins.
Les menaces liées au vol d’identité numérique sont nombreuses, tachons de détailler les principales :
Le phishing simple
Technique maintenant parfaitement connue, le phishing a acquis ses lettres de « noblesse » courant 2004. Le principe est simple : un site reproduit un contenu légitime (le plus souvent une institution financière) dans le but de capturer les identifiants du client. Pour faire en sorte que la victime parvienne sur le site contrefait, la technique la plus répandue consiste à diffuser massivement des mails via une campagne de spam. Ces mails utilisent une raison quelconque pour prétexter que l’utilisateur doit se connecter au plus tôt sur le portail de sa banque. Bien évidemment, un lien corrompu est proposé se présentant sous la forme de l’URL légitime de la banque mais menant réellement sur le site contrefait. Certains sites de phishing prennent grand soin à paraître légitime. Pour ce faire, des techniques de typosquatting sont utilisées. Plus traitres encore, des phishing simples peuvent utiliser des vulnérabilités de Cross Site Scripting (XSS) pour laisser croire à l’utilisateur qu’il se trouve sur le site de sa banque alors qu’il est en réalité sur une page affichée en superposition du site légitime. Lorsque le site en question met en place une identification du client en utilisant un couple login / mot de passe, le site de phishing n’a aucune difficulté à récupérer ces informations.
Le phishing en Man in the Middle
Voici une évolution particulièrement intéressante du phishing puisqu’elle met en place une rupture protocolaire pour parvenir à son objectif. Dans ce cas, la victime est redirigée sur un faux site qui se chargera de faire le mandataire entre elle et le portail bancaire. Les données qui sont alors transmises par la victime sont immédiatement re-transférées sur le site réel. Dans cette attaque, le contenu affiché est toujours légitime puisqu’il provient du vrai site. Le pirate aura alors la possibilité de reprendre l’initiative de l’échange dès lors que le client se sera authentifié ou qu’un cookie de session sans restriction aura été échangé. Le premier cas de phishing MITM est apparu courant 2006, réduisant à néant les efforts d’une banque dans l’implémentation d’une solution d’authentification à deux facteurs.
Le pharming
Entendons nous bien, pharming est un mot récent et à la mode, mais les concepts n’ont rien de nouveaux. Le pharming consiste à détourner une résolution de nom. Par ce biais, un utilisateur croyant se connecter sur un site avec l’URL www.site.com sera en réalité renvoyé vers un autre endroit. Cela peut s’opérer classiquement en deux endroits distincts : localement sur le poste d’une victime (on préférera alors parler de trojan redirecteur) ou sur un serveur DNS. C’est ce dernier cas qui va nous intéresser ici. En toute logique, les serveurs cibles du pharming sont des serveurs DNS à haute fréquentation comme un serveur DNS cache d’un fournisseur d’accès Internet. La plupart du temps, le pharming se concrétise par un empoisonnement du cache DNS. Cependant, cette technique est de moins en moins utilisable dans la mesure où seuls les vieux serveurs DNS sont vulnérables à cette attaque (due à une entropie trop faible dans la génération des identifiants des requêtes DNS). D’autres variantes existent permettant de jouer avec des effets de statistiques pour corrompre un cache DNS.
Le trojan
De plus en plus complexe, les trojan s’installent souvent via la consultation d’une page web malicieuse. Bien souvent, l’utilisateur n’y voit que du feu, et pourtant… Généralement, un premier trojan (appelé downloader) va être exécuté pour récupérer un ensemble d’autres composants qui seront activés dans la foulée. Ces composants vont venir s’installer au sein d’Internet Explorer (ce seront les Browser Helper Object) ou directement au cœur du système (ce seront alors des trojan résidents avec des fonctionnalités de rootkit). Les fonctionnalités de ces codes sont impressionnantes. Les plus simples se contentent de capturer les touches tapées lorsque l’utilisateur se situe sur un site web ciblé (portail bancaire dans plus de 90% des cas). Les plus complexes peuvent supprimer la fenêtre de présentation de danger SSL (via l’utilisation de hooking d’API), modifier les résolutions DNS (pharming local), capturer les formulaires émis (formgrabbing) même géolocaliser les victimes. Autant dire que l’utilisateur lambda ne peut pas grand-chose contre ces « merveilles » de sophistication.
Toutes ces techniques ne sont motivées que par un seul objectif : retirer du profit en accédant au compte bancaire d’une victime.
Plusieurs pistes de réflexion se dessinent lorsque l’on essaye de dresser le panorama des solutions permettant de répondre aux enjeux de sécurité. Ce dossier met en relation des propositions techniques et les protections couvertes par celles-ci. Le site dresse un panorama relativement exhaustif des briques logicielles pouvant être utilisées gratuitement. Au programme, on y retrouve des mesures permettant de détecter l’apparition d’un site de phishing, des moyens pour une utilisation simple de l’authentification deux facteurs via l’utilisation d’un second canal de communication, etc. Les équipes techniques y trouveront probablement des éléments d’inspiration et les RSSI pourront orienter leurs réflexions sur des solutions adaptées. Toutes les protections sont mesurées suivant la robustesse face aux menaces liées au vol d’identité numérique et la facilité que l’utilisateur en aura.
