La société Netcraft, fournisseur de services Internet aux entreprises,
avertit les responsables informatiques de sites Internet des
risques croissants de fraude en ligne par des appels à distance
à des applications tierces, méthode aussi appelée Cross Site
Scripting ou XSS. Citant quatre exemples récents d'attaques
sur les sites financiers dont Suntrust, Visa, Mastercard et
Citizens, Netcraft met en garde contre l'utilisation d'applications
Web appelant du code Javascript.
En effet, sur des sites transactionnels, des hackers introduisent
leur propre code Javascript et remplacent ainsi le système
d'authentification d'une banque sur sa page officielle. Dans
le cas de la Citizens Bank, le Cross Site Scripting ouvrait
une fenêtre présentant un formulaire d'authentification de
la société Telecom Italia sur l'une des pages de la banque.
Pour l'utilisateur, l'URL du site correspondait bien à celle
de la banque mais en réalité une partie, codée en hexadécimal,
appelait un fichier Javascript city.js.
C'est
ce fichier qui affichait un faux formulaire pourtant issu
d'une page Web officielle et récoltait les données saisies
pour les envoyer par la suite à un serveur distant. Le Cross
Site Scripting est une technique bien connue de fraude mais
son utilisation restait jusqu'à présent majoritairement appliquée
aux spammeurs qui relayaient ainsi des liens frauduleux par
l'envoi de mails massifs. Désormais, les pirates s'attaquent
directement aux serveurs Web des institutions financières
pour mieux tromper la vigilance de l'internaute.
Moins ciblée mais également en vogue, les attaques dites
de DNS cache poisonning, qui trompent cette fois les routeurs du
net pour rediriger les internautes vers d'autres sites que
l'URL qu'ils ont saisie. Le centre de sécurité américain ISC
(Internet Storm Center) a émis une alerte vendredi 4 mars
suite à des failles dans le cache DNS de pare-feu Symantec.
L'Internet Storm Center précise d'ailleurs que des sites comme
google.com, ebay.com et weather.com ont été victimes de ce
type d'attaque.
D'anciennes
failles toujours au goût du jour. |
Dernier risque de phishing, l'exploitation de noms de domaine
internationaux (IDN) en Unicode/UTF8. Cette technique, découverte
en 2001, n'avait alors pas fait beaucoup parler d'elle. A
l'époque, aucun navigateur ne supportait ce standard, ce qui
n'est plus le cas aujourd'hui pour la totalité des navigateurs
Web, à l'exception d'Internet Explorer. En falsifiant l'interprétation
d'une URL Unicode, un pirate peut rediriger une adresse Web
vers n'importe quel autre serveur. Par exemple pour l'adresse
http://www.paypal.com, le navigateur du client redirige vers
http://www.pаypal.com/.
En janvier, l'Anti-Phishing Working Group (APWG) a recensé
13 000 mails de phishing et plus de 2 500 sites Web frauduleux.
Par rapport au mois d'octobre 2004, dernier record en
la matière, les chiffres ont plus que doublé (1 186 mails
alors détectés). Les Etats-Unis demeurent le pays le plus
concerné par l'hébergement de sites frauduleux (32%), devant
la Chine (13%) et la Corée (10%). La durée de vie moyenne
d'un site d'arnaque reste inférieur à une semaine.
|