Découverte d’un kit universel d’attaques par phishing

En surveillant des forums « underground », la cellule Anti-Fraudes de RSA (la division sécurité du groupe EMC) a découvert que les pirates s’échangeaient des kits facilitant le phishing, ces attaques servant à piéger l’internaute sur de sites-leurres qui ressemble comme deux gouttes d’eau à un service Web authentique. Objectif : lui dérober ses identifiants (login et mot de passe) et les réutiliser de manière frauduleuse.

Les experts de RSA affirment avoir téléchargé et testé une démonstration gratuite de ce kit. Selon leur descriptif, le logiciel est particulièrement ergonomique, il aide à créer une URL frauduleuse qui s’intercalera dans la communication entre la victime et le site légitime.

Car, à la différence des attaques par phishing pratiquées jusqu’ici, l’utilisateur communiquera vraiment avec le site voulu. Bien sûr, pour le forcer à visiter l’URL piégée, un e-mail trompeur lui aura été préalablement envoyé.

Pendant la communication, les données saisies seront transmises à cette URL piégée, enregistrées en temps réel et de manière transparente par le pirate, avant d’être relayées vers le site légitime comme si de rien n’était. Pendant toute l’opération, le site affiché sur le poste de l’utilisateur sera le vrai, « importé » par le serveur pirate.

C’est ce que les spécialistes de la sécurité informatique appellent une attaque « man in the middle » (« l’homme au milieu »). Ce type d’attaques est connu depuis longtemps mais, pour ce qui semble être la première fois, elles sont combinées à des attaques par phishing. Deux gros avantages à la clef pour les pirates.

Tout d’abord, le kit est universel, c’est-à-dire qu’il n’est pas nécessaire de concevoir une attaque spécifique à chaque site ciblé, une simple reconfiguration suffit. Ensuite, contrairement aux attaques par phishing traditionnelles conçues pour récupérer certaines données bien précises, l’universalité du kit permet d’enregistrer ici toutes les informations qui transitent entre l’internaute et le site victime.

Quelques règles de prudence

RSA profite bien sûr de l’occasion pour mettre en avant sa Cellule Anti-Fraudes qui effectue une surveillance permanente du réseau des réseaux avec détections et blocages des attaques. Une communauté de 150 clients, sous la bannière eFraudNetwork, cherche à réduire proactivement les risques en mutualisant les informations. La société affirme avoir déjà fait fermer ainsi plusieurs sites pirates.

Face à cette nouvelle variante de menace, il existe aussi une contre-mesure simple : il ne faut jamais cliquer sur un lien reçu dans un courriel ou dans une messagerie instantanée, mais plutôt saisir soi-même manuellement dans son navigateur les adresses des sites Web que l’on souhaite visiter.