2023-02-17 08:47 Temps de lecture : 13 min
Sécurité & Confidentialité

Comment se protéger d'une attaque de pharming

Le pharming, une forme d'escroquerie numérique élaborée, piège les utilisateurs sans nécessiter d'erreur de leur part. Analysons ce mécanisme et découvrons comment se prémunir contre de telles attaques.

Imaginez-vous accéder à votre compte bancaire en ligne via une adresse web authentique, et constater, peu après, la disparition de vos économies.

Voilà un scénario typique d'une attaque de pharming.

Le terme "pharming" est une contraction de "phishing" (hameçonnage) et d'agriculture 🚜.

Pour faire simple, le phishing requiert que l'utilisateur clique sur un lien douteux (l'erreur en question), ce qui entraîne le téléchargement de logiciels malveillants et des pertes financières. Il peut aussi s'agir d'un courriel prétendument envoyé par votre "PDG", vous demandant un virement "urgent" vers un "fournisseur", une escroquerie particulière connue sous le nom de "fraude au président".

En résumé, le phishing nécessite une action de votre part, contrairement aux attaques de pharming, qui se déroulent souvent à votre insu.

Qu'est-ce qu'une attaque de pharming?

Nous sommes habitués aux noms de domaine (tels que exemple.fr), tandis que les machines utilisent les adresses IP (par exemple, 192.168.1.1).

Lorsque nous saisissons une adresse web (nom de domaine), cette requête est envoyée aux serveurs DNS (l'annuaire d'Internet), qui la traduisent en l'adresse IP correspondante.

Par conséquent, les noms de domaine ne sont qu'une façade pour les sites web réels.

Par exemple, si un serveur DNS a associé un nom de domaine à une adresse IP falsifiée hébergeant une copie d'un site web, c'est cette version que vous verrez, même si l'URL que vous avez saisie est correcte.

L'utilisateur, pensant se trouver sur un site légitime, transmet alors sans méfiance ses données personnelles : numéros de carte, codes d'identification, identifiants de connexion, etc.

C'est ce qui rend les attaques de pharming particulièrement dangereuses.

Elles sont très bien conçues, fonctionnent discrètement, et l'utilisateur ne se rend compte de rien jusqu'à ce qu'il reçoive des notifications de transactions bancaires ou que ses informations personnelles soient vendues sur le dark web.

Examinons en détail leur mode opératoire.

Comment fonctionne une attaque de pharming?

Ces attaques peuvent être orchestrées à deux niveaux : au niveau de l'utilisateur ou au niveau du serveur DNS.

#1. Pharming au niveau de l'utilisateur

Cette méthode ressemble au phishing. Vous cliquez sur un lien suspect, qui télécharge un logiciel malveillant. Ce logiciel modifie ensuite le fichier hôte (c'est-à-dire les enregistrements DNS locaux), redirigeant l'utilisateur vers une copie malveillante d'un site web.

Un fichier hôte est un fichier texte qui stocke localement des enregistrements DNS, permettant des connexions plus rapides avec moins de latence.

Les administrateurs web utilisent généralement le fichier hôte pour tester des sites web avant de modifier les enregistrements DNS auprès du registraire de domaine.

Cependant, des logiciels malveillants peuvent introduire de fausses entrées dans le fichier hôte de votre ordinateur. Ainsi, même la saisie d'une adresse web correcte vous mènera vers un site frauduleux.

#2. Pharming au niveau du serveur

Ce qui peut arriver à un seul utilisateur peut également être étendu à l'ensemble d'un serveur.

C'est ce qu'on appelle l'empoisonnement DNS ou l'usurpation de DNS, ou encore le détournement de DNS. Comme cette attaque se produit au niveau du serveur, des centaines, voire des milliers de personnes peuvent en être victimes.

Les serveurs DNS ciblés sont généralement plus difficiles à pirater, ce qui rend l'opération risquée. Mais en cas de réussite, les gains pour les cybercriminels sont exponentiels.

Le pharming au niveau du serveur peut se faire par piratage physique des serveurs DNS ou par attaque de type "homme du milieu" (MITM).

L'attaque MITM consiste en une manipulation logicielle entre un utilisateur et le serveur DNS, ou entre des serveurs DNS et des serveurs de noms DNS faisant autorité.

De plus, un pirate peut altérer les paramètres DNS de votre routeur Wi-Fi, ce qui est appelé le positionnement DNS local.

Attaques de pharming avérées

Une attaque de pharming au niveau de l'utilisateur passe souvent inaperçue et est rarement signalée. Même lorsqu'elle est détectée, elle est rarement médiatisée.

De plus, la sophistication des attaques au niveau du serveur les rend difficiles à identifier, à moins que les cybercriminels ne dérobent des sommes importantes, affectant ainsi de nombreuses personnes.

Examinons quelques cas concrets pour voir comment ces attaques ont été menées.

#1. Curve Finance

Curve Finance, une plateforme d'échange de crypto-monnaies, a été victime d'une attaque d'empoisonnement DNS le 9 août 2022.

Nous avons un bref rapport de @iwantmyname sur ce qui s’est passé. En bref : empoisonnement du cache DNS, pas compromis du serveur de noms.https://t.co/PI1zR96M1Z

Personne sur le web n’est à 100% à l’abri de ces attaques. Ce qui s’est passé suggère FORTEMENT de commencer à passer à ENS au lieu de DNS

– Curve Finance (@CurveFinance) 10 août 2022

En réalité, c'est iwantmyname, le fournisseur DNS de Curve, qui a été compromis, redirigeant ses utilisateurs vers un site web frauduleux et causant des pertes de plus de 550 000 $.

#2. MyEtherWallet

Le 24 avril 2018 a été une journée noire pour certains utilisateurs de MyEtherWallet, un portefeuille Ethereum (une crypto-monnaie) gratuit et open-source doté de protocoles de sécurité renforcés.

Malgré ses atouts, l'incident a laissé un goût amer, avec un vol estimé à 17 millions de dollars.

Techniquement, le détournement BGP a été opéré sur le service DNS Amazon Route 53, utilisé par MyEtherWallet, redirigeant certains de ses utilisateurs vers une réplique de phishing. Ces utilisateurs ont saisi leurs identifiants de connexion, ce qui a permis aux criminels d'accéder à leurs portefeuilles de crypto-monnaie, entraînant des pertes financières considérables.

Une erreur commise par les utilisateurs a été d'ignorer l'avertissement SSL du navigateur.

Voici une déclaration officielle de MyEtherWallet concernant l'escroquerie.

#3. Grandes banques

En 2007, des clients d'une cinquantaine de banques ont été la cible d'attaques de pharming, entraînant des pertes dont le montant exact n'a pas été révélé.

Cette compromission DNS classique a redirigé les utilisateurs vers des sites web malveillants même lorsqu'ils avaient saisi les adresses URL officielles.

Tout a commencé par des victimes qui ont visité un site web malveillant et qui ont téléchargé un cheval de Troie, exploitant une vulnérabilité Windows (qui a depuis été corrigée).

Par la suite, ce virus incitait les utilisateurs à désactiver leur antivirus et leur pare-feu.

Les utilisateurs étaient alors redirigés vers des copies de sites web d'institutions financières majeures en Amérique du Nord, en Europe et en Asie-Pacifique. D'autres incidents de ce type ont eu lieu, suivant un schéma similaire.

Signes d'une attaque de pharming

Le pharming peut donner à l'agresseur le contrôle total de vos comptes en ligne, qu'il s'agisse de votre profil Facebook ou de votre compte bancaire en ligne.

Si vous êtes victime d'une telle attaque, vous remarquerez des activités inhabituelles. Cela peut être une publication, une transaction, ou même une modification de votre photo de profil.

Si vous constatez des actions que vous ne vous souvenez pas avoir effectuées, il est temps de réagir.

Se protéger du pharming

Il existe différentes méthodes de protection en fonction du type d'attaque (niveau utilisateur ou serveur).

Comme le pharming au niveau du serveur n'est pas l'objet de cet article, nous nous concentrerons sur ce que vous pouvez faire en tant qu'utilisateur.

#1. Utiliser un antivirus performant

Un bon antivirus est essentiel. Il vous protège contre les liens malveillants, les téléchargements frauduleux et les sites web usurpés. Bien qu'il existe des antivirus gratuits, les versions payantes sont généralement plus efficaces.

#2. Configurer un mot de passe de routeur robuste

Les routeurs Wi-Fi peuvent servir de mini-serveurs DNS. Il est donc crucial de les sécuriser en remplaçant le mot de passe par défaut fourni par le fabricant.

#3. Choisir un FAI de confiance

Pour la plupart d'entre nous, les fournisseurs d'accès à Internet servent également de serveurs DNS. Mon expérience montre que le DNS d'un FAI offre un léger gain de vitesse par rapport aux DNS publics et gratuits, comme Google Public DNS. Cependant, il est essentiel de choisir un FAI performant, non seulement pour sa vitesse, mais aussi pour la sécurité globale qu'il offre.

#4. Utiliser un serveur DNS personnalisé

Basculer vers un autre serveur DNS n'est ni compliqué, ni rare. Vous pouvez opter pour les DNS publics gratuits d'OpenDNS, Cloudflare, Google, etc. Cependant, gardez à l'esprit que votre fournisseur DNS a accès à votre activité en ligne. Il est donc important de choisir avec soin à qui vous confiez ces informations.

#5. Utiliser un VPN avec un DNS privé

L'utilisation d'un VPN ajoute plusieurs niveaux de sécurité, y compris un DNS personnalisé. Il vous protège non seulement contre les cybercriminels, mais aussi contre la surveillance de votre FAI et des gouvernements. Assurez-vous cependant que votre VPN propose des serveurs DNS chiffrés pour une protection optimale.

#6. Adopter une bonne hygiène numérique

Cliquer sur des liens suspects ou des publicités trop belles pour être vraies est l'un des principaux moyens de devenir victime d'une escroquerie. Bien qu'un bon antivirus vous alerte, aucun outil de cybersécurité n'est infaillible. La responsabilité de votre protection vous incombe donc en premier lieu.

Par exemple, copiez et collez tout lien suspect dans un moteur de recherche pour identifier sa source. De même, assurez-vous de la présence du protocole HTTPS (symbolisé par un cadenas dans la barre d'adresse) avant de faire confiance à un site web.

De plus, vider régulièrement votre cache DNS est une bonne pratique.

Soyez vigilant!

Les attaques de pharming sont insidieuses et difficiles à détecter. La cause principale de ces attaques réside dans les faiblesses intrinsèques du DNS, qui ne sont pas entièrement résolues.

Par conséquent, la protection ne dépend pas toujours de vous. Néanmoins, les mesures mentionnées précédemment sont efficaces, notamment l'utilisation d'un VPN avec un DNS chiffré comme ProtonVPN.

Bien que le pharming soit basé sur le DNS, les escroqueries peuvent également exploiter le Bluetooth. Apprenez-en plus sur le bluesnarfing et découvrez comment vous en protéger.

Auteur
Sophie Lefèvre
France

Rédacteur tech, guides pratiques et astuces numériques.

Articles similaires
2025-10-15
Bhoutan : l'identité numérique migre vers Ethereum pour plus de sécurité
L'ambitieux projet d'identité numérique du Bhoutan, conçu pour offrir aux citoyens un moyen d'interaction numérique sécurisé et privé,...
2025-10-04
US Army : des failles de sécurité critiques pour la communication NGC2
L'ambitieux projet de l'armée américaine visant à moderniser son infrastructure de communication sur le champ de bataille, un élément...
2025-10-03
Décès sur Stardust Racers : questions sur la sécurité des attractions à sensations fortes
La mort tragique d'un jeune homme après une attraction au parc à thème Epic Universe d'Universal Orlando a soulevé de sérieuses questions...
2025-09-27
SkinsLuck CS2 : sécurité, transparence et jeu équitable pour les skins
Le paysage numérique du commerce d'actifs virtuels évolue rapidement, les plateformes offrant désormais des moyens sophistiqués aux joueurs...
Article précédent
5 effets de survol CSS élégants pour votre site Web [2023]
Article suivant
8 outils d'intégration de données les plus fiables pour votre organisation