Quand les 'hackers' squattent les noms de domaines…

La responsabilité des ‘registrars’ en question?

L’éditeur britannique d’appliance de sécurité Finjan constate que les ‘hackers ‘ profitent de failles dans le système de gestion des noms de domaine pour piéger les internautes en les envoyant vers des sites Web infectés par du code malveillant.

« Les malfaiteurs exploitent ces problèmes « administratifs » pour contaminer un maximum d’utilisateurs et multiplier les risques d’infection, » estime l’éditeur.

Pour mener à bien ces arnaques, ils déposent auprès de ‘registrars’ plus ou moins attentifs, des noms de domaine dont l’adresse est proche de celle d’un site authentique.

Par exemple, windows.com va devenir vvindows (avec deux v) ou LCL.fr va devenir ICI.fr (avec deux i). Une fois référencée, cette page devient un danger pour les internautes. Les premières attaques utilisant cette technique ont été signalées par des webmasters et des fournisseurs d’accès. L’usurpation de site ne dure généralement pas plus d’une journée, ensuite l’URL est fermée.

Déjà début octobre 2007, Finjan publiait une alerte similaire. Les ingénieurs de son centre d’alerte MCRC pour Malicious Code Research Center se sont rendu compte qu’en cherchant des sites populaires sur les moteurs de recherche, ils pouvaient également visiter des liens frauduleux dont l’écriture était très proches d’adresses originales.

Généralement, ces faux sites installent sur le poste de la victime des chevaux de Troie ou Trojans qui servent de leviers à d’autres attaques plus sophistiquées. Ces dernières conduisent généralement à des vols d’informations personnelles.

La vigilance des ‘registrars’ doit être plus grande

En cherchant où étaient hébergés ces faux sites, les ingénieurs de Finjan ont été étonnés de constater qu’ils étaient chez des registars légitimes et qu’ils utilisaient des adresses IP « de confiance ». Une fois signalé aux détenteurs du site original, ces faux sites sont rapidement fermés par les autorités de régulation des noms de domaines mais le laps de temps écoulé a généralement permis la contamination de centaines de visiteurs.

Cette révélation d’un vide juridique dans le dépôt des noms de domaine, est véritablement inquiétante. Car pour Finjan cela souligne l’inadéquation entre le travail des forces de police d’un coté, et celui des autorités en place de l’autre…

Selon l’éditeur, il est impératif, pour offrir un Web plus sécurisé aux internautes, de mettre en place des politiques de dépôt de noms plus strictes.

« Les cybercriminels ne devraient pas pouvoir déposer les noms de domaine qu’ils veulent aussi facilement et y créer des sites « copycat », il y a un vide juridique quelque part », explique le groupe dans un communiqué.

Autre problème de cette activité, elle fait du blacklisting -une pratique courante en entreprises pour éviter que les employés ne visitent des sites potentiellement dangereux- une approche totalement inefficace et dépassée.

Les personnes en charge de la sécurité ne vont effectivement pas entrer toutes les variantes autour d’un nom de domaine pour garantir la sécurité d’un groupe.

Qui plus est, la vitesse d’action des ‘hackers’, qui peuvent répliquer un site en moins de cinq minutes pour les meilleurs, rend ces opérations de listing inopérantes. Pour ces raisons, Finjan, et une majorité des éditeurs de sécurité espèrent donc que les politiques de sécurité des registrars vont être renforcées.