Depuis un ou deux mois, les boites à lettres e-mail françaises sont envahies de spam parfaitement traduits, rédigés dans un vocabulaire châtié, dénué de fautes d'orthographes... en d'autres termes, passés entre des mains expertes et non plus par la moulinette d'un traducteur automatique.

Ce même genre d'adaptation au marché francophone semble se constater du côté des attaques en phishing. Tant que les balbutiements de la technique de détournement ne concernaient que les clients de Bank of America, peu de francophones se sentaient concernés. Mais aujourd'hui, non seulement le phishing se met à la VF, mais en plus il utilise des techniques de plus en plus complexes et indétectables.

A commencer par le coup de la « double Iframe ». La « fausse page bancaire » est à moitié constituée d'une portion du véritable site financier, qui émet son propre certificat et fait apparaître le rassurant cadenas fermé dans la barre d'outil du navigateur. La seconde partie de la page, celle qui est émise par le site pirate, est également signée par un certificat, pour précisément éviter l'apparition d'un message du genre « vous quittez un espace sécurisé... » etc. C'est là du développement de « pro », du travail prouvant que les escrocs du Net se tiennent au courant des dernières avancées en matière de lutte contre la fraude informatique.

Autre technique, celle du DNS qui gigote : on connaissait les attaques en DNS pharming, qui consistait à détourner une requête DNS (par pollution de la cache ou autre approche) pour ensuite aiguiller l'usager vers le site de phishing sans qu'il s'en aperçoive. L'url demandée est bel et bien affichée... le numéro IP, en revanche, n'appartient plus franchement au Crédit Lyonnais mais à une machine située en Chine ou en Russie. Encore plus fort, les « phishers » installent ces DNS pirates sur des machines de particuliers compromises, et enchaînées à un Botnet. Botnet qui, on s'en doute, héberge également les serveurs bidon utilisés dans le cadre de l'attaque en phishing. Le faux DNS assure donc l'aiguillage des victimes sur le serveur falsifié.

Mais ce n'est pas tout. Le dernier perfectionnement à la mode consiste à dupliquer, sur ledit botnet, le serveur Web d'attaque afin de le déplacer le plus rapidement possible d'un point du globe à un autre. Il suffit, pour se faire, de modifier l'enregistrement du domaine dans la table du DNS. Des techniques qui font l'objet d'un article détaillé de la part du Sans Institue. Le fin du fin consiste ensuite, comme l'explique Dailydave, à combiner toutes ces astuces et faire tourner et les DNS, et les sites de phishing au sein du bootnet. Bien malin et rapide celui qui parvient à attraper la balle au bond.

Encore un petit dernier pour le root ?Selon Elizabeth Millard de NewsFactor, les attaques en phishing s'accompagnent de plus en plus d'outils connexes, notamment des keyloggers. Lesquels récupèrent les informations intéressantes à l'insu de la victime, sans nécessiter le recours à de déjà vieilles techniques reposant sur l'ouverture d'e-mails. A force de s'entendre répéter que « un banquier ne demande jamais de numéro de carte de crédit par courrier électronique », l'internaute finit par le comprendre, et ne tombe plus aussi facilement dans les pièges grossiers d'autrefois. Et tout çà fait évoluer les techniques de détournement. A ce rythme-là, le prochain conseil risque fort d'être « un banquier demande toujours à ses sociétaires de ne jamais utiliser d'ordinateur personnel ».

Netcraft diffuse gratuitement une barre d'outil pour Internet Explorer, laquelle indique où se situe géographiquement le site sur lequel on croit se rendre. Les sites déjà connus et répertoriés comme étant notoirement des web « pirates » sont automatiquement bloqués, grâce à une blacklist maintenue par l'éditeur.

. Web-profils.com, la place de marché du conseil et de l'ingénierie