Monday 8 March 2010
Audio Podcast  Web 2.0 and Social Networks in the Enterprise

Sunday 7 March 2010
Article  Digital Economy Bill raises privacy concerns

Wednesday 3 March 2010
Article  Cloud security threats identified by CSA

Tuesday 2 March 2010
In Brief  Vote for your CSO Interchange topics

Thursday 25 February 2010
Article  Cloud Computing : a simple question of supplier risk

Monday 22 February 2010
Article  Most dangerous coding errors outed

Monday 22 February 2010
In Brief  Microsoft IE users to get browser choice update

Friday 19 February 2010
Article  Google Buzz fail highlights privacy expectation rise

Thursday 18 February 2010
In Brief  Annual hacking challenge aims for mobiles and browsers

Wednesday 17 February 2010
Audio Podcast  The Challenges of Cross Border eID

Monday 15 February 2010
Audio Podcast  The Readiness of eID in Europe Part 2

Sunday 14 February 2010
Audio Podcast  The Readiness of eID in Europe Part 1

Thursday 11 February 2010
Article  Concern at DDoS sophistication rise

Monday 8 February 2010
Article  Voice encryption standard takes a beating

Friday 5 February 2010
Article  Military importance of cyber recognised

Written by Jerome Saiz (SecurityVibes)
Published on Sunday 31 July 2005
0 comment(s) | Subnetwork France

Le phishing par redirection est une technique peu médiatisée mais diablement efficace. Elle a déjà frappé des sites bien connus tels que ceux de Visa, Mastercard et plusieurs grandes banques américaines. En février dernier, le site de vente aux enchère eBay en était victime à son tour. Aujourd'hui, la société Netcraft révèle que eBay a de nouveau fait l'objet d'une telle attaque, cette fois-ci sur l'une de ses pages de login. Netcraft n'indique cependant pas la date de cette nouvelle attaque et eBay demeure particulièrement discret à ce sujet. Contrairement aux phishing traditionnels, un phishing par redirection n'a pas besoin de tenter de maquiller un lien piégé : le lien fourni dans l'email pointe réellement sur le site officiel ! C'est cette particularité qui en fait une attaque vraiment sournoise : même un internaute vigilant pourra s'y laisser prendre car le lien qu'il aura reçu sera tout à fait légitime. Par exemple, lors de l'attaque du mois de février, le lien piégé pointait vers http://cgi4.ebay.com, et lors de la dernière attaque en date vers l'adresse signin.ebay.com. Il s'agit là réellement de deux sous-domaines officiels d'eBay. S'il arrête là son examen du lien, l'internaute tombera certainement dans le panneau. Car l'attaque n'a pas lieu au niveau du domaine, mais à peine plus loin dans le lien, juste après la partie "officielle" du nom. Elle exploite pour cela une faute imputable au site web officiel. Observez par exemple le lien complet fourni par les pirates au cours de l'attaque de février : http://cgi4.ebay.com/ws/eBayISAPI.dll ?MfcISAPICommand=RedirectToDomain&DomainUrl=http[etc...] L'adresse d'eBay permet de rediriger l'internaute vers n'importe quel site, y compris en dehors du domaine ebay.com. C'est cette faille qui est systématiquement exploitée dans le cadre d'un phishing par redirection. En renvoyant l'internaute vers une copie parfaite du site officiel après qu'il y soit effectivement passé, le pirate peut facilement tromper même un internaute vigilant. Après tout, s'il a été dirigé vers le site légitime en cliquant sur un lien après avoir pris la peine de le vérifier, il n'a pas de raison de penser que ce site officiel le redirigera ensuite vers une copie pirate. La dernière attaque en date exploite ce principe sur la page même de login d'eBay. Ainsi le pirate laisse les utilisateurs s'authentifier une première fois naturellement sur le site officiel, mais dès que la procédure est terminée, ils sont immédiatement redirigés vers une copie pirate. Là, il leur est demandé toutes sortes d'informations personnelles qu'ils donneront d'autant plus volontiers qu'ils viennent de s'authentifier sur le vrai site d'eBay et pensent toujours y être. Contrairement à une attaque traditionnelle par phishing, qui n'exploite que l'ignorance des internautes, celle par redirection repose sur une faille des sites visés. Jusqu'à présent, ces derniers ne considéraient pas les redirections comme pouvant occasionner un problème de sécurité car elles ne menacent pas leur intégrité. Cette conception est entrain de changer, mais hélas pas assez rapidement. De nombreux sites demeurent vulnérables (note aux webmasters : si vous utilisez des redirections ouvertes, pensez à coder "en dur" une règle qui limite ces dernières à votre seul domaine). Pour les internautes, la seule protection contre ce type d'attaque est de ne jamais cliquer sur un lien reçu par email mais plutôt de toujours entrer directement l'adresse du site dans une nouvelle fenêtre du navigateur. C'est de toute façon une très bonne habitude à prendre !