eBay

Introduction

-----------------

Netcraft, un site spécialsé dans la sécurité Internet vient de révéler une attaque par hameçonnage très sophistiquée qui visait en l'occurence les clients allemands d'eBAY

http://news.netcraft.com/archives/2015/09/23/ebay-phishing-sites-hosted-by-ebay.html

Description du processus frauduleux

-----------------------------------------------------

Sur un hameçonnage classique la supercherie est en général facilement levée. Sans parler des mails rédigés dans un français approximatif, le nom de domaine ne correspond simplement pas aux noms de domaines utlisées par le site. Si vous utilisez Firefox et que vous avez installé l'extension Flagfox vous verrez immédiatement la localisation plus que douteuse du serveur en Russie, Chine ou Afrique... mais ça ne veut pas dire qu'il ne peut pas y avoir de fishing sur des serveurs hébergés en France, mais c'est beaucoup moins probable car les administrateur et FAI sont tenus de coopérer à toute requête judiciaire.

Dans le cas qui nous intéresse ici, on a affaire à des profesionnels russes qui d'ailleurs s'expriment parfaitement en Français lorsqu'il s'agit d'alpaguer une victime sur un site externe à ebay, donc rien à voir avec les mails au français bidon. Visiblement les pirates sont parvenus à pénétrer dans les serveurs d'ebay non pas pour voler directement les identifants ce qui est en fait difficile sachant de plus que ces identifants sont chiffrés mais de façon plus subtile et indirecte en parvenant à faire héberger la page "hameçon" frauduleuse sur les propres infrastructures d'ebay à son insu.

Dans l'exemple donné, c'est le domaine ebaydesc.com qui héberge certaines descriptions de produits qui est utlisé. Il va s'en dire que l'histoire du drapeau Firefox ne marchera plus puisqu'il s'agit d'un domaine "légal" qui s'affichera donc sous pavillon américain, impossible à savoir.

La victime saisit son identifiant et son mot de passe, un script "java" dissimulé intercepte ces données et les envoie sur un serveur en Russie. De façon très très furtive on pourra alors voir ce nom domaine dans la barre d'adresse avec un drapeau qui change de couleur mais pour dissimuler tout cela un renvoie est aussitôt fait sur la page de connection officielle d'ebay ici :

https://signin.ebay.de/

Le seul point troublant sera que la page de connexion va renvoyer le message d'erreur mot de passe ou identifiant incorrect mais il est clair que tout le monde n'y verra que du feu. Impossible de bien  visionner le renvoi au site Russe, le lien ne s'affichera que de façon trop furtive, de plus l'utlisateur se sentira sécurisé par le fait que l'on se trouve bien sur une page officelle d'ebay qui n'est plus la page hameçon.

Solutions

--------------

Il va s'en dire qu'il faut donc redoubler de vigilance et la leçon peut servir pour n'importe quel autre site sensible, et en fait aucun serveur WEB dans le monde ne résiste vraiment à une pénétration effectuée par des bandes organisées qui utlisent des milliers d'ordinateurs zombies (c'est à dire des PC de monsieur tout le monde infestés par un spyware et qui va servir à son insu à réaliser des attaques), donc même votre banque en ligne est victime au quotidien

Les adminstrateurs alternent les techniques. Ils peuvent utliser des leurres. Au lieu de combattre à tout prix les agresseurs ils créent des environnement et données fictives. Ainsi le pirate peut croire avoir mis la main sur quelque chose de précieux et il s'en va, mais il s'agit en réalité de fausses données, mais on voit que ce jeu peut aussi se révéler dangereux si cela permet comme ici au pirate de domicilier illégalement une page hameçon.

1) Ne jamais se connecter à ebay ou paypal en ayant suivi un lien, que ce dernier vous ait été fourni par mail ou de façon plus insidieuse par Google à l'occasion d'une recherche globale sur le net qui vous renverrait sur une page de descriptif d'un produit alléchant. La seule exception c'est le suivi ou la copie du lien suite à une demande de réinitialisation du mot de passe ou à une opération critique sur le compte.

2) La procédure sécurisée de connexion est d'enregistrer dans vos Favoris ou marque pages l'adresse du lien de connection :

https://signin.ebay.fr

Par la suite vous vous connectez systématiquement à votre compte en appelant le marque page. Puis vous revalidez votre recherche à travers les outils de recherche ebay pour vérifier que vous retrouvez bien l'objet en question.

Faire une recherche sur mon ourson Google et rien ne vous garantira que vous ne tomberez pas à un jour sur une page de connexion contrefaite, la vigilance d'un utlisateur ne peut jamais être de tous les instants, il y a toujours des moments où le plus paranoïaque baissera sa garde. D'autre part taper dans la barre d'adresse et vous vous exposez à ces fichus assistants de frappe qui peuvent parfois corriger bizarrement et à votre insu le nom de domaine que vous avez tapé (pour cela je désactive quand je peux cette  fonctionnalité).

3) Utlisez Keepass un gestionnaire de mot de passe et connexion indépendant, gartuit et opensource,  son code est donc connu de tout le monde depuis plus de 15 ans. 

Si vous utlisez un gestionnaire de mot de passe comme Keepass vous pouvez enregistrer l'URL dans la base. Par la suite vous pouvez demander à Keepass d'ouvir la page de connexion pour vous et dans la foulée vous engagez la saisie assistée.

L'avantage ?

Les pirates peuvent via des spywares ou scripts java modifier à votre insu vos marque pages pour les faire pointer vers des sites hameçon. Keepass étant totalement indépendant du navigateur il est insensible aux scripts Java, sa base est chiffrée en AES256, la même norme utlisée par les banques. Je déconseille formellement les gestionnaires de mot de passe intégrés au navigateur qu'il faut abosulment désactiver, et je vous déconseille aussi les gestionnaire tiers décentralisés comme Dashlane et LastPass. Ces derniers n'ont pas mauvaise réputation, mais le fait de confier des données sensibles à un tiers c'est en soi un risque suppémentaire pris qui me parait inutile.

KeePass est plus difficle à maitriser, il faut bien lire sa documentation pour maitriser son paramétrage,  mais c'est lui qui est le plus sûr de tous. Il possède un mécanisme optionnel de saisie en double ofuscation pour tenter de déjouer les spywares Keylogger et scanneur de mémoire. Il efface automatiquement le presse papier au bout d'un délai que vous pouvez définir. Si vous y tenez vraiment, il possède des plugins pour pouvoir synchroniser la base en "cloud" sur GoogleDrive, Dropbox, MS Onedrive... 

Pour les utlisateurs avancés

-----------------------------------------

L'installation d'une extension gestionnaire de script Java type "noscript" sous Firefox est un indispensable car il peut neutraliser les scripts java sur tout domaine non spéciquement autorisé. Or le Javascriot ça touche aussi bien le monde Windows, que Linux, BSD et Mac OS inclu. Ceci étant dans le cas présent le gestionnaire de script n'aurait servi à rien car l'autorisation était de toutes les façon nécessaire pour faire fonctionner les pages régulères d'ebaydesc.com.

Dans Windows, dans les options Internet il y avait (et je pense qu'il y a toujours) le possiblité de définir les zones géographiques d'Internet autorisées ou interdites. Si vous ne fréquentez presque jamais les sites Russes, les sites certains pays de l'EST , de l'Afrique vous pouvez très bien établir un banissement ce qui ici vous protègerait ici contre le hameçonnage en question. Mais attention, toutes les adresses IP russes ne sont pas malhonnetes, il y a déjà le fournisseur d'infrastructures réseaux Yandex qui véhicule aussi bien du contenu légal qu'illégal pour le compte de clients internationaux, donc pas forcément russes, qui peuvent être des entreprises exemptes de tout reproche

Eventuellement vous pouvez créer plusieurs comptes Windows dédiés à des tâches particulières. Un compte très restrictif pour faire vos achats, gérer votre compte ebay. Un compte plus "open" plus orienté loisir, mais sur lequel vous vous interdisez d'effectuer des opérations sensibles. Pour ceux qui disposent de PC puissants vous pouvez installer une machine virtuelle dans laquelle vous installerez Linux (ou un autre Windows) grâce à VirtualBox. La machine virtuelle sera vue comme une machine totalement indépendante, il sera techiniqement difficle pour le pirate de sortir de la machine virtuelle pour compromettre la machine hôte.