Hijacking

Le hijacking (qu’on pourrait traduire par « détournement ») consiste à vouloir reprendre, par des voies non autorisées, un certain élément issu de l'environnement internet. Outre le détournement d'URL, on compte aussi celui du nom de domaine, de DNS, de navigateur, de TCP, de session et bien d'autres.

Hijacking de navigateur

Le détournement de navigateur (browser hijacking) commence par un petit logiciel sur l'ordinateur, donc d'un programme qui passe inaperçu à cause de sa taille. Ce programme écrase les fonctions par défaut du navigateur Web, sans autorisation et à l'insu de l'utilisateur. Éliminer ce logiciel requiert le plus souvent beaucoup d'efforts.

Fonctionnements possibles

  • La page d'accueil du navigateur concerné est écrasée. L'utilisateur est alors redirigé automatiquement vers la page Web du pirate lorsqu'il démarre son navigateur.
  • Dans un moteur de recherche, le classement régulier ne s'affiche pas ; il est plutôt détourné vers une page du moteur de recherche du pirate. Le pirate gagne de l'argent sur cette page grâce à la publicité diffusée.
  • En essayant de consulter la page d'une certaine boutique, on consulte sans s'en rendre compte une page qui appartient à un annonceur du pirate.

Prévention

Afin de pouvoir installer un logiciel approprié sur un ordinateur, le feu vert du propriétaire est toujours nécessaire. Ceci est par exemple accordé inconsciemment lorsque l'on clique sur le bouton « ok » des fenêtres contextuelles. Ces fenêtres peuvent aussi contenir de faux avertissements de sécurité qu'un utilisateur rejette en cliquant intuitivement sur ok. En guise de prévention, il faut toujours contrôler brièvement de quoi parle une fenêtre contextuelle. En cas de doute, il ne faut jamais cliquer sur ok.

Élimination

Pour se débarrasser à nouveau ce genre de programmes, il y a des outils tels que SpyBot, Hijack This ou Cool Web Shredder.

Hijacking du nom de domaine

Le détournement de nom de domaine consiste à enregistrer un nom de domaine sans l'avis du légitime propriétaire. C'est une forme agressive et illicite du vol de domaine. Le plus souvent, une usurpation d'identité favorise une manipulation de l'enregistrement de domaine. Le pirate adopte l'identité du propriétaire légitime et modifie les informations d'enregistrement afin de réécrire le domaine à son nom et, ainsi, de se l'approprier. Certains administrateurs de registre agissent vite lorsqu'ils constatent ce genre de supercherie. Toutefois, il arrive aussi qu'une action ne soit entreprise qu'après qu'une nouvelle modification ait été imposée par la loi. Dans certains de ces cas, le pirate détient le contrôle sur le domaine. Très souvent, les victimes n'ont ni la volonté ni les moyens financiers pour lancer des procès longs et fastidieux qui leur ramèneraient le domaine volé. Le simple fait que les pirates agissent depuis l'étranger est déjà dissuasif en soi. Entre-temps, le pirate contrôle entièrement le domaine et peut librement disposer du contenu ou de la redirection par les codes de statut HTTP.

Prévention

Pour beaucoup d'enregistrements de domaine, il est possible de travailler avec un code d'authentification spécial dont seul le propriétaire connaît la clé. Cela permet ainsi de se protéger contre des accès non autorisés.

Différence avec la reprise illicite des domaines obsolètes

Le détournement d'un nom de domaine ne doit pas être confondu avec la reprise des domaines obsolètes ou expirés. Dans le deuxième cas, on exploite la valeur des domaines expirés. Peu de temps après l'expiration d'un domaine ou après sa suppression, il existe toujours des backlinks, le PageRank et le Trust. Tout cela valorise le domaine concerné, car cela veut dire que la page connaît toujours un grand trafic. Aussi longtemps que les moteurs de recherche n'ont pas l'information que la page a un nouveau contenu, son nouveau propriétaire en profite. Mais au fil du temps, une pareille page perd de sa valeur. Ces domaines expirés peuvent être acquis légalement.

Hijacking de contenu

Dans le détournement de contenu, d'autres pages Web font passer le contenu pour le leur. D'une part, cela se fait par le contenu dupliqué qui est pourtant enregistré par les moteurs de recherche. D'autre part, le contenu existant est, par exemple, intégré sous forme réduite dans la propre page - méthode partiellement automatisée. Ce vol de contenu peut entraîner que la page ayant le contenu original perde en PageRank et en même temps que la page ayant le contenu dérobé apparaisse bien haut dans les moteurs de recherche. Cette dernière obtient ainsi plus de trafic et peut être rentable par exemple par la publicité en ligne.

Hijacking de DNS

Dans le détournement de DNS, un agresseur apparaît comme l'homme du milieu entre le client DNS et le serveur DNS. Dans cette position, il peut intercepter, lire et même manipuler tous les messages.

Hijacking d'URL

Le détournement d'URL consiste à supprimer par erreur une page des résultats d'un moteur de recherche et de la remplacer par une page qui renvoie à elle.

Hijacking réseau

Le détournement réseau concerne la reprise d'un serveur peu sécurisé qui fait partie d'un Intranet, d'un réseau local sans fil (Wifi) ou de réseaux similaires. Souvent, le véritable titulaire du serveur est exclu.

Hijacking d'erreurs typographiques

Ici, les erreurs de frappe des personnes qui recherchent sont exploitées. Les versions mal orthographiées et très fréquentes de pages Web connues sont employées pour diriger les utilisateurs correspondants vers une page. De cette manière, on profite de la notoriété de la page.

Hijacking du moteur de recherche

Le détournement du moteur de recherche peut survenir dans des navigateurs qui proposent leur propre champ pour des moteurs de recherche, lequel permet la consultation du site Web correspondant. Par le passé, il est arrivé que le moteur de recherche déjà configuré soit modifié en un autre de manière inaperçue sur keyword.URL. En réaction à cela, Mozilla a entrepris à la fin de 2012 des modifications sur les versions 19 et 20 du navigateur Mozilla Firefox. L'utilisateur doit, par exemple, d'abord confirmer une modification du moteur de recherche employé.

Hijacking de TCP

Le détournement de TCP désigne la reprise d'une connexion TCP étrangère. D'une part, l'objectif peut être la reprise de la connexion et la dépendance du partenaire de communication. D'autre part, la connexion peut aussi être maintenue afin d'infiltrer des instructions, par exemple.

Hijacking de session

Le détournement de session désigne la reprise d'une session valable. Pour ce faire, il faut dérober l'ID de la session, ce qui peut se faire par exemple par voie d'écoute passive, car sur beaucoup d'applications, l'ID est transmise au serveur par les cookies. Aussi longtemps que la session est valable, l'agresseur a le contrôle sur la session et peut utiliser ou abuser de l'application au nom du véritable propriétaire.

Prévention

  • La base de tout transfert de données sur Internet doit être une connexion HTTPS qui chiffre les données à l'aide du SSL, comme c'est le cas par exemple dans la recherche chiffrée. Si des paquets de données sont alors interceptés, il faudra encore décrypter le contenu pour parvenir à l'ID de la session, par exemple.
  • Les mesures de protection contre le cross-site scripting sont également utiles. Elles empêchent d'infiltrer le code JavaScript Code et de lire les cookies.
  • Les ID de session ne doivent pas figurer dans l'URL. Ils sont sauvegardés dans des fichiers journaux et peuvent être, en cas de doute, très facilement lus par les agresseurs.

Liens web

Catégorie