Les proxys : définition, anonymat et utilisation par les malwares

Dernière Mise à jour le

Les proxys comme les VPN, sont devenus populaires avec le business de l’anonymisation sur internet.

Voici un dossier concernant les proxys, comprendre ce qu’est un proxy, à quoi un proxy peut-il servir.
Si vous en avez besoin sur vos ordinateurs ou pas.
Et enfin les utilisations détournées des proxys, soit pour analyser le trafic WEB, contrôle parental, ou encore à des fins malveillantes.

Les proxys : définition, anonymat et utilisation par les malwares

Qu’est-ce-qu’un Proxy

Un proxy est un serveur intermédiaire entre un client et un serveur WEB ou FTP.
Les pages WEB consultées à travers le proxy sont mise en cache, exactement comme le fait votre navigateurs WEB.
Initialement, le but était de pouvoir limiter la consommation de la bande passante tout en proposant un filtrage.
Ainsi lorsque vous retournez sur la même page WEB, le proxy va prendre certains contenus depuis son cache.
Cela évite de devoir se connecter au site WEB.
Ainsi on économise de la bande passante.

Comme le serveur proxy sert de relais, on parle en français de serveur serveur mandataire.

L’usage commun

Mais un proxy peut servir à différents usages.
Initialement utilisé en entreprise et même parfois par certains fournisseur d’accès.
Voici les trois usages principaux :

  • partager la connexion internet aux ordinateurs du réseau de l’entreprise. (Un routeur classique fait la même mais comme il fonctionne au niveau IP, les possibilités de filtrage sont moindre).
  • cacher le contenu des pages pour accélérer le chargement de celle-ci et économiser la bande passante
  • mise en place de filtrage : interdire certaines pages WEB de part leurs adresses ou contenu.

Toutefois, en entreprise, les proxys sont remplacés au profit, de boitier matériel dit « gateway ».

L’usage détourné

L’utilisation du proxy a été ensuite détourné notamment

  • Certains contrôles parental peuvent en utiliser pour bloquer l’accès à des pages WEB
  • Le « business d’anonymisation » afin de proposer des solutions pour cacher son adresse IP.
  • Utiliser un proxy en amont d’un site WEB, si le serveur WEB ne gère pas le cache. Cela permet là aussi d’alléger le serveur WEB pour certaines ressources statiques comme les images, scripts, etc.

Enfin, en entreprise, un proxy externe pour contourner certaines restrictions.
Le schéma ci-dessous, montre comment utiliser un serveur proxy sur internet pour outrepasser des restrictions de pare-feu.

En clair, si un administrateur bloque l’IP de Facebook par exemple, il est possible d’utiliser le serveur proxy comme relai pour se connecter à Facebook.
Le Firewall ne verra que les connexions au serveur proxy.

Proxy filtrant

Différences proxy, Firewall et usage des proxys

Ce qu’il faut aussi comprendre, c’est le firewall et le proxy ne fonctionnent pas au même niveau.

  • Le pare-feu fonctionne au niveau du protocole IP. Ainsi on joue sur les IPs et les ports de connexion.
  • Le proxy lui fonctionne au niveau applicatif et sur les protocoles HTTP, FTP etc.

Un complément d’informations est disponible sur la page:  Différences proxy, VPN et Firewall

En clair, un proxy peut :

  • Lire le contenu d’une page
  • Connaître l’adresse du site visitée (URL)
  • Manipuler les pages WEB, c’est à dire changer le contenu de la page.

A partir de là, une autre utilisation est faites des proxys, à savoir :

  • L’utilisation dans des solutions de contrôle parental
  • Des adwares peuvent utiliser des proxys pour manipuler les pages WEB. Par exemple provoquer des redirections vers des publicités, remplacer les publicités des pages WEB par les leurs ou encore réécrire les pages WEB pour y injecter des publicités.
Il est donc très peu probable que chez vous, vous utilisiez un proxy puisque chez vous, votre connexion internet est partagée par un routeur.
A moins qu’une solution de contrôle parental soit installée, il est probablement anormal qu’un proxy soit configuré, il peut alors s’agir d’un proxy malveillant.

Différents type de proxy

Il existe ensuite trois types de différents proxys :

  • Proxy standard
  • Proxy transparent
  • Reverse Proxy

Le Proxy standard est décrit dans le paragraphe précédent.
Le serveur écoute en général sur des ports standard est en général : 3128
Dans un réseau utilisant un proxy, il faut configurer les navigateurs WEB pour y inscrire l’IP et le port du proxy.

Le proxy transparent fonctionne aussi exactement de la même manière que le proxy « normal ».
La seule différence, est qu’il n’est pas nécessaire de configurer l’ordinateur et les navigateurs WEB pour déclarer le proxy.
Les requêtes sortantes vers les ports 80, 443 sont redirigées vers le proxy qui se charge de serveur de relai.
Le gros avantage de cette technique est qu’il est plus difficile pour une personne de contourner le proxy. Cela évite aussi de devoir configurer tous les navigateurs WEB (bien que ce soit possible de le faire par des GPO).

Reverse Proxy : Le reverse Proxy est un Proxy « mais en sens inverse », il est utilisé côté serveur pour cacher des les réponses faites aux clients.
Un client se connecte à un site WEB, qui va passer par un reverse proxy puis le serveur WEB.
Les éléments statiques (Images, scripts etc) seront alors délivrés par le proxy et plus rapidement que le serveur WEB.
Cela permet aussi d’économiser l’usage du serveur WEB.
Varnish ou nging peuvent servir à cet effet. Pour Varnish, votre notre dossier : Aperçu de Varnish : un proxy-reverse cache

Le proxy fonctionne de manière similaire à un site WEB.
Lorsqu’un client se connecte au proxy et demande une page WEB par un GET, c’est le proxy qui fait le requête DNS et fournit la page au client.

Exemple de connexion via un proxy

Anonymisation et contournement avec les proxys

Comme pour les VPN, il existe un business autour des proxys et l’anonymisation.
Même si avec les VPN et tor, les proxys sont moins à la mode par rapport aux années 2000 à 2015.

Le but étant de proposer des accès payants à des proxy afin de cacher son adresse IP.

Proxy et anonymat sur internet

Dans une utilisation « normal », le proxy est configuré pour réécrire la requête HTTP et notamment l’en-tête.
Le proxy ajoute un champs X-Forward-for contenant l’IP du client.
Pour les proxys utilisés à des fins d’anonymisation, il faut que le proxy soit configuré pour ne pas mettre l’IP du client.
Sinon le serveur WEB pourra obtenir votre adresse IP.

Les proxys gratuits sur internet

Il existe aussi des proxys gratuits pour contourner les restrictions comme évoqué plus haut.
Ces proxy se présentent sous la forme de site WEB accessibles directement par Google.
Certains sont très haut placés, puisque sur une recherche Google, sur le mot proxy, on en trouve plusieurs en première page.

Les proxys gratuits sur internet

Exemple avec le proxy gratuit suivant :

Les proxys gratuits sur internet
Les proxys gratuits sur internet
31.41.45.190 - - [22/Dec/2016:18:39:58 +0100] "GET https://www.malekal.com/kikoo HTTP/1.0" 404 35540 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:28.0) Gecko/20100101 Firefox/28.0"

Le X-Forward-for est bien remplacé par le proxy gratuit.

X-Forward-for et le proxy

Il existe aussi des sites proposant des listes.
Les proxys sont catégorisés en anonyme ou transparent.

Les proxys gratuits sur internet et le danger

On voit ci-dessous qu’un proxy classé comme transparent, laisse bien l’IP du client en X-FORWARD-FOR.
De plus, dans le header, le programme de proxy est indiqué, ici Mikrotik proxy.
Il peut ici s’agir de proxy mal configuré qui laisse n’importe qui l’utiliser.

L'en-tête HTTP d'un proxy

A ce propos, il existe un tutoriel sur le site pour monter son propre service d’anonymisation : Monter son serveur d’anonymisation (VPN+Proxy)

Remarque, il faut savoir que dans le milieu de l’underground de l’internaute.
L’anonymisation est aussi tout un business puisque des services de proxy/socks sont aussi proposés à travers les ordinateurs infectés (botnet).

Le business malveillants des proxy et Socks

En clair, cela permet aux pirates de se cacher derrière des ordinateurs infectés pour rendre la traçabilité plus difficiles.

Proxy et la sécurité

La problématique de sécurité de l’utilisation d’un proxy est que votre trafic HTTP passe par ce relais.
Exactement comme c’est le cas des VPN : Anonymisation et connexions VPN : Attention!

Dès lors, il est tout à fait possible de faire beaucoup de choses comme :

  • modifier le contenu de la page (Hijacking) ou opérer des redirections
  • récupérer tout ce qui passe (mot de passe)
  • dresser un profil utilisateur
Ainsi, l’utilisation de sites sécurités HTTPs est alors primordiale pour les données importantes.

Ces aspects ont été abordés sur la page : Anonymisation sur internet avec Proxy WEB

Proxy et adwares

Comme évoqué plus dans le premier paragraphe, des adwares peuvent installer des proxy pour manipuler les pages WEB et injecter des publicités.
Le principe est simple, un programme est installé sur l’ordi qui agit comme proxy.

La page suivante évoque de manière plus approfondi l’utilisation des proxys par des malwares : Les proxys et malwares et virus

Supprimer la configuration proxy

La configuration proxy peut-être supprimé de votre navigateurs WEB.
Les pages suivantes traitent de la suppression de proxy :

Bien entendu, si un programme malveillant ou parasite est actif sur Windows, ce dernier peut repositionner le proxy.
Une désinfection est alors nécessaire, rendez-vous sur la page : Désinfection PUPs – PUP.Optional / Adwares.

Liens

Trouver la solution sur le forum d'aide

Vous êtes arrivé au terme de l'article Les proxys : définition, anonymat et utilisation par les malwares mais vous n'avez pas trouvé la solution à votre problème...
Suivez ces articles du forum pour trouver une réponse ou demandez à votre tour de l'aide sur le forum


Vous avez trouvé cet article utile et interressant, n'hésitez pas à le partager...
Une question informatique ?
Un virus à supprimer ? Votre PC est lent ?
Demander de l'aide sur le forum

Laisser un commentaire

2 Partages
Tweetez
Partagez2
Enregistrer
Partagez