Les proxys : définition, anonymat et utilisation par les malwares

Les proxys comme les VPN, sont devenus populaires par le business de l’anonymisation.

Voici un dossier concernant les proxys, comprendre ce qu’est un proxy, à quoi un proxy peut-il servir.
Si vous en avez besoin sur vos ordinateurs ou pas.
Et enfin les utilisations détournées des proxys, soit pour analyser le trafic WEB, soit à des fins malicieuses.

Qu’est-ce-qu’un Proxy

Un proxy est un serveur intermédiaire entre un client et un serveur WEB ou FTP.
Les pages WEB consultées à travers le proxy sont mise en cache, exactement comme le fait votre navigateurs WEB.
Initialement, le but était de pouvoir, si vous retournez sur la même page WEB, délivrer le contenu plus facilement, notamment les images, car le serveur proxy ne va pas les redemander au serveur WEB.
Cela permet en autre d’économiser la bande passante.

Comme le serveur proxy sert de relais, on parle en français de serveur serveur mandataire.

Le proxy peut servir à différents usages.
Initialement utilisé en entreprise et même parfois par certains fournisseur d’accès.
Voici les trois usages principaux :

  • partager la connexion internet aux ordinateurs du réseau de l’entreprise. (Un routeur classique fait la même mais comme il fonctionne au niveau IP, les possibilités de filtage sont moindre).
  • cacher le contenu des pages pour accélérer le chargement de celle-ci et économiser la bande passante
  • mise en place de filtrage : interdire certaines pages WEB de part leurs adresses ou contenu.

Toutefois, en entreprise, les proxys ont été assez abandonnés, au profit, de boitier matériel dit « gateway ».

L’utilisation du proxy a été ensuite détourné notamment par le « business d’anonymisation » afin de proposer des solutions pour cacher son adresse IP.
Ceci peut d’ailleurs poser des règles de sécurité, nous y reviendrons.

Enfin, en entreprise, un proxy externe pour contourner certaines restrictions.
Le schéma ci-dessous, montre comment utiliser un serveur proxy sur internet pour outrepasser des restrictions de pare-feu.

En clair, si un administrateur bloque l’IP de Facebook par exemple, il est possible d’utiliser le serveur proxy comme relai pour se connecter à Facebook.
Le Firewall ne verra que les connexions au serveur proxy.

Différences proxy, Firewall et usage des proxys

Cela montre aussi que filtrer les accès WEB, par un firewall est complètement stupide, ce n’est d’ailleurs pas son rôle.
Ce qu’il faut aussi comprendre, c’est le firewall et le proxy ne fonctionnent pas au même niveau.

  • Le pare-feu fonctionne au niveau du protocole IP, on joue sur les IPs et les ports.
  • Le proxy lui fonctionne au niveau applicatif et sur les protocoles HTTP, FTP etc.

Un complément d’informations est disponible sur la page:  Différences proxy, VPN et Firewall

En clair, un proxy peut manipuler les pages WEB, lire le contenu d’une page et appliquer un filtrage selon le contenu mais aussi réécrire le contenu d’une page WEB.
A partir de là, une autre utilisation est faites des proxys, à savoir :

  • L’utilisation dans des solutions de contrôle parental
  • Des adwares peuvent utiliser des proxys pour manipuler les pages WEB, provoquer des redirections vers des publicités, remplacer les publicités des pages WEB par les leurs ou encore réécrire les pages WEB pour y injecter des publicités.

Il est donc très peu probable que chez vous, vous utilisiez un proxy puisque chez vous, votre connexion internet est partagée par un routeur.
A moins qu’une solution de contrôle parental soit installée, il est probablement anormal qu’un proxy soit configuré, il peut alors s’agir d’un proxy malicieux.

Différents type de proxy

Il existe ensuite trois types de différents proxys :

  • Proxy standard
  • Proxy transparent
  • Reverse Proxy

Le Proxy standard est décrit dans le paragraphe précédent.
Le serveur écoute en général sur des ports standard est en général : 3128
Dans un réseau utilisant un proxy, il faut configurer les navigateurs WEB pour y inscrire l’IP et le port du proxy.

Le proxy transparent fonctionne aussi exactement de la même manière que le proxy « normal ».
La seule différence, est qu’il n’est pas nécessaire de configurer l’ordinateur et les navigateurs WEB pour déclarer le proxy.
Les requêtes sortantes vers les ports 80, 443 sont redirigées vers le proxy qui se charge de serveur de relai.
Le gros avantage de cette technique est qu’il est plus difficile pour une personne de contourner le proxy. Cela évite aussi de devoir configurer tous les navigateurs WEB (bien que ce soit possible de le faire par des GPO).

Reverse Proxy : Le reverse Proxy est un Proxy « mais en sens inverse », il est utilisé côté serveur pour cacher des les réponses faites aux clients.
Un client se connecte à un site WEB, qui va passer par un reverse proxy puis le serveur WEB.
Les éléments statiques (Images, scripts etc) seront alors délivrés par le proxy et plus rapidement que le serveur WEB.
Cela permet aussi d’économiser l’usage du serveur WEB.
Varnish ou nging peuvent servir à cet effet. Pour Varnish, votre notre dossier : Aperçu de Varnish : un proxy-reverse cache

Le proxy fonctionne de manière similaire à un site WEB.
Lorsqu’un client se connecte au proxy et demande une page WEB par un GET, c’est le proxy qui fait le requête DNS et fournit la page au client.

Anonymisation et contournement avec les proxys

Comme pour les VPN, il existe un business autour des proxys et l’anonymisation.
Le but étant de proposer des accès payants à des proxy afin de cacher son adresse IP.

Ce qu’il faut savoir, dans une utilisation « normal » d’un proxy est que le proxy est configuré pour réécrire la requête HTTP et notamment l’en-tête.
Le proxy ajoute un champs X-Forward-for contenant l’IP du client.
Pour les proxys utilisés à des fins d’anonymisation, il faut que le proxy soit configuré pour ne pas mettre l’IP du client, sinon le serveur WEB pourra obtenir votre adresse IP.

Les proxys gratuits sur internet

Il existe aussi des proxys gratuits pour contourner les restrictions comme évoqué plus haut.
Ces proxy se présentent sous la forme de site WEB accessibles directement par Google.
Certains sont très haut placés, puisque sur une recherche Google, sur le mot proxy, on en trouve plusieurs en première page.

Exemple avec le proxy gratuit suivant :

31.41.45.190 - - [22/Dec/2016:18:39:58 +0100] "GET https://www.malekal.com/kikoo HTTP/1.0" 404 35540 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:28.0) Gecko/20100101 Firefox/28.0"

Le X-Forward-for est bien remplacé par

Il existe aussi des sites proposant des listes de Proxy.
Les proxys sont catégorisés en anonyme ou transparent.

On voit ci-dessous qu’un proxy classé comme transparent, laisse bien l’IP du client en X-FORWARD-FOR.
De plus, dans le header, le programme de proxy est indiqué, ici Mikrotik proxy.
Il peut ici s’agir de proxy mal configuré qui laisse n’importe qui l’utiliser.

A ce propos, il existe un tutoriel sur le site pour monter son propre service d’anonymisation : Monter son serveur d’anonymisation (VPN+Proxy)

Remarque, il faut savoir que dans le milieu de l’underground de l’internaute.
L’anonymisation est aussi tout un business.. puisque des services de proxy/socks sont aussi proposés à travers les ordinateurs infectés (botnet).

En clair, cela permet aux pirates de se cacher derrière des ordinateurs infectés pour rendre la traçabilité plus difficiles.

Proxy et la sécurité

La problématique de sécurité de l’utilisation d’un proxy est que votre traffic HTTP passe par ce relais.
Exactement comme c’est le cas des VPN : Anonymisation et connexions VPN : Attention!

Dès lors, il est tout à fait possible de modifier le contenu (Hijacking), récupérer tout ce qui passe (mot de passe)  ou encore dresser un profil utilisateur.
L’utilisation de sites sécurités HTTPs est alors primordiale pour les données importantes.

Ces aspects ont été abordés sur la page : Anonymisation sur internet avec Proxy WEB

Proxy et adwares

Comme évoqué plus dans le premier paragraphe, des adwares peuvent installer des proxy pour manipuler les pages WEB et injecter des publicités.
Le principe est simple, un programme est installé sur l’ordi qui agit comme proxy.

La page suivante évoque de manière plus approfondi l’utilisation des proxys par des malwares : Les proxys et malwares et virus

Supprimer la configuration proxy

La configuration proxy peut-être supprimé de votre navigateurs WEB.
Les pages suivantes traitent de la suppression de proxy :

Bien entendu, si un programme malveillant ou parasite est actif sur Windows, ce dernier peut repositionner le proxy.
Une désinfection est alors nécessaire, rendez-vous sur la page : Désinfection PUPs – PUP.Optional / Adwares

(Visité 535 fois, 3 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet