Qu’est-ce qu’une attaque par fronting de domaine ?

Le domain fronting est utilisé pour dissimuler le trafic des utilisateurs, en le dissimulant sous un domaine différent. Il est idéal pour contourner la censure dans des pays comme la Chine et l’Égypte, même s’il est tombé en disgrâce ces dernières années après avoir été bloqué par un certain nombre de grands CDN.

Voici un guide vous présentant tout ce que vous devez savoir sur le domain fronting, en commençant par les bases.

Qu’est-ce que le fronting de domaine ?

En termes simples, le fronting de domaine masque votre trafic lors de la connexion à un site Web spécifique . Il achemine le trafic via une plate-forme plus grande, masquant ainsi la véritable destination. Il est hébergé par un réseau de diffusion de contenu (CDN), terme utilisé pour décrire un réseau de serveurs proxy et de centres de données. Un CDN peut être utilisé pour héberger plusieurs domaines.

L’idée est de refléter le trafic légitime, permettant ainsi à l’utilisateur de contourner toute restriction. Lors de l’accès à un site Internet, il existe trois types de demandes :

• Requête DNS : Chaque appareil qui se connecte à Internet possède une adresse IP unique. UN DNS (Domain Name System) convertira un nom de domaine en adresse IP.
• HTTP : HTTP (Hypertext Transfer Protocol) est utilisé pour se connecter aux hypertextes et à Internet.
• TLS : TLS (Transport Layer Security) crypte les messages HTTP et fournit une connexion sécurisée entre les serveurs et les navigateurs Web à l'aide de HTTPS (Hypertext Transfer Protocol Secure).

Généralement, un nom de domaine utilise un serveur DNS pour une adresse IP, se connectant au navigateur via HTTP ou HTTPS. Le domaine reste le même à tout moment et vous serez connecté au site Web associé.

Frontage de domaine suit le même processus décrit ci-dessus, mais il effectuera une requête HTTPS qui semble provenir d'un domaine différent. Il le fait en imitant les requêtes DNS et TLS du domaine secondaire. Cela donnera l'impression que l'utilisateur s'est connecté à partir d'un domaine sans restriction.

Cette méthode fonctionne car les protocoles HTTPS sont cryptés. Vous pouvez généralement savoir quand HTTPS est utilisé pour sécuriser votre connexion en ligne, car une icône de verrouillage apparaîtra à gauche de l'URL en haut de votre navigateur.

Qu'est-ce qu'un réseau de diffusion de contenu (CDN) ?

Un réseau de diffusion de contenu (CDN) est composé de serveurs proxy et de centres de données répartis dans le monde entier. Il acheminera le trafic vers différents serveurs pour améliorer les performances et pourra stocker des versions en cache de sites Web pour améliorer les temps de chargement. Ils sont également appelés réseaux de distribution de contenu.

Le fronting de domaine nécessite de localiser un fournisseur d'hébergement ou un CDN avec un certificat prenant en charge plusieurs domaines cibles. En d’autres termes, si deux domaines sont hébergés sur le même CDN, HTTPS peut être utilisé pour donner l’impression que l’utilisateur se connecte via un site Web sans restriction. Donc quel est le problème?

Google et Amazon ferment leurs services de front de domaine

Signal est un service de messagerie crypté populaire qui utilise le domain fronting à bon escient. Bien qu'il soit censuré dans des pays comme Egypte , Oman, Qatar et Émirats arabes unis, il existait une solution de contournement simple qui permettait aux utilisateurs d'y accéder. En tant qu'ancien PDG de Signal, Moxie Marlinspike expliqué ;

« Malheureusement, une poignée de main TLS expose entièrement le nom d'hôte cible en texte clair, puisque le nom d'hôte est inclus dans l'en-tête SNI en clair. Cela reste le cas même dans TLS 1.3, et cela donne au censeur tout ce dont il a besoin.

'Cependant, plusieurs environnements cloud ont été construits avec une particularité cela nous a permis de contourner ce problème de métadonnées TLS. Google et Amazon ont construit leur couche de terminaison TLS séparément de leur couche de traitement des requêtes, de telle sorte que il était possible de créer ce qui ressemblait à une connexion TLS pour le domaine A avec une requête qui serait réellement reçue et traitée par le domaine B. C'est ce qu'on appelle le domain fronting .»

En d’autres termes, pour bloquer le domaine de Signal, des pays comme l’Égypte, Oman, le Qatar et les Émirats arabes unis devraient bloquer google.com, qui était utilisé pourdevantla connexion. Il s’agit d’une solution de contournement intelligente, car la plupart des pays ne seraient pas disposés à bloquer tous les domaines appartenant à un CDN plus grand.

Cependant, cela n’est pas infaillible et certains régimes sont plus disposés que d’autres à bloquer plusieurs domaines plus vastes. Par exemple, en 2014, tous les services Google ont été bloqués en Chine. Cela comprenait :

• Recherche
• Gmail
• Traduire
• Conduire
• Youtube
• Jouer au magasin
• Nouvelles
• Plans

En 2018, Google a décidé de cesser complètement de prendre en charge le domain fronting, et il en a été de même pour Amazon (CloudFront), qui a suivi peu de temps après. Ce dernier a cité l'augmentation des opérations de logiciels malveillants utilisant le domain fronting comme principale raison pour laquelle il a bloqué le support.

Des alternatives telles que Cloudflare ont également cessé de prendre en charge le domain fronting.

A quoi sert le domain fronting ?

Le fronting de domaine est principalement utilisé pour accéder à du contenu restreint. Il vise à contourner la censure en ligne, qui continue à augmenter chaque année . Par exemple, nous avons constaté que 27 pays semblent avoir renforcé la censure en 2022, comme le Sri Lanka, qui a interdit les torrents, restreint l'utilisation de certains VPN et imposé de longs blocages des médias sociaux en raison des manifestations dans le pays. Il a également été utilisé par Tor pour dissimuler le trafic dans des endroits bloqués.

La solution de contournement était compatible avec diverses applications de communication visant à améliorer la confidentialité, telles que Signal, mentionnée ci-dessus. Telegram est un autre exemple, tandis que le groupe de défense Accédez maintenant a identifié une douzaine de « technologies favorables aux droits de l’homme » qui s’appuyaient sur la façade de domaine en 2018 (Psiphon, Lantern, Telex (en développement), obsf4, ScrambleSuite, meek, meek_lite, Collatéral Freedom et GreatFire FreeBrowser).

Le domain fronting peut être utilisé pour effectuer des tests d’intrusion. Par exemple, le logiciel Cobalt Strike est utilisé pour émuler les menaces dans un réseau. Cependant, Cobalt Strike a également été utilisé par des acteurs malveillants, comme détaillé ci-dessous.

Qu’est-ce qu’une attaque par fronting de domaine ?

Une attaque par front de domaine se produit lorsque la solution de contournement est utilisée de manière malveillante. Après tout, il s’agit plus d’une faille que d’une fonctionnalité dédiée, raison pour laquelle le support a finalement été supprimé par un certain nombre de services plus importants. Par exemple, plutôt que de donner à un utilisateur chinois l’accès à un domaine bloqué pour contourner la censure en ligne, l’objectif est de cacher une infrastructure malveillante derrière des domaines légitimes.

Le domain fronting a été utilisé par divers individus, groupes et même pour des cyberattaques parrainées par des États. La technique aide les pirates à échapper à la détection, car il semblerait qu'il s'agisse d'un trafic légitime provenant de CDN. Quel est l’intérêt d’attaquer via le domain fronting ? Les logiciels malveillants constitueront une préoccupation majeure, tout comme la possibilité de vol de données utilisateur.

À plus petite échelle, certaines entreprises (comme les opérateurs de téléphonie mobile) proposent une utilisation gratuite et illimitée d'applications ou de sites comme WhatsApp, Instagram, Facebook et Netflix. Le domain fronting a été utilisé par des escrocs pour donner l'impression que leur trafic provient d'un site Web détaxé, évitant ainsi les frais associés.

Fait intéressant, un Etude 2017 sur la fraude Zero-Rating par Sandvine a révélé que l'utilisateur moyen accédant au service via le domain fronting « générait une utilisation mensuelle moyenne supérieure de plus de 300 % à la moyenne mensuelle moyenne pour tous les abonnés ».

Exemples d'attaque par fronting de domaine

En quoi consiste une attaque par fronting de domaine et à quoi ressemble-t-elle ? Voici quelques exemples d’attaques par fronting de domaine survenues ces dernières années.

Le piratage et le réseau Tor

En 2018, une société de renseignement sur les menaces Mandiant observed « Les attaquants russes APT29 utilisent des techniques de fronting de domaine pour un accès furtif aux environnements des victimes pendant au moins deux ans. »

Pour ce faire, ATP29 a utilisé le réseau Tor et un plugin de gestion de domaine appelé meek, et a profité de l'accès à distance. Après avoir accédé au système via un malware, APT29 a pu utiliser la faille pour extraire des données. Le domain fronting donnait l’impression que le trafic d’ATP29 était légitime.

Myanmar et grève du cobalt

Cisco Talos découvert un pirate informatique utilisant le fronting de domaine avec le CDN Cloudflare en septembre 2021, redirigeant un domaine appartenant au gouvernement du Myanmar vers un autre serveur. Quant à la façon dont cela a fonctionné :

'Lorsque la balise Cobalt Strike sera lancée, elle soumettra une requête DNS pour un domaine légitime de haute réputation hébergé derrière l'infrastructure Cloudflare et modifiera l'en-tête des requêtes HTTP suivantes pour demander au CDN de diriger le trafic vers un hôte contrôlé par l'attaquant.'

Comment se protéger contre le domain fronting ?

Les fournisseurs de cloud comme Google et Amazon ont mis fin à la prise en charge du domain fronting, mais quelques CDN proposent toujours une prise en charge. Les sites légitimes hébergés par un CDN peuvent ne pas avoir connaissance d’abus, et il est possible qu’un logiciel malveillant soit présent, attendant d’infecter d’autres systèmes.

Hackers éthiques Packetlabs recommande l'utilisation d'un serveur proxy.

Ils « conseillent aux clients de l'installer pour toutes les connexions Internet configurées pour l'interception TLS. Un serveur proxy agit comme un serveur intermédiaire pouvant visualiser votre trafic réseau. Configurez-le pour que l'en-tête de l'hôte HTTP 1.1 corresponde au domaine URL. En cas de non-concordance, vous pouvez écraser le domaine et enregistrer l'action. Vous pouvez également créer des règles pour déclencher des alertes en cas de non-concordance.

Mandiant, qui a découvert le hack d’APT29, suggère de « surveiller les événements potentiellement intéressants et les méthodologies des attaquants, comme les mouvements latéraux et la création de nouvelles persistances ».

Cependant, il est particulièrement difficile de détecter le domain fronting, compte tenu de la nature de la solution de contournement. C’est censé être difficile à identifier.

Masquage de domaine ou frontage de domaine

Masquage de domaine est une technique plus récente qui utilise de nouvelles méthodes pour contourner le blocage. Il partage une fonctionnalité de contournement de la censure similaire à celle du domain fronting et fonctionne en transmettant une requête cryptée pour une ressource, qui est dissimulée derrière une requête non cryptée (en clair) pour une autre ressource. Toute personne vérifiant la connexion ne pourra voir que la demande en texte brut, plutôt que la demande cryptée.

Résumé

Le domain fronting a permis de contourner facilement les restrictions en ligne via un certain nombre d'applications et de services. Il était populaire avant de cesser d’être pris en charge par les plus grands CDN comme Google et Amazon en 2018, mais il existe toujours aujourd’hui sous une forme ou une autre. Plutôt que de tenter d'usurper l'identité d'un site Web, il était généralement utilisé pour contourner la censure en ligne et a fonctionné avec succès jusqu'à ce qu'il soit stoppé par certains des plus grands noms du secteur.

Malgré ses nombreux points positifs, il a également cessé d'être pris en charge par un certain nombre de services plus petits tels qu'Azure, Google, Amazon, etc.

En raison de leur simplicité et de leur efficacité globale, les attaques par front de domaine existent toujours. En termes de confidentialité des utilisateurs, il s’agit d’une solution de contournement, mais elle peut également être décrite comme une vulnérabilité CDN. Il n’est pas surprenant que de nombreux CDN finissent par bloquer le domain fronting.