Accueil Technologie

Qu’est-ce qu’une attaque de front de domaine et comment l’éviter ?

On dit que tout est juste dans la guerre. Les cybercriminels mettent tout en œuvre pour gagner la cyberguerre en utilisant tous les moyens possibles pour s’attaquer aux victimes sans méfiance afin d’obtenir leurs données. Ils déploient les plus grandes tromperies pour masquer leur identité et vous prendre par surprise avec des techniques telles que les attaques par front de domaine.


Ce domaine apparemment légitime qui accède à votre réseau ne l’est peut-être pas. Pour autant que vous le sachiez, un attaquant peut l’utiliser pour vous mettre dans une situation délicate. C’est ce que l’on appelle une attaque par fronting de domaine. Y a-t-il quelque chose que vous puissiez faire ?

Qu’est-ce qu’une attaque par front de domaine ?

Dans le cadre de la réglementation de l’internet, certains pays limitent l’accès des citoyens à certains contenus et sites web en ligne en bloquant le trafic des utilisateurs sur leur territoire. Dans l’impossibilité d’accéder légitimement à ces sites web figurant sur la liste noire, certaines personnes cherchent des moyens d’accès non autorisés.

Le « domain fronting » est un processus par lequel un utilisateur déguise son domaine pour accéder à un site web dont l’accès lui est interdit. Une attaque par fronting de domaine, quant à elle, est un processus consistant à utiliser les techniques de fronting de domaine pour attaquer un réseau à partir d’un domaine légitime.

À l’origine, le domain fronting n’était pas un moyen de cyberattaque. Les utilisateurs non malveillants pouvaient l’utiliser pour contourner la censure de certains domaines dans leur pays. Par exemple, en Chine continentale où YouTube est interdit, un utilisateur pouvait utiliser le domain fronting pour accéder à YouTube à des fins de divertissement inoffensif sans compromettre le compte de qui que ce soit. Mais comme il s’agissait d’un moyen pratique de contourner les contrôles de sécurité, les cybercriminels l’ont détourné à des fins égoïstes, d’où le facteur d’attaque.

Comment fonctionne une attaque par frontage de domaine ?

Ordinateur portable et smartphone sur un bureau

Pour déjouer la censure sur le terrain, un acteur prenant l’identité d’un utilisateur légitime d’Internet, généralement à partir d’un lieu géographique différent. Le réseau de diffusion de contenu (CDN), un référentiel de serveurs proxy à travers le monde, joue un rôle majeur dans une attaque de domain fronting.

Lorsque vous souhaitez accéder à un site web, vous déclenchez les requêtes suivantes :

  1. DNS : Votre appareil connecté à l’internet possède une adresse IP. Cette adresse est unique et exclusive à votre appareil. Lorsque vous essayez d’accéder à un site web, vous lancez une requête DNS (Domain Name System) qui convertit votre nom de domaine en adresse IP.
  2. HTTP : La requête du protocole de transfert hypertexte (HTTP) relie votre demande d’accès aux hypertextes du World Wide Web (WWW).
  3. TLS : La requête TLS (transport layer security) convertit vos commandes HTTP en HTTPS via le cryptage et sécurise les entrées entre vos navigateurs web et les serveurs.

Fondamentalement, un DNS convertit votre nom de domaine en adresse IP, et l’adresse IP fonctionne sur une connexion HTTP ou HTTPS. La conversion de votre nom de domaine en adresse IP ne modifie pas votre domaine ; il reste le même. Mais dans le cas du domain fronting, alors que votre domaine reste le même dans le DNS et le TLS, il change dans le HTTPS. Les enregistrements DNS indiquent le domaine légitime, mais le HTTPS redirige vers un domaine interdit.

Par exemple, vous vivez dans un pays où le site example.com est bloqué, mais vous voulez quand même y accéder. Votre objectif est d’accéder à example.com en utilisant un site web légitime tel que makeuseof.com. Les requêtes à votre DNS et TLS pointeront vers makeuseof.com mais votre connexion HTTPS pointera vers example.com.

Le domain fronting s’appuie sur la sécurité avancée de HTTPS pour réussir. Comme HTTPS est crypté, il peut contourner les protocoles de sécurité sans être détecté.

Les cybercriminels s’appuient sur le scénario ci-dessus pour lancer des attaques de type « domain fronting ». Au lieu d’utiliser un domaine légitime pour accéder à des sites web dont l’accès leur est interdit en raison de la censure, ils utilisent un domaine légitime pour voler des données et effectuer les tâches préjudiciables qui y sont associées.

Comment prévenir les attaques par front de domaine

Deux hommes travaillant sur un ordinateur

Lorsqu’ils lancent des attaques par front de domaine, les cybercriminels ne s’attaquent pas à n’importe quel domaine légitime, mais à ceux qui sont les mieux classés. En effet, ces domaines ont la réputation d’être authentiques. Vous n’avez donc aucune raison de vous méfier lorsque vous repérez un domaine légitime sur votre réseau.

Vous pouvez prévenir les attaques par domaine de la manière suivante.

Installer un serveur proxy

Un serveur proxy est un intermédiaire entre vous (votre appareil) et l’internet. Il s’agit d’un système de sécurité qui empêche les utilisateurs d’accéder directement à l’internet, d’autant plus que le trafic des utilisateurs peut être dangereux. En d’autres termes, il filtre le trafic pour vérifier les vecteurs de menace avant de l’autoriser à entrer dans une application web.

Pour empêcher le domain fronting, configurez votre serveur proxy pour qu’il intercepte toutes les communications TLS et veillez à ce que l’en-tête hôte HTTP soit le même que celui que le HTTPS réachemine. En fonction de vos paramètres, le système refusera l’accès s’il constate une incohérence.

Éviter les entrées DNS enchevêtrées

Toutes les entrées de votre DNS sont censées diriger le trafic vers les canaux désignés. Lorsque vous créez une entrée que le DNS ne peut pas traiter en raison de l’absence de la ressource, il s’agit d’un enregistrement DNS errant.

Un enregistrement DNS est suspendu lorsqu’il est mal configuré ou obsolète et qu’il n’est pas utile aux commandes DNS. Cela ouvre la voie à des attaques par domaine, les acteurs de la menace utilisant les entrées pour leurs activités malveillantes.

Pour éviter les attaques par front de domaine à partir d’entrées DNS pendantes, vous devez toujours garder vos enregistrements DNS propres. Procédez à un assainissement régulier pour vérifier la présence d’entrées anciennes et obsolètes et supprimez-les. Vous pouvez utiliser un outil de surveillance DNS pour automatiser ce processus. Il génère une liste de toutes vos ressources actives dans les enregistrements DNS et distingue les ressources non actives.

Adopter la signature de code

La signature de code est la signature de logiciels avec des signatures numériques telles que l’infrastructure à clé publique (PKI) pour montrer aux utilisateurs que le logiciel est intact et n’a subi aucune altération. L’objectif principal de la signature de code est de garantir aux utilisateurs que l’application qu’ils téléchargent est authentique.

La signature de code vous permet de signer votre domaine et d’autres ressources dans vos enregistrements DNS afin de démontrer leur intégrité et d’établir une chaîne de confiance entre eux. Le système ne validera ni ne traitera aucune ressource ou commande qui ne porte pas la signature autorisée.

Mettre en œuvre la confiance de sécurité zéro pour prévenir les attaques de frontage de domaine

Les attaques par contournement de domaine mettent en évidence les dangers associés au trafic de domaine. Si des pirates peuvent faire passer des plates-formes d’autorité légitimes pour pénétrer dans votre système, cela montre que vous ne pouvez faire confiance à aucune plate-forme.

La mise en œuvre d’une sécurité de confiance zéro est la meilleure solution. Veillez à ce que tout le trafic entrant dans votre réseau soit soumis à des contrôles de sécurité standard afin de vérifier son intégrité.

Leave your vote

0 0 votes
Évaluation de l'article
S’abonner
Notification pour
guest
0 Commentaires
Commentaires en ligne
Afficher tous les commentaires

Log In

Forgot password?

Don't have an account? Register

Forgot password?

Enter your account data and we will send you a link to reset your password.

Your password reset link appears to be invalid or expired.

Log in

Privacy Policy

Add to Collection

No Collections

Here you'll find all collections you've created before.

0
Nous aimerions avoir votre avis, veuillez laisser un commentaire.x

Newsletter

inscrivez vous pour recevoir nos actualités

Actualités, astuces, bons plans et cadeaux !