Qu’est-ce qu’une attaque de front de domaine et comment l’éviter ?

On dit que tout est juste dans la guerre. Les cybercriminels mettent tout en œuvre pour gagner la cyberguerre en utilisant tous les moyens possibles pour attaquer les victimes sans méfiance et s’emparer de leurs données. Ils déploient les plus grandes tromperies pour masquer leur identité et vous prendre par surprise avec des techniques telles que les attaques par front de domaine.

Ce domaine apparemment légitime qui accède à votre réseau ne l’est peut-être pas. Pour autant que vous le sachiez, un attaquant peut l’utiliser pour vous mettre dans une situation délicate. C’est ce que l’on appelle une attaque par frontage de domaine. Y a-t-il quelque chose que vous puissiez faire ?

Qu’est-ce qu’une attaque par fronting de domaine ?

Dans le cadre de la réglementation de l’internet, certains pays limitent l’accès des citoyens à certains contenus et sites web en ligne en bloquant le trafic des utilisateurs sur leur territoire. Dans l’impossibilité d’accéder légitimement à ces sites web figurant sur la liste noire, certaines personnes cherchent des moyens d’accès non autorisés.

Le « domain fronting » est un processus par lequel un utilisateur déguise son domaine pour accéder à un site web dont l’accès lui est interdit. Une attaque par fronting de domaine, quant à elle, est un processus qui consiste à utiliser les techniques de fronting de domaine pour attaquer un réseau à partir d’un domaine légitime.

À l’origine, le domain fronting n’était pas un moyen de cyberattaque. Les utilisateurs non malveillants pouvaient l’utiliser pour contourner la censure de certains domaines dans leur pays. Par exemple, en Chine continentale où YouTube est interdit, un utilisateur pouvait utiliser le domain fronting pour accéder à YouTube à des fins de divertissement inoffensif sans compromettre le compte de qui que ce soit. Mais comme il s’agissait d’un moyen pratique de contourner les contrôles de sécurité, les cybercriminels l’ont détourné à des fins égoïstes, d’où le facteur d’attaque.

Voir aussi :  RDP ou VPN : Quelle est la différence ?

Comment fonctionne une attaque par frontage de domaine ?

Pour déjouer la censure sur le terrain, un acteur utilisant un domaine prend l’identité d’un utilisateur légitime de l’internet, généralement d’une autre région géographique. Le réseau de diffusion de contenu (CDN), un référentiel de serveurs proxy à travers le monde, joue un rôle majeur dans une attaque par frontage de domaine.

Lorsque vous souhaitez accéder à un site web, vous déclenchez les requêtes suivantes :

  1. DNS : Votre appareil connecté à l’internet possède une adresse IP. Cette adresse est unique et exclusive à votre appareil. Lorsque vous essayez d’accéder à un site web, vous lancez une requête DNS (Domain Name System) qui convertit votre nom de domaine en adresse IP.
  2. HTTP : La requête du protocole de transfert hypertexte (HTTP) connecte votre demande d’accès aux hypertextes du World Wide Web (WWW).
  3. TLS : La requête TLS (transport layer security) convertit vos commandes HTTP en HTTPS via le cryptage et sécurise les entrées entre vos navigateurs web et les serveurs.

En fait, un DNS convertit votre nom de domaine en une adresse IP, et l’adresse IP fonctionne sur une connexion HTTP ou HTTPS. La conversion de votre nom de domaine en adresse IP ne modifie pas votre domaine ; il reste le même. Mais dans le cas du domain fronting, alors que votre domaine reste le même dans le DNS et le TLS, il change dans le HTTPS. Les enregistrements DNS indiquent le domaine légitime, mais le HTTPS redirige vers un domaine interdit.

Par exemple, vous vivez dans un pays où le site example.com est bloqué mais vous voulez quand même y accéder. Votre objectif est d’accéder à example.com en utilisant un site web légitime tel que lizengo.fr. Les demandes adressées à votre DNS et à votre TLS pointeront vers lizengo.fr, mais votre connexion HTTPS pointera vers example.com.

Le domain fronting s’appuie sur la sécurité avancée du HTTPS pour réussir. Comme HTTPS est crypté, il peut contourner les protocoles de sécurité sans être détecté.

Voir aussi :  Comment se protéger contre ces 8 attaques d'ingénierie sociale

Les cybercriminels s’appuient sur le scénario ci-dessus pour lancer des attaques de domain fronting. Au lieu d’utiliser un domaine légitime pour accéder à des sites web dont l’accès leur est interdit en raison de la censure, ils utilisent un domaine légitime pour voler des données et effectuer les tâches préjudiciables qui y sont associées.

Comment prévenir les attaques par frontage de domaine

Lorsqu’ils lancent des attaques par frontage de domaine, les cybercriminels ne frontent pas n’importe quel domaine légitime, mais des domaines très bien classés. En effet, ces domaines ont la réputation d’être authentiques. Vous n’avez donc aucune raison de vous méfier lorsque vous repérez un domaine légitime sur votre réseau.

Vous pouvez prévenir les attaques de domain-fronting de la manière suivante.

Installez un serveur proxy

Un serveur proxy est un intermédiaire entre vous (votre appareil) et l’internet. Il s’agit d’un système de sécurité qui empêche les utilisateurs d’accéder directement à l’internet, d’autant plus que le trafic des utilisateurs peut être nuisible. En d’autres termes, il filtre le trafic pour vérifier les vecteurs de menace avant de l’autoriser à entrer dans une application web.

Pour empêcher le domain fronting, configurez votre serveur proxy pour qu’il intercepte toutes les communications TLS et veillez à ce que l’en-tête hôte HTTP soit le même que celui que le HTTPS réachemine. En fonction de vos paramètres, le système refusera l’accès s’il constate une incohérence.

Évitez les entrées DNS enchevêtrées

Toutes les entrées de votre DNS sont censées diriger le trafic vers les canaux désignés. Lorsque vous faites une entrée que le DNS ne peut pas traiter en raison de l’absence de la ressource, vous avez un enregistrement DNS qui traîne.

Un enregistrement DNS est suspendu lorsqu’il est mal configuré ou obsolète et qu’il n’est pas utile aux commandes DNS. Cela ouvre la voie à des attaques par domaine, car les acteurs de la menace utilisent les entrées pour leurs activités malveillantes.

Voir aussi :  Quel est le système d'exploitation le plus sûr ? 5 systèmes d'exploitation sécurisés pour PC à considérer

Pour éviter les attaques de domain fronting par des entrées DNS pendantes, vous devez toujours veiller à ce que vos enregistrements DNS soient propres. Procédez à un assainissement régulier pour vérifier la présence d’entrées anciennes et obsolètes et supprimez-les. Vous pouvez utiliser un outil de surveillance DNS pour automatiser ce processus. Il génère une liste de toutes vos ressources actives dans les enregistrements DNS et distingue les ressources non actives.

Adoptez la signature de code

La signature de code est la signature de logiciels avec des signatures numériques telles que l’infrastructure à clé publique (PKI) pour montrer aux utilisateurs que le logiciel est intact sans aucune altération. L’objectif principal de la signature de code est de garantir aux utilisateurs que l’application qu’ils téléchargent est authentique.

La signature de code vous permet de signer votre domaine et d’autres ressources dans vos enregistrements DNS afin de démontrer leur intégrité et d’établir une chaîne de confiance entre eux. Le système ne validera ni ne traitera aucune ressource ou commande qui ne porte pas la signature autorisée.

Mettre en œuvre la confiance de sécurité zéro pour prévenir les attaques de frontage de domaine

Les attaques par contournement de domaine mettent en évidence les dangers associés au trafic de domaine. Si les pirates peuvent utiliser des plates-formes d’autorité légitimes pour pénétrer dans votre système, cela montre que vous ne pouvez faire confiance à aucune plate-forme.

La mise en œuvre d’une sécurité de confiance zéro est la voie à suivre. Veillez à ce que tout le trafic entrant dans votre réseau soit soumis à des contrôles de sécurité standard afin de vérifier son intégrité.

S’abonner à notre lettre d’information

Cliquez pour évaluer cet article !
[Total: Moyenne : ]

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *