{"id":11618,"date":"2019-04-17T13:13:06","date_gmt":"2019-04-17T13:13:06","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=11618"},"modified":"2019-11-22T08:52:19","modified_gmt":"2019-11-22T08:52:19","slug":"domain-fronting-rsa2019","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/domain-fronting-rsa2019\/11618\/","title":{"rendered":"RSAC 2019 : pourquoi les pirates informatiques ont besoin du domain fronting"},"content":{"rendered":"

Le domain fronting<\/em>, une m\u00e9thode utilis\u00e9e pour se prot\u00e9ger derri\u00e8re un domaine tiers, est sous le feu des projecteurs depuis que Telegram<\/a> s\u2019en est servi pour \u00e9viter d\u2019\u00eatre bloqu\u00e9 par Roskomnadzor, le r\u00e9gulateur d\u2019Internet en Russie. Cette fois, ce sont les membres du SANS Institute qui ont parl\u00e9 du sujet lors de la conf\u00e9rence RSA. Pour les pirates informatiques cette technique n\u2019est pas un vecteur d\u2019attaque, mais plut\u00f4t une fa\u00e7on de contr\u00f4ler l\u2019ordinateur infect\u00e9 et d\u2019exfiltrer les donn\u00e9es vol\u00e9es. Ed Skoudis a d\u00e9crit, dans le rapport dont nous avons d\u00e9j\u00e0 parl\u00e9<\/a>, un plan d\u2019action que les cybercriminels ont tendance \u00e0 utiliser pour \u00ab\u00a0dispara\u00eetre dans les Cloud\u00a0\u00bb.<\/p>\n

\"\"<\/p>\n

Les attaques APT les plus complexes sont d\u00e9tect\u00e9es lorsqu\u2019elles \u00e9changent des donn\u00e9es avec le serveur de commande. Ces \u00e9changes soudains entre un ordinateur du r\u00e9seau interne de l\u2019entreprise et une machine externe inconnue sont un avertissement qui va s\u00fbrement amener l\u2019\u00e9quipe IT \u00e0 r\u00e9agir. C\u2019est pourquoi les cybercriminels sont fermement r\u00e9solus \u00e0 cacher ces communications. Il est de plus en plus courant d\u2019utiliser plusieurs r\u00e9seaux de diffusion de contenu (CDNs)<\/a> pour mener \u00e0 bien cette action.<\/p>\n

L\u2019algorithme d\u00e9crit par Skoudis ressemble \u00e0 cela :<\/p>\n

    \n
  1. Un ordinateur du r\u00e9seau de l\u2019entreprise est infect\u00e9 par un malware.<\/li>\n
  2. Cette machine envoie une requ\u00eate DNS \u00e0 un site Internet irr\u00e9prochable et fiable \u00e0 partir d\u2019un CDN de confiance.<\/li>\n
  3. Le pirate informatique, qui est un client du m\u00eame CDN, h\u00e9berge son site Internet au m\u00eame endroit.<\/li>\n
  4. L\u2019ordinateur infect\u00e9 \u00e9tabli une connexion TLS chiffr\u00e9e avec le site Internet de confiance.<\/li>\n
  5. Au cours de cette connexion, le malware envoie une requ\u00eate HTTP 1.1 pour s\u2019occuper du serveur Web du pirate informatique qui se trouve dans le m\u00eame CDN.<\/li>\n
  6. Le site Internet transmet la requ\u00eate aux serveurs du malware.<\/li>\n
  7. Le canal de communication est instaur\u00e9.<\/li>\n<\/ol>\n

    Pour les sp\u00e9cialistes des technologies de l\u2019information responsables du r\u00e9seau de l\u2019entreprise, tous ces \u00e9changes semblent avoir lieu avec un site Internet s\u00fbr, \u00e0 partir d\u2019un CDN connu, et passeraient par un canal chiffr\u00e9, puisqu\u2019ils consid\u00e8rent que le CDN, client de l\u2019entreprise, fait partie de leur r\u00e9seau de confiance. C\u2019est une grosse erreur.<\/p>\n

    Selon Skoudis, les sympt\u00f4mes d\u00e9crits ci-dessus sont ceux d\u2019une tendance extr\u00eamement dangereuse. Le domain fronting<\/em> est d\u00e9sagr\u00e9able mais g\u00e9rable. Le danger est que les criminels s\u2019aventurent d\u00e9j\u00e0 dans les technologies Cloud. En th\u00e9orie, ils peuvent cr\u00e9er des cha\u00eenes de CDN et cacher tranquillement leurs activit\u00e9s derri\u00e8re les services Cloud, et ainsi organiser un \u00ab\u00a0blanchiment de connexion\u00a0\u00bb. La probabilit\u00e9 qu\u2019un CDN en bloque un autre pour des raisons de s\u00e9curit\u00e9 est pratiquement nulle. Cela endommagerait certainement l\u2019entreprise.<\/p>\n

    Pour faire face \u00e0 genre de m\u00e9thodes, Skoudis conseille d\u2019employer des techniques d\u2019interception TLS. Il est particuli\u00e8rement important de savoir que vous pouvez vous retrouver dans cette situation, et de ne pas oublier ce vecteur d\u2019attaque sur le Cloud lorsque vous mod\u00e9lisez les menaces.<\/p>\n

    Les experts de Kaspersky Lab connaissent aussi tr\u00e8s bien ces astuces malveillantes. Notre solution Threat Management and Defense<\/a> peut d\u00e9tecter ces canaux de communication et r\u00e9v\u00e9ler une \u00e9ventuelle activit\u00e9 malveillante.<\/p>\n","protected":false},"excerpt":{"rendered":"

    Une conf\u00e9rence du RSAC 2019 explique comment ils utilisent le domain fronting pour dissimuler les communications entre une machine infect\u00e9e et un serveur de commande.<\/p>\n","protected":false},"author":700,"featured_media":11620,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6,2112,3150],"tags":[2910,3488,1099,3425,1100,2899],"class_list":{"0":"post-11618","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"category-business","9":"category-enterprise","10":"tag-attaques-informatiques","11":"tag-cdn","12":"tag-conference-rsa","13":"tag-rsa2019","14":"tag-rsac","15":"tag-tls"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/domain-fronting-rsa2019\/11618\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/domain-fronting-rsa2019\/15577\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/domain-fronting-rsa2019\/13122\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/domain-fronting-rsa2019\/17498\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/domain-fronting-rsa2019\/15648\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/domain-fronting-rsa2019\/14337\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/domain-fronting-rsa2019\/18219\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/domain-fronting-rsa2019\/17152\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/domain-fronting-rsa2019\/22571\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/domain-fronting-rsa2019\/5881\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/domain-fronting-rsa2019\/26352\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/domain-fronting-rsa2019\/11686\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/domain-fronting-rsa2019\/18978\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/domain-fronting-rsa2019\/23020\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/domain-fronting-rsa2019\/18224\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/domain-fronting-rsa2019\/22430\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/domain-fronting-rsa2019\/22366\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/rsac\/","name":"RSAC"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/11618","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=11618"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/11618\/revisions"}],"predecessor-version":[{"id":12685,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/11618\/revisions\/12685"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/11620"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=11618"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=11618"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=11618"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}