Définition Domain Fronting
Censure, interdiction, restrictions : internet est sous haute surveillance dans certains pays. Pour accéder aux informations de source étrangère, les internautes doivent contourner ces dispositifs discrètement. Véritable tactique de manipulation, le domain fronting (domaine de façade) représente un moyen efficace pour y parvenir. Il permet à un utilisateur de se connecter à un site web censuré en laissant penser qu’il se connecte à un site autorisé.
Militants, opposants, mais aussi cybercriminels utilisent cette technique pour obtenir ou pour échanger des informations. Sa mise en place exige un savoir-faire informatique. Mais son utilisation est rendue accessible grâce à des outils alternatifs. Découvrez comment le domain fronting fonctionne, quels sont ses utilisateurs et comment s’en prémunir lorsque son utilisation sert des fins criminelles.
Qu’est-ce que le domain fronting ?
Le domain fronting, c’est avant tout une stratégie psychologique qui vise à déstabiliser la censure.
L’origine du domain fronting : un internet libre pour tous les utilisateurs
C’est en 2015 que des chercheurs de l’université de Berkeley partagent la découverte du domain fronting. Leurs travaux visent à préserver la liberté d’accès aux ressources d’internet. Il s’agit donc de créer une solution qui évite toute forme de censure. Pour y parvenir, ils choisissent d’étudier le comportement psychologique des censeurs.
Ces derniers détiennent une position dominante. Ils contrôlent localement l’accès aux sites web. Mais, d’un autre côté, les chercheurs savent qu’internet est devenu incontournable pour l’économie de tous les pays. Les censeurs ne peuvent donc pas bloquer un site populaire ou des services internet essentiels sans réfléchir aux éventuels dommages collatéraux. C’est ce talon d’Achille que les chercheurs vont exploiter.
Ces experts informatiques conçoivent ainsi la stratégie du domain fronting : s’appuyer sur un domaine autorisé pour atteindre un domaine interdit. Dès lors, les censeurs sont devant un choix cornélien : bloquer l’accès au site autorisé et entraîner des conséquences économiques ou autoriser son accès et perdre le contrôle de la connexion à des sites censurés.
Le domain fronting : habile tour de passe-passe de la requête utilisateur
Le domain fronting, c’est l’utilisation de l’art du trompe-l’œil. Concrètement, vous saisissez l’URL d’un site autorisé et reconnu (domaine de façade respectable) : https://google.com/. Mais, cette première requête vise à tromper les listes des domaines interdits par la censure. La demande de connexion est donc accordée pour le serveur de Google, le site en façade. Mais en fait, vous vous connectez au site du New York Times : https://www.nytimes.com/.
Les censeurs ne peuvent pas distinguer le trafic légitime vers le site de Google du trafic détourné vers le site du journal américain. Le tour de passe-passe réalisé s’appuie sur les éléments (ou couches) de communication informatique qui composent la requête effectuée par un internaute. La technique du domaine de façade modifie seulement l’élément qui indique la destination cible.
Comment fonctionne le domain fronting ?
Le principe du domain fronting repose sur le système de communication existant entre l’ordinateur de l’internaute et le serveur hébergeant le site web recherché.
Rappel : nom de domaine et requête sur le web
Le nom de domaine d’un site, c’est la traduction intelligible de son adresse sur internet ou IP (internet protocol). Cette dernière se présente en effet sous la forme d’une succession de chiffres : 193.165.2.30 par exemple. Le nom de domaine est unique dans un espace donné : son extension (. fr, .com, .net) délimite l’espace de nommage. Il se compose d’un nom propre, d’une marque ou de mots clés.
Lorsqu’un internaute veut se connecter à Amazon, il tape la requête amazon dans la barre de recherche de son navigateur. Il envoie en réalité trois requêtes.
- Une requête DNS (domain name system) : celle-ci permet de traduire le nom de domaine saisi dans la barre de recherche en adresse IP. Pour Amazon France, l’adresse IP c’est 54.239.33.91.
- Une requête TLS (transport layer security) : ce protocole permet d’établir une connexion sécurisée entre le navigateur de l’utilisateur et le serveur du site web recherché. Cette requête utilise une extension nommée SNI (server name indication) qui indique le nom de domaine du site web : https://www.amazon.fr/.
- Une requête HTTP (hypertext transfer protocol) : elle précise la demande et reçoit le contenu du site web demandé. Cette requête utilise un en-tête nommé Host et comprend le nom de domaine du site. Par exemple, https://www.amazon.fr/ affiche la page d’accueil du site du géant du web en français.
Une technique de connexion masquée à un domaine cible
Les trois requêtes formulées dans la requête de l’internaute utilisent normalement le même nom de domaine. Le domain fronting consiste à utiliser des noms de domaine différents pour tromper la censure. Et grâce à la connexion sécurisée, aucun robot de contrôle ne peut détecter la destination cible et les ressources échangées.
Par exemple, pour vous connecter à un site web interdit (example.com) dans un pays, vous utilisez un nom de domaine autorisé comme amazon.fr dans les requêtes DNS et TLS. Puis vous modifiez la requête HTTP avec le nom de domaine du site example.com.
Domain fronting, les avantages de la technique
Les censeurs ne vérifient que le nom de domaine affiché (domaine frontal). Ainsi, dans notre exemple, amazon.fr sert de façade respectable. Les contrôles montrent alors que ce domaine est autorisé et fiable. Ils ne bloquent pas l’accès au site interdit example.com. Ils ne distinguent pas le trafic généré par les vrais clients d’Amazon du trafic vers example.com.
Les domaines et les services internet populaires représentent ainsi une opportunité pour les experts du domain fronting. Ils sont difficiles à bloquer sans conséquences pour leurs clients. C’est en particulier le cas pour Google.
Qui utilise le domain fronting et dans quelle circonstance ?
L’utilisation du domain fronting est multiple. Elle se veut légitime ou illégitime selon les intentions des internautes.
Citoyens et militants : contourner la surveillance et la censure sur le web
Les utilisateurs du web utilisent le domain fronting pour contourner la surveillance et la censure dans certains pays. En Chine, en Russie ou en Iran, cette technique permet aux opposants de continuer à échanger des informations avec le monde extérieur. Les messageries Signal et Telegram, ainsi que le réseau Tor, représentent des exemples d’utilisation du domain fronting dans des pays autoritaires.
Signal et Telegram : des services de messagerie sécurisée sous haute surveillance
L’application de messagerie Signal utilise le domain fronting avec Google pour permettre à ses clients de communiquer sans être bloqués notamment en Égypte, aux Émirats arabes unis ou dans le Sultanat d’Oman. L’application utilise également la cryptographie pour chiffrer les appels vocaux et vidéo. La messagerie est financée par une organisation à but non lucratif (Signal Foundation).
L’application Telegram utilise le domain fronting en Russie pour déjouer le blocage des autorités. Celles-ci exigeaient que la messagerie leur fournisse sa clé de chiffrement. Devant son refus, l’application a été interdite. Elle s’est alors appuyée sur les domaines de façade Google et Amazon.
Tor : un super réseau internet anonyme
Tor est un service informatique qui s’appuie sur des serveurs relais dans le monde entier. Son utilisation se veut totalement anonyme. L’historique de navigation et les adresses IP restent secrets. Tor utilise des domaines de façade pour garantir la vie privée des internautes dans les États où son utilisation est interdite. Le projet Tor est soutenu par des individus et des associations.
Cybercriminalité : télécharger des données sur internet sans se faire repérer
Le groupe cybercriminel Cosy Bear a utilisé des domaines de façade pour masquer ses attaques pendant au moins deux ans avant d’être démasqué. Les domaines légitimes masquent l’installation d’un malware sur un site cible et l’extraction des données.
Google a servi de domaine de façade aux hackers du groupe Cosy Bear. Ceux-ci ont également utilisé le réseau TOR pour renforcer la dissimulation de leurs attaques. L’utilisation du domain fronting par des cybercriminels soulève ainsi la question de sa légitimité.
Le domain fronting est-il légal ?
Le domain fronting soutient à la fois la liberté d’expression et l’anonymat sur le web. La technique n’a pas de fondement criminel à l’origine. Elle est donc légale dans la majorité des pays. Mais son utilisation heurte le cadre juridique des États où la liberté d’expression est restreinte. En ce cas, le domain fronting devient une violation des lois et des règlements.
Ses utilisateurs s’exposent donc à des sanctions pénales. L’application Telegram a ainsi reçu une amende de quatre millions de roubles (40 500 euros) en 2021 pour avoir utilisé un domaine de façade. Et la société Google s’est vu infliger une amende de deux millions de roubles pour avoir servi d’écran.
Comment détecter et contrer les attaques de domain fronting en cybersécurité ?
Le domain fronting demeure difficile à détecter et à contrer. La technique s’appuie en effet sur des façades légitimes et populaires. De plus, les cybercriminels utilisent désormais plusieurs réseaux de distribution de contenu (CDN) pour mener leurs attaques. L’utilisation des services d’un cloud comme CloudFront d’AWS (Amazon web services) et d’un réseau de serveurs renforce ainsi la difficulté de détection des cyberattaques.
Malgré tout, il est possible de prendre certaines mesures de sécurité.
- Installation d’un serveur proxy pour filtrer le trafic et pour détecter les anomalies éventuelles. Il s’agit d’intercepter les requêtes TLS et de vérifier la cohérence des noms de domaine.
- Surveillance des requêtes DNS et conservation des enregistrements actifs.
- Mise à jour de la configuration des serveurs pour intégrer des exigences de cohérence des noms de domaine dans les requêtes.
- Formation et recrutement d’experts en cybersécurité.
Le domain fronting, c’est une formidable opportunité pour déjouer les restrictions d’accès au web. Mais, cette technique porte en elle le risque d’une utilisation criminelle par les hackers. Pour se prémunir, Google et Microsoft ont par exemple rendu impossible l’utilisation de leur nom de domaine en façade.