Comment les cybercriminels localisent et exploitent des proxys gratuits
Pour les hackers, distribuer des attaques sur de nombreuses adresses IP devient de plus en plus simple et économique chaque jour.
Les proxys permettent aux cybercriminels de modifier régulièrement leur adresse IP. La possibilité de répartir une attaque sur des milliers d’adresses IP différentes permet aux attaquants d’échapper aux détections et aux blocages des approches traditionnelles comme la limitation de débit.
Bien que la majorité des proxys soient payants, plusieurs sites web offrent des listes de proxys gratuits accessibles à tous. Même si les distributeurs de proxys gratuits prétendent qu’ils sont destinés aux utilisateurs humains désireux de protéger leur vie privée, DataDome constate que ces proxys gratuits sont largement exploités par des bots malveillants pour mener des attaques. Examinons quelques statistiques et questions concernant les proxys gratuits.
Pourquoi les proxys sont-ils gratuits ?
Les proxys gratuits sont souvent utilisés comme technique de référencement par des sites web afin d’attirer des utilisateurs, avec l’objectif de leur vendre par la suite des proxys de meilleure qualité (meilleur temps de disponibilité, latence plus faible, et meilleure réputation).
Ces proxys gratuits sont généralement de qualité inférieure. La plupart sont hébergés dans des centres de données (souvent associés à la fraude dans les bases de données communes de réputation IP) ou appartiennent à des FAI ayant une mauvaise réputation. En plus de cela, ils sont très instables : souvent hors ligne et sujets à des pics de latence aléatoires, ce qui les rend peu fiables pour une utilisation à grande échelle.
En tant qu’ingénieur sécurité, devrais-je simplement bloquer les IP des proxys gratuits ?
Non, bloquer systématiquement toutes les IP de proxys gratuits peut poser problème, car certaines sont largement partagées, notamment dans les pays en développement. Il est préférable d’adopter une approche plus nuancée, en se montrant plus strict avec les proxys gratuits associés à des systèmes autonomes de centres de données. Cependant, il est essentiel de traiter ces informations comme un signal parmi d’autres pour prendre des décisions adaptées (bloquer le trafic, afficher un CAPTCHA, etc.).
Par ailleurs, comme pour tous les signaux de réputation, il est important d’établir un délai de rétention ou une date d’expiration lorsque vous bloquez ou signalez des IP, car celles-ci peuvent être réaffectées ou partagées par d’autres utilisateurs légitimes.
Statistiques sur les proxys gratuits
Chez DataDome, nous parcourons des dizaines de sites de proxys gratuits et des dépôts GitHub afin de constituer un historique des adresses IP utilisées comme proxys gratuits. Ces informations sont ensuite exploitées par nos modèles de détection basés sur l’intelligence artificielle pour bloquer le trafic frauduleux.
Pour garantir que ces IP sont bien des proxys (et éviter une attaque visant à polluer la base de données avec de fausses IP « légitimes » pour les faire bloquer), nous testons chaque proxy individuellement.
Un fait intéressant que nous avons observé est que la majorité des sites de proxy gratuits ont beaucoup de proxys gratuits qui se chevauchent. Il est très probable qu’ils s’échangent des données et qu’ils publient les mêmes données sur tous les sites web.
Comment les proxys gratuits sont-ils utilisés par les attaquants ?
Le trafic issu de proxys gratuits représente moins de 1 % du trafic total que nous observons sur les sites et applications que nous protégeons. Cependant, une proportion écrasante de ce trafic est malveillante (plus de 95 %).
Le graphique ci-dessous illustre le nombre de requêtes malveillantes provenant de proxys gratuits sur une semaine. Durant cette période, nous avons constaté plusieurs pics significatifs de trafic malveillant, chacun dépassant les 500 000 requêtes :
Graphique 1 : requêtes de bots provenant de proxys gratuits au fil du temps
La carte ci-dessous montre la répartition géographique du trafic de bots malveillants émanant de proxys gratuits. Nous observons des proxys gratuits à travers le monde entier, avec des concentrations marquées aux États-Unis, en Amérique du Sud et en Europe.
Graphique 2 : répartition géographique des requêtes de bots malveillants via des proxys gratuits
En ce qui concerne les systèmes autonomes liés aux proxys gratuits, nous constatons qu’une majorité des adresses IP appartiennent à des centres de données (~70 %), contre seulement ~17 % liées à des FAI résidentiels.
Graphique 3 : types de systèmes autonomes associés aux proxys gratuits (résidentiels vs centres de données)
Le tableau ci-dessous montre le nombre de requêtes malveillantes provenant de proxys gratuits par système autonome.
Quels types d’attaques sont menés via des proxys gratuits ?
Les bots utilisant des proxys gratuits réalisent un large éventail d’attaques : scraping, account takeover, vulnerability scanning et attaques DDoS.
Nous n’observons aucune activité de scalping sur les IP de proxys gratuits, ce qui est logique car le scalping nécessite des proxys rapides et fiables pour sécuriser des articles en édition limitée avant les autres bots et les utilisateurs humains.
En ce qui concerne le vulnerability scanning, nous constatons un flux continu d’activités malveillantes en provenance de proxys gratuits. Par exemple, environ 20,2 % des IP de proxys gratuits tentent de détecter la présence de la vulnérabilité Log4j.
Les proxys gratuits sont-ils toujours gratuits ?
L’équipe de recherche de DataDome s’est abonnée à plusieurs fournisseurs de proxys pour surveiller en continu leurs adresses IP. Sur une période d’une semaine, nous avons constaté que 26,9 % des IP de proxys gratuits que nous suivions étaient également proposées ou louées par au moins un des fournisseurs de proxys payants que nous avons infiltrés. Ainsi, certains proxys soi-disant « gratuits » sont en réalité monétisés par d’autres réseaux de proxys.
Enquête sur une attaque DDoS menée via des proxys gratuits
Nous avons concentré notre attention sur le pic de trafic le plus important visible dans le Graphique 1, qui s’est produit les 3 et 4 juillet 2022.
Si nous répartissons le trafic qui se produit pendant ce pic par client, nous observons que les bots ont principalement ciblé quatre sites web/applications différents, avec un pic de plus de 550 000 mauvaises requêtes de bots par minute.
Les sites et applications visés appartenaient à diverses catégories : e-commerce, petites annonces, et réseau social/communautaire. Chaque client est représenté par une couleur distincte dans le graphique ci-dessous.
Graphique 4 : requêtes de bots provenant de proxys gratuits au fil du temps, par client
Le trafic malveillant visant ces quatre clients semble provenir du même attaquant, même si les clients n’ont rien en commun. Toutes les requêtes visaient des pages non stratégiques : page d’accueil et pages de catégories.
Du point de vue de l’empreinte digitale, les pics ne partagent que peu de caractéristiques communes (excepté des empreintes déformées et obsolètes). Chaque pic présentait des en-têtes HTTP différents : user-agents (parfois aléatoires pour certains clients, pas pour d’autres), accept-language (présent ou absent selon les cas).
Aucun des bots impliqués dans ces pics n’a exécuté de JavaScript (JS), ce qui est une constante en dehors de cette série d’attaques. En général, les bots utilisant des proxys gratuits sont rudimentaires : pas d’exécution de JS, prise en charge des cookies minimale ou inexistante, et des empreintes incohérentes ou obsolètes.
Bien que les proxys gratuits soient de qualité inférieure (latence élevée, mauvaise réputation), ils peuvent causer des dommages considérables si vous n’êtes pas protégé. Les attaquants peuvent facilement accéder à un grand nombre de proxys gratuits, utilisables à des fins diverses, allant des attaques DDoS au credential stuffing, en passant par le scanning de vulnérabilités.
Comment réagir face aux proxys gratuits ?
Vous pouvez surveiller les sites de proxys gratuits ou utiliser des dépôts GitHub open-source qui sont mis à jour quotidiennement (par exemple, github.com/clarketm/proxy-list, free-proxy.cz/en/, et free-proxy-list.net/) pour suivre les listes de proxys gratuits. Ces ressources vérifient les serveurs de proxys gratuits pour vous, agrègent les données et les mettent régulièrement à jour.
Le fait qu’une adresse IP soit ou non liée à des proxys gratuits est un bon signal à prendre en compte pour la protection contre les bots et la fraude. N’oubliez pas qu’il est risqué de bloquer l’ensemble de l’adresse IP, car de nombreuses IP sont partagées.
Bloquer uniquement des IP individuelles n’est pas suffisant et peut se retourner contre vous lorsque vous traitez avec des adresses IP partagées. De plus, bloquer une IP peut arrêter une attaque, mais les attaquants sophistiqués s’adaptent rapidement en falsifiant des signatures, modifiant leur comportement ou en passant à des IP résidentielles plus fiables pour se fondre parmi les utilisateurs légitimes.
C’est pourquoi il est essentiel de collecter et d’analyser un large éventail de signaux pour défendre vos points de terminaison contre des attaques de plus en plus sophistiquées en temps réel. Une solution avancée comme le moteur de détection de DataDome fait précisément cela, arrêtant les bots avant qu’ils n’atteignent vos données sensibles.
Articles liés
Salles d'attente virtuelles : la faille que les bots exploitent
En savoir plus
Comment choisir un système de gestion de file d'attente en ligne
En savoir plus
Qu'est-ce qu'une salle d'attente virtuelle ? Guide de gestion des files d'attentes en ligne
En savoir plus
Les 10 questions à poser à un fournisseur de gestion de la confiance des bots et des agents
En savoir plus
