La menace des proxys résidentiels
(feistyduck.com)- Les proxys résidentiels détournent le trafic via des adresses domestiques ou des points de terminaison réseau similaires, et se développent avec la demande de scraping cherchant à éviter les blocages d’IP de datacenters
- Les sites web doivent laisser l’accès ouvert aux utilisateurs ordinaires tout en filtrant le trafic automatisé indésirable ; les scans basés sur une seule IP ou sur des serveurs cloud sont généralement bloqués rapidement
- Les réseaux de proxys peuvent être constitués via l’intégration de SDK dans des apps, des écrans de consentement insuffisants, le piratage de routeurs ou des appareils bon marché livrés avec des malwares préinstallés ; les utilisateurs peuvent devenir, sans le savoir, une partie d’un botnet
- Quand un réseau domestique ou d’entreprise devient un nœud de sortie de proxy, cela peut entraîner une consommation de bande passante, le blocage de l’accès à des sites web, une visite d’enquêteurs, ou un risque d’accès au réseau interne
- À la maison, il faut isoler les appareils importants et surveiller le volume de trafic ; en entreprise, le blocage des appareils non identifiés, le DNS de protection, la threat intelligence et l’inspection du trafic deviennent des moyens de défense réalistes
Pourquoi les proxys résidentiels sont utilisés
- Un proxy résidentiel désigne généralement un proxy installé sur une adresse domestique, utilisé pour des activités comme le scraping de sites web
- Les services Internet doivent fournir leur service au grand public tout en détectant et en supprimant le trafic indésirable
- Surveiller de grands sites web depuis une seule adresse IP conduit souvent à un blocage rapide
- Même en élargissant le scan aux IP de serveurs de plusieurs fournisseurs cloud, le trafic de datacenter est facilement bloqué en bloc
- L’alternative qui exploite cette faille consiste à louer des points de terminaison résidentiels
Entre usages légitimes et abus
- Le scraping peut être une pratique indésirable, mais il n’est pas toujours illégal en soi
- En revanche, le scraping intensif devient un problème opérationnel dont les sites web doivent se protéger
- Les finalités d’usage vont de cas légitimes comme la surveillance réseau payante jusqu’aux abus criminels
- Les criminels qui veulent attaquer des sites web utilisent parfois des proxys résidentiels pour masquer leurs traces
- La diffusion de l’IA et des agents IA accroît encore la demande
- Les fournisseurs d’IA veulent utiliser les contenus Internet pour l’entraînement
- Les utilisateurs d’IA veulent donner à leurs outils le même accès sans restriction dont ils bénéficient
- On estime aujourd’hui que les bots génèrent plus de trafic Internet que les humains
Des tentatives de paiement pour changer l’économie du scraping
- Faire payer les bots pour leur accès est évoqué comme une solution possible pour ajuster l’économie du scraping
- En 2025, Cloudflare a proposé l’idée du pay-per-crawl, puis a créé avec Coinbase le standard x402
- AWS a récemment ajouté la prise en charge de ce protocole de paiement dans son produit WAF
Modes de construction des réseaux : SDK et consentement insuffisant
- L’exploitation de proxys résidentiels nécessite un grand nombre de points de terminaison réseau répartis dans le monde
- Certaines méthodes prennent, en apparence, une forme légale
- Créer un kit de développement logiciel pour des appareils présents en masse, comme les téléphones ou les téléviseurs
- Payer des développeurs d’apps pour intégrer le logiciel de proxy dans leurs applications
- Dans le pire des cas, le code de proxy est distribué discrètement avec une app gratuite
- Même dans le meilleur des cas, un écran de consentement est présenté à l’utilisateur final pour qu’il accepte d’opérer un nœud de sortie de proxy, mais la question demeure de savoir si ce consentement est réellement éclairé
- Le rapport d’Include Security sur la manière dont les smart TV deviennent des nœuds de l’économie du scraping par l’IA explique cette structure
- Selon Synthient, la plupart des victimes sont des résidents
Modes de construction illégaux : piratage de routeurs et malwares préinstallés
- Une autre approche consiste à construire le réseau par tous les moyens possibles, y compris illégaux
- Le piratage de routeurs reste un moyen de constitution efficace
- Des cas d’appareils bon marché vendus avec un malware de proxy résidentiel préinstallé ont été documentés
- Un utilisateur peut acheter un cadre photo numérique pour des photos de famille, alors que l’appareil se comporte en réalité comme un cheval de Troie et peut devenir une partie d’un botnet
- KrebsOnSecurity a publié un rapport approfondi sur le fonctionnement de ces réseaux
Les dommages pour les réseaux domestiques
- Avec de la chance, quelqu’un se contentera d’effectuer du scraping depuis l’adresse IP de l’utilisateur en n’utilisant qu’une partie de sa bande passante
- Si l’adresse IP est associée à un réseau de proxys résidentiels, l’accès à certains sites web peut ne plus être possible
- Dans un scénario plus grave, quelqu’un peut utiliser l’adresse IP de l’utilisateur comme relais pour des cyberattaques, entraînant une visite du FBI ou d’une agence gouvernementale locale
- Les réseaux de proxys résidentiels sont de plus en plus utilisés par des criminels comme passerelle vers les réseaux internes
Risque d’accès au réseau interne
- Certains fournisseurs affirment limiter l’accès aux adresses IP privées, mais ce code est généralement mal écrit
- De nombreux appareils Android semblent être livrés avec Android Debug Bridge, conçu pour le dépannage par les fabricants
- Sur le même réseau, ces appareils peuvent être rootés rapidement
- Les preuves de trafic de proxys résidentiels augmentent aussi dans les réseaux d’entreprise
- Le rapport d’Infoblox indique que jusqu’à 65 % des clients de ses services de DNS de protection présentent du trafic vers des réseaux de proxys résidentiels
- Taux de détection chez les clients : {p:65}
Points de défense pour les particuliers et les entreprises
- À la maison, on peut envisager d’utiliser des réseaux virtuels pour isoler les appareils importants du reste des équipements
- La surveillance du volume de trafic est également utile
- Toutefois, si quelqu’un dans le foyer peut installer une nouvelle app sur le téléviseur, il n’existe pas de solution certaine
- En environnement d’entreprise, l’idéal est de ne pas autoriser les appareils inconnus sur le réseau, mais la mise en œuvre réelle n’est pas simple
- Un service de DNS de protection connaissant les réseaux de proxys résidentiels courants peut aider à réduire ce trafic et à identifier les appareils problématiques
- Certains appareils peuvent contourner le DNS et se connecter directement à des adresses IP hardcodées
- Dans ce cas, une bonne threat intelligence ainsi que l’inspection et la surveillance du trafic d’entreprise sont nécessaires
1 commentaires
Commentaires sur Lobste.rs
On ne peut s’empêcher de se demander avec cynisme qui a rendu ce marché viable 🙄
Des centaines de millions d’appareils IoT, de smart TV et d’équipements réseau ne reçoivent plus de mises à jour, et dans bien des cas le fabricant a disparu
Certains ont même été livrés dès le départ avec du malware, mais la plupart sont simplement abandonnés, sans que personne n’en soit responsable tout en devenant le problème de tout le monde
Je me demande s’il existe un moyen simple de détecter si les appareils d’un réseau domestique se comportent ainsi, autrement qu’en les surveillant via une approche d’homme du milieu
Cet outil semble vérifier si mon adresse IP, ou une autre, présente des traces d’utilisation comme proxy résidentiel
Je ne connais pas sa précision, et l’utilisation d’une IP dynamique pourrait probablement influencer les résultats
J’ai décroché dès le passage affirmant que « de nombreux appareils basés sur Android sont livrés avec Android Debug Bridge, destiné au dépannage par le fabricant, activé, ce qui permet de rooter facilement l’appareil depuis le même réseau »
En laboratoire, utiliser
adb remotesur un appareil pour tester ou déboguer un nouveau build est très pratique, et dans un contexte d’itérations rapides, maintenir des builds séparés pour le développement et pour la distribution client est contraignantJ’ai moi-même déjà empêché l’expédition d’un appareil avec ADB grand ouvert, et j’avais fait pas mal de bruit à ce sujet à l’époque
Je pense qu’ailleurs, ça a très bien pu passer inaperçu
L’une des entreprises qui vendent des proxys résidentiels est Bright Data, également mentionnée dans l’linked article
Ils utiliseraient une voie via SDK, en intégrant le proxy dans le SDK qu’ils fournissent
Meta et X ont tenté de s’y opposer, mais ont perdu