Un important réseau de plus de 120 000 proxys résidentiels malveillants démasqué

Lisez-vous attentivement les conditions d’utilisation lorsque vous téléchargez une application? Une récente découverte réalisée par le professeur d’informatique Marc Frappier et deux étudiants, Philippe-Antoine Plante à la maîtrise en informatique et Guillaume Joly au baccalauréat en informatique, nous invite à la vigilance quant au téléchargement de réseaux privés virtuels (VPN) offerts gratuitement sur le Web.

L’équipe de recherche a découvert que certains VPN gratuits inscrivent furtivement leurs utilisatrices et utilisateurs à un réseau de proxys résidentiels. En acceptant les conditions d’utilisation, les utilisateurs de ces VPN rendent, sans le savoir, leur adresse IP disponible pour la location comme proxy, sans aucune vérification de l’usage qui en sera fait. Un proxy sert de relais pour les communications Internet entre une source et une destination. La source envoie ses communications au proxy, et celui-ci les relaie à la destination. Pour la destination, la requête semble provenir du proxy, la source étant masquée derrière le proxy.

Il faut savoir que les services de proxy résidentiels (RPS) sont légaux. Ils peuvent être utilisés de manière légitime à des fins commerciales pour réaliser une étude de marché, par exemple. La personne ou l’entreprise loue alors une adresse IP résidentielle afin de l’utiliser comme relais pour ses communications Internet. Le RPS lui permet de contourner le contrôle d'accès basé sur l'adresse IP source (par exemple, le filtrage des VPN, des services d’infonuagique, des concurrents, de l'accès par pays, etc.).

Le problème, c’est lorsque le RPS ne filtre pas sa clientèle, comme celui qui a été étudié par le P^r Marc Frappier et ses deux étudiants. Il peut alors être utilisé pour dissimuler des activités malveillantes.

Il devient à ce moment très difficile de remonter à la source de la personne malveillante, puisque, pour les serveurs visités, le trafic IP semble provenir de l'adresse IP résidentielle louée et non de l'utilisateur original du RPS.

Les deux VPN que nous avons étudiés, MaskVPN et DewVPN, rendent les utilisateurs membres du réseau du service de proxys 911.re. Certains RPS bien connus, comme Brightdata, recrutent des proxys résidentiels par le biais d'un certain niveau de consentement éclairé et filtrent les clients RPS pour limiter toute utilisation illégitime. Ce n’est pas le cas de 911.re.

En téléchargeant l’un ces deux VPN, les utilisateurs et utilisatrices peuvent être victimes du passage de trafic illicite sur leur propre réseau. Par conséquent, ils s’exposent à de sérieux ennuis juridiques. De plus, cela ouvre une porte pour un accès malicieux à des composantes de leur réseau local (ex: appareils connectés sur le WIFI de la maison). Un ordinateur infecté qui se connecte à un réseau d'entreprise pour du télétravail expose aussi les ressources de ce réseau à un accès malveillant.

Les VPN comme ceux étudiés par le P^r Frappier et son équipe se cachent derrière un fonctionnement qui paraît normal. Les antivirus les plus communs ne peuvent même pas les détecter. Pour remédier à une infection, différentes options sont possibles, dont la simple désinstallation. Certains ordinateurs semblent être infectés sans passer par l’installation intentionnelle de MaskVPN ou DewVPN. Un indicateur important d’appartenance au réseau 911.re est l’existence des processus mask_svc.exe ou dew_svc.exe, qui gèrent les communications du proxy.

Une contribution concrète à la cybersécurité ici et ailleurs dans le monde

Les trois chercheurs ont présenté leur découverte le 9 juin à des services de police spécialisés dans la cybersécurité au Canada, aux États-Unis, au Royaume-Uni, en Europe et en Australie, ainsi qu’à des représentants de divers fournisseurs d’accès Internet et de l'industrie financière au Canada et ailleurs dans le monde. Les chercheurs remercient l’équipe du secteur de la mise en application du commerce électronique du CRTC pour l’organisation de cette rencontre. Le webinaire a notamment porté sur le processus de recrutement du RPS 911.re, son architecture de communication, ses indicateurs de compromission ainsi que les contre-mesures pour le désactiver.

Dès 2006, le Département d’informatique s’est doté d’un Centre de formation en technologies de l'information (CeFTI). Le CeFTI a pour mandat de former et de réunir des personnes expertes qui abordent les enjeux de cybersécurité. Il développe également des partenariats qui font de l'UdeS un des acteurs importants sur la scène internationale dans le domaine de la formation continue en TI.

L’Université de Sherbrooke est aux premières loges du développement de la cybersécurité. Elle forme les futurs et futures spécialistes de la cybersécurité. Plusieurs programmes d’études sont offerts en plus des formations en ligne et d'une école d’été. Réunissant des expertises de disciplines variées, les équipes de recherche de l’UdeS participent activement à l’avancement des connaissances en cybersécurité. Elles contribuent à faire de Sherbrooke un pôle majeur dans ce domaine.