Definition

Proxy

Un serveur mandataire (ou proxy) est un ordinateur - ou un système logiciel exécuté sur un ordinateur - qui sert d'intermédiaire entre un terminal - tel qu'un PC - et un autre serveur à qui l'utilisateur demande un service. Le Proxy peut être placé sur le serveur d'un pare-feu ou sur un serveur séparé qui transmet les demandes par l'intermédiaire du pare-feu.

L'un des avantages d'un serveur mandataire est que son cache peut servir à tous les utilisateurs. Si des sites Internet sont fréquemment demandés, ils figurent certainement dans le cache du mandataire, ce qui améliore les délais de réponse de l'utilisateur. Un mandataire peut également consigner ses interactions dans un journal, ce qui peut s'avérer utile pour le dépannage.

Exemple simple de fonctionnement des serveurs mandataires

Lorsqu'un serveur Poxy reçoit une demande de ressource Internet (par exemple, une page Web), il la recherche d'abord dans son cache local des pages précédemment affichées. S'il trouve la page, il la renvoie à l'utilisateur sans avoir à transmettre la demande sur Internet. En revanche, si la page ne figure pas dans le cache, le serveur mandataire, en sa qualité de client pour le compte de l'utilisateur, utilise l'une de ses propres adresses IP pour demander la page auprès du serveur sur Internet. Dès que la page lui est renvoyée, il fait le lien avec la demande d'origine et la transmet à l'utilisateur.

Les Proxy peuvent être utilisés à des fins tant légales qu'illégales. Dans l'entreprise, un serveur mandataire assure la fourniture de services de sécurité, de contrôle administratif ou de mise en cache, entre autres finalités. Dans un contexte d'informatique personnelle, les serveurs mandataires permettent le respect de la vie privée et la navigation anonyme des utilisateurs.

Ils peuvent cependant être utilisés dans le but inverse : surveiller le trafic et compromettre la confidentialité des données des utilisateurs.

Le serveur mandataire reste invisible à l'utilisateur : toutes les demandes Internet et les réponses renvoyées paraissent directement échangées avec le serveur Internet concerné (en fait, le mandataire n'est pas vraiment invisible ; son adresse IP doit être indiquée en tant qu'option de configuration au navigateur ou autre programme de protocole).

Les utilisateurs peuvent accéder à des Proxy Web en ligne ou configurer des navigateurs Web pour qu'ils utilisent constamment un serveur mandataire.

Les serveurs mandataires peuvent servir plusieurs utilisateurs ou un seul par serveur. Selon le cas, ils sont appelés respectivement mandataires partagés ou dédiés. En fonction des besoins auxquels les serveurs proxy répondent, il en existe différentes catégories, dont les usages se recoupent souvent.

Proxies directs et inverse

Les mandataires directs envoient les demandes d'un client à un serveur Web. Les utilisateurs accèdent à ces mandataires en naviguant directement jusqu'à leur adresse sur le Web ou en configurant leurs paramètres Internet. Les mandataires directs permettent de contourner les pare-feu et renforcent la confidentialité et la sécurité d'un utilisateur, mais servent parfois à télécharger des contenus illégaux tels que des documents protégés par des droits d'auteur ou de la pédopornographie.

Les mandataires inverses (ou reverse proxy) traitent de façon transparente toutes les demandes de ressources sur les serveurs de destination sans nécessiter aucune intervention de la part du demandeur.

Des mandataires inverses sont utilisés dans les cas suivants :

  • pour permettre un accès indirect lorsqu'un site Web interdit les connexions directes par mesure de sécurité ;
  • pour permettre l'équilibrage de la charge entre serveurs ;
  • pour diffuser du contenu interne en flux auprès d'utilisateurs Internet ;
  • pour désactiver l'accès à un site, par exemple lorsqu'un fournisseur d'accès ou un gouvernement souhaite bloquer un site Web.

Les sites peuvent être bloqués pour des raisons plus ou moins légitimes. Ainsi, les mandataires inverses permettent d'empêcher l'accès à du contenu immoral, illégal ou protégé par des droits d'auteur.

Ces raisons sont parfois justifiées, mais pas toujours. En effet, ces mandataires peuvent empêcher l'accès à des sites d'actualités divulguant des informations obtenues à la suite de fuites. Ils peuvent également interdire aux utilisateurs d'accéder à des sites sur lesquels ils sont susceptibles de révéler des informations concernant des actions du gouvernement ou d'une entreprise. Le blocage de l'accès à ce type de site Web peut être considéré comme une violation de la liberté d'expression.

Autres types de Proxy

Les mandataires transparents se trouvent généralement près de la sortie d'un réseau d'entreprise. Ils centralisent le trafic réseau. Sur les réseaux d'entreprise, un serveur mandataire est associé (ou appartient) à un serveur passerelle qui sépare le réseau des réseaux externes (généralement Internet) et à un pare-feu qui protège le réseau de toute intrusion et permet d'analyser les données à des fins de sécurité avant de les transmettre à un client sur le réseau. Ces mandataires contribuent à la surveillance et à l'administration du trafic réseau, car les ordinateurs d'un réseau d'entreprise constituent en règle générale des dispositifs sûrs qui n'ont pas besoin de réaliser leurs tâches, en principe banales, sous couvert d'anonymat.

Les mandataires anonymes masquent l'adresse IP du client qui les utilise. Ils permettent d'accéder à du contenu bloqué par des pare-feu ou de contourner les interdictions pesant sur certaines adresses IP. Ils sont utilisés pour améliorer la confidentialité et/ou pour se protéger d'éventuelles attaques.

Les mandataires hautement anonymes masquent même le fait qu'ils sont utilisés par des clients, et présentent une adresse IP non mandataire. Ainsi, non seulement ils masquent l'adresse IP du client qui les utilise, mais ils autorisent aussi l'accès à des sites susceptibles de bloquer les serveurs mandataires. I2P et TOR constituent des exemples de mandataires hautement anonymes.

Les mandataires Socks 4 et 5 fournissent un service de mandataire pour les données UDP et les opérations de recherche DNS en plus du trafic Web. Certains serveurs mandataires proposent les deux protocoles Socks.

Les mandataires DNS transmettent les demandes DNS (Domain Name Service) des réseaux locaux aux serveurs DNS d'Internet tout en utilisant la mise en cache pour accélérer le traitement.

Piratage par Proxy

Dans ce type de piratage, un pirate tente de détourner les appels de fichier d'une page Web authentique dans l'index et les pages de résultats d'un moteur de recherche. Le proxy propose à la place soit un site frauduleux qui émule l'original, soit n'importe quel contenu qu'il souhaite présenter aux clients demandant la page en question.

Ce mécanisme fonctionne comme suit : le pirate crée une copie de la page Web ciblée sur un serveur proxy et utilise des méthodes telles que le bourrage de mots-clés et l'établissement d'un lien vers la page copiée à partir de sites externes, afin d'améliorer artificiellement son référencement par le moteur de recherche. La page authentique devient alors moins bien classée et risque d'être considérée comme un doublon, auquel cas un moteur de recherche peut la supprimer de son index.

Cette forme de piratage est souvent utilisée pour afficher des pages dans une intention malveillante. Le piratage par mandataire peut, par exemple, diriger les utilisateurs vers un faux site de banque afin de dérober des informations de compte qui pourront ensuite être vendues ou utilisées pour voler des fonds sur le compte. Le pirate peut également employer cette méthode pour diriger les utilisateurs vers un site contenant des logiciels malveillants, dans le but d'infecter leurs machines à des fins répréhensibles.

Certaines techniques ont été développées pour mettre en échec les fonctionnalités des mandataires. Des applications Flash et Java spécialement conçues, des plug-ins JavaScript, Active X et autres peuvent servir à révéler l'identité d'un utilisateur mandataire. Il s'agit ainsi d'empêcher l'utilisation de mandataires sur des sites non fiables ou sur lesquels l'anonymat est important.

Les propriétaires de sites Web qui pensent avoir été victimes d'un piratage par mandataire peuvent le vérifier en recherchant une expression qui permettrait d'identifier leur site presque à coup sûr. Le site devrait alors figurer en bonne place dans la page de résultats du moteur de recherche. Si un deuxième site avec le même contenu apparaît, il peut s'agir d'une page proxy.

Les Proxies en 3 vidéos

1 - Introduction aux serveurs Proxy

2 - Introduction au Reverse Proxy

3 - Proxy et Hacking

Cette définition a été mise à jour en juillet 2016

Pour approfondir sur Administration de réseaux