Bonjour,
Aujourd’hui j’ai appris que je faisais depuis longtemps sans le savoir du cloaking. J’ai l’impression d’être M. JOURDAIN découvrant la prose.
Alors c’est quoi le cloacking ?
Le cloacking c’est le fait de séparer les visiteurs et de donner une version différente de son site.
Avec cette définition, on a l’impression qu’un portail ou une interface d’admin c’est du cloacking. Pourtant, non. Dans ce cas, le visiteur sait ce qu’il y a, et il sait que le contenu change en fonction de certains privilèges.
La différence est donc, pour moi, le fait que le site donne des informations différentes à l’insu de certains visiteurs (des fois même à l’insu de tous les visiteurs).
Bien, je sais ce qu’est le cloacking, mais à quoi ça sert ?
Je vais d’abord expliquer le besoin qui m’a conduit à utiliser cette technique avant qu’elle ai eu un nom. Puis je vais donner des exemples d’autres applications.
Il y a longtemps (vers 2004), je maintenais un site qui était un « gros poisson ». Et comme tout site connu, c’était la cible régulière de pirates en tous genres.
Parmis eux, il y a ceux qui veulent tester leur savoir-faire sur un « vrai » site, et il y a ceux qui veulent avoir l’information sans payer. Il y a d’autres profiles comme les concurrents qui « aimeraient » que le site ait des difficultés, etc.
C’était ma première confrontation à des êtres malveillants envers un site que je maintenais. Et, ce que les pirates en face ne savaient pas, c’est qu’il y a des gens « en face » qui testent leurs connaissances sur la sécurité informatique sur des « vrais » pirates.
J’ai étudié des logs, stéganographié (tiens, un autre sujet intéressant d’article) des documents, traqué pendant deux ans quelqu’un qui a appris beaucoup en ignorant que j’en apprenais plus dans le même temps (sur lui et sur les techniques de plus en plus élaborées pour trouver les failles).
Le cloacking était donc un outil parmis d’autres pour arriver à mes fins. Lorsqu’un bot était détecté, je donnais une page malformée. Ainsi les attaques avec les outils de pentest devenaient inutiles. Lorsque une attaque était détectée mais pas le bot (attaque manuelle directement sur navigateur), je donne une page qui ressemble à celle du site, sans accès aux données et je log tout ce qui transite. Enfin, si aucune attaque, le site se comporte normalement.
J’ai donc 3 sites différents suivant le visiteur. Et, bien sur, les critères évoluent avec le temps pour corriger tout faux-positif, quelle que soit la catégorie.
Une utilisation récente que j’ai eu (d’où l’idée de cet article) est de donner un site complètement différent, pas une admin automatique, un autre site, si on y accède depuis une adresse spécifique.
On peut noter les utilisations pour le référencement. On donne une version spéciale pour google et bing. C’est une utilisation que je ne cautionne pas, mais qui a ses adeptes.
Je vais en rester là sur ce sujet passionnant.