Contourner le SafeSearch forcé par les proxy Bluecoat

Salut,

Les serveurs mandataires HTTP, plus communément appelés « serveurs proxy web » , ou « proxy HTTP », ou plus sobrement « proxy » , sont devenus des éléments incontournables de la sécurité périmétrique des réseaux d’entreprise. La société américaine Bluecoat est un des leaders du marché avec ses modèles ProxySG.

Les proxys, s’ils participent à l’amélioration de la sécurité, en assurant une rupture de protocole, une inspection et un filtrage des URL ainsi qu’une analyse virale du contenu téléchargé et visité, peuvent également être utilisés pour filtrer du contenu jugé inapproprié (violence, pornographie, éthique douteuse etc.).

En ce sens, une des fonctionnalités proposée par les proxy Bluecoat, est de forcer un mode appelé SafeSearch pour un certain nombre de sites, et en particulier les vidéos présentes sur YouTube.

Cet article montre comment il est possible de contourner cette limitation de manière assez simple par une petite manipulation dans le navigateur web du poste client.

Lorsque le mode SafeSearch est imposé par le proxy Bluecoat à tous les clients qui passent par son intermédiaire (que ce soit de façon explicite ou implicite), voici ce qui s’affiche à l’écran lorsque les utilisateurs tentent de visionner une vidéo protégée par ce mode :

Bien évidemment les utilisateurs n’ont aucun moyen de « désactiver le mode sécurisé » puisque ce mode est renforcé sur le proxy qu’ils utilisent.

Comment fonctionne le mode sécurisé (ou SafeSearch) sur YouTube

Lorsqu’on se connecte sur YouTube, un cookie nommé « PREF » est envoyé par le navigateur pour indiquer un ensemble de préférences par défaut, ou configurées par l’utilisateur :

On trouve des explications plus détaillées sur le site de Google. Parmi les préférences utilisateur, il y a l’état du filtre SafeSearch : activé ou désactivé.

Comment le proxy Bluecoat impose ce mode à ses utilisateurs

En cherchant sur le net, on trouve très facilement la configuration spécifique à appliquer aux proxy Bluecoat afin de forcer le mode sécurisé. L’ensemble de cette configuration est téléchargeable sur le lien suivant :

http://appliance.bluecoat.com/techlabs/policy/config_safesearch.zip

La partie qui nous intéresse est la suivante :

; === SafeSearch for YouTube ===
;
; === BC_SafeSearch_YouTube Domains/Hostnames ===
define condition BC_SafeSearch_YouTube_Domains
	url.domain=youtube.com
end
;
; === BC_SafeSearch_YouTube Rules ===
define proxy policy BC_SafeSearch_YouTube_Rules
	<Proxy BC_SafeSearch_YouTube_cookies>  condition=BC_SafeSearch_YouTube_Domains
		request.header.cookie="PREF=" action.BC_SafeSearch_YouTube_Cookie_Rewrite(yes)
		action.BC_SafeSearch_YouTube_Cookie_Addition(yes)
end
;
; === BC_SafeSearch_YouTube Defines ===
define action BC_SafeSearch_YouTube_Cookie_Addition
  append( request.header.Cookie, "PREF=f2=8000000" )
end
define action BC_SafeSearch_YouTube_Cookie_Rewrite
  rewrite( request.header.Cookie, "(.*)(PREF=[^,]+)(.*)", "$(1)$(2)&f2=8000000$(3)" )
end

Cette configuration nous indique que pour toute URL visitée sur le domaine youtube.com, si le cookie « PREF » n’existe pas dans la requête initiale il est ajouté, et s’il est déjà présent dans la requête il est complété. Dans les deux cas, la valeur « f2=8000000  » est ajoutée, ce qui a pour effet d’activer le mode sécurisé pour le site YouTube.

Mais que se passerait-il si ce cookie était présent deux fois dans la requête HTTP…. ? Comment réagirait l’expression régulière utilisée pour la règle de ré-écriture ? 🙂

Comment contourner ce filtrage ?

La technique est présentée pour le navigateur Firefox pour lequel il existe un petit plugin qui nous intéresse : ModifyHeaders. Ce plugin permet de modifier ou ajouter n’importe quel en-tête HTTP à la requête envoyée par le navigateur web. Téléchargez et ajoutez ce plugin à votre navigateur Firefox.

Une fois fait, configurez le pour ajouter un header nommé ‘Cookie‘ avec pour valeur ‘PREF=‘, sans oublier d’activer ce nouveau header (bouton « Enable/Disable ») :

Ensuite, démarrez ModifyHeaders en cliquant sur « Start » :

Maintenant, naviguez sur YouTube : les vidéos auparavant bloquées ne le sont plus 🙂

Alors pourquoi cet article ?

S’il existe de nombreuses techniques de contournement du filtrage des proxys web, cette technique présente deux aspects notables :

  • sa simplicité de mise en œuvre
  • le fait qu’elle ne repose sur aucun tiers externe au réseau d’entreprise

Il est important pour les administrateurs de proxy de comprendre à la fois le fonctionnement de ce genre de fonctionnalité et leurs limites intrinsèques.

A plus.

Vous aimez cet article ? Faites le savoir avec quelques bitcoins !

Publicités

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s