Devenir invisible : Proxychains & Tor
Dans le cadre d’un test d’intrusion (Red Team) ou d’une simple enquête OSINT avancée, votre adresse IP est votre pire ennemie. Lancer un scan Nmap, utiliser un script d’énumération ou interroger des API expose directement votre infrastructure. Les cibles (WAF, IDS) vous bloqueront instantanément et remonteront à la source.
Pour garantir une sécurité opérationnelle (OPSEC) de haut vol, un simple VPN commercial ne suffit plus. Il faut s’appuyer sur le rebond réseau et l’offuscation de flux : bienvenue dans le monde de Proxychains et de Tor.
1. Le principe du rebond réseau
Plutôt que d’envoyer votre requête HTTP (ou votre ping) directement à la cible, vous l’envoyez à un Serveur A (Proxy), qui l’envoie à un Serveur B, qui l’envoie finalement à la cible. Pour la cible, l’attaque provient du Serveur B.
C’est exactement ce que permet de faire Proxychains-ng [1]. Cet outil historique du monde Linux force n’importe quel logiciel (même ceux qui ne gèrent pas nativement le proxy) à faire passer son trafic réseau à travers une chaîne de proxies SOCKS4, SOCKS5 ou HTTP(S).
2. L’alliance avec Tor (The Onion Router)
Pour maximiser l’anonymat, l’astuce classique consiste à utiliser le démon Tor local comme premier proxy (SOCKS5 sur le port 9050). Le trafic entre ensuite dans le réseau oignon, rebondit sur 3 nœuds (chiffré à chaque étape), puis ressort par un nœud de sortie Tor (Exit Node) avant d’atteindre la cible.
L’avantage majeur ? Le changement d’identité. Tor renouvelle ses circuits régulièrement. Votre adresse IP apparente changera toutes les 10 minutes, ruinant les blocages IP statiques (Fail2Ban) de la cible.
3. Installation et Configuration
Sur une distribution basée sur Debian (comme Ubuntu ou Kali) :
# Installation de Tor et Proxychains-ng
sudo apt update
sudo apt install tor proxychains4
On configure ensuite le comportement de la chaîne dans /etc/proxychains4.conf :
# /etc/proxychains4.conf
# Mode "dynamic_chain" (Recommandé) : passe au proxy suivant si un est mort
dynamic_chain
# Empêche les fuites DNS (DNS Leak)
proxy_dns
# Format de la liste des proxies
[ProxyList]
# Par défaut, on passe tout dans Tor
socks5 127.0.0.1 9050
# On pourrait chaîner avec un VPS piraté (ou acheté)
# socks5 192.168.1.50 1080
4. Utilisation Pratique
Pour l’utiliser, il suffit de précéder n’importe quelle commande par proxychains4. Nmap, wget, curl, firefox… tous seront encapsulés de force.
# Lancement de Tor en tâche de fond
sudo systemctl start tor
# Exécution d'un outil OSINT (ex: curl) à travers Tor
proxychains4 curl ifconfig.me
Exemple d’Output (Exécution furtive) :
[proxychains] config file found: /etc/proxychains4.conf
[proxychains] preloading /usr/lib/libproxychains4.so
[proxychains] DLL init: proxychains-ng 4.14
[proxychains] Strict chain ... 127.0.0.1:9050 ... ifconfig.me:80 ... OK
193.23.45.67 # <-- C'est l'IP d'un noeud de sortie Tor, pas votre IP !
5. Les limites de Tor en Red Team (et la solution)
Tor est excellent pour le scraping web, mais il souffre d’un défaut majeur pour les auditeurs réseaux : Tor ne gère QUE le protocole TCP.
Vous ne pouvez pas lancer de Ping (ICMP) ou de scans Nmap furtifs en UDP (comme le port DNS 53 ou SNMP 161) via Proxychains+Tor. Le trafic sera purement abandonné.
La solution Cloud-Native (Proxy Rotatif AWS) : Plutôt que d’utiliser Tor, les attaquants modernes déploient des architectures Cloud éphémères. Des scripts comme Fireprox utilisent le service “AWS API Gateway” pour générer instantanément des adresses IP tournantes pour chaque requête HTTP. C’est l’outil ultime de Password Spraying, car chaque tentative de login provient d’une IP Amazon légitime différente, contournant 100% des WAF classiques.
Conclusion
Maîtriser Proxychains est une compétence de base pour la sécurité opérationnelle. S’appuyer sur Tor offre un anonymat gratuit et résilient, idéal pour le scraping OSINT ou la recherche discrète. Toutefois, pour des audits réseaux agressifs ou contourner des pares-feux d’entreprise modernes (Cloudflare, Akamai), la tendance bascule vers l’exploitation de l’infrastructure Cloud elle-même (comme AWS API Gateway), brouillant définitivement la frontière entre le trafic attaquant et le trafic client légitime.
Sources
Si vous voulez plus d’information sur l’infrastructure vous pouvez voir l’ repo à ce sujet : https://github.com/ravindrajob/InfraAtHome
