L’une des pierres angulaires du contournement de la censure est constitue par les protocoles qui chiffrent la charge utile dans le but de ne ressembler rien . Un rapport intitul How the Great Fire wall of China Detects and Blocks Fully Encrypted Traffic prsente une nouvelle technique de dtection des attaques de phishing base sur lanalyse des caractristiques visuelles des pages web.
En novembre 2021, le Great Firewall of China (GFW) a dploy une nouvelle technique de censure qui dtecte passivement le trafic entirement chiffr en temps rel, et le bloque par la suite. La nouvelle capacit de censure de la GFW affecte un grand nombre de protocoles populaires de contournement de la censure, y compris, mais sans s’y limiter, Shadowsocks, VMess et Obfs. Bien que la Chine ait depuis longtemps sond activement ces protocoles, il s’agit du premier rapport de dtection purement passive, ce qui a conduit la communaut anti-censure se demander comment la dtection tait possible.
Les chercheurs ont dcouvert qu’au lieu de dfinir directement ce qu’est le trafic entirement chiffr, le dispositif de censure applique des thories rudimentaires mais efficaces pour exempter le trafic qui a peu de chances d’tre entirement chiffr ; il bloque ensuite le reste du trafic non exempt. Ces heuristiques sont bases sur les empreintes signatures des protocoles courants, la fraction des bits dfinis et le nombre, la fraction et la position des caractres ASCII imprimables.
Selon les chercheurs, les analyses de l’Internet rvlent le trafic et les adresses IP que le GFW inspecte. Ils simulent l’algorithme de dtection du GFW dduit sur le trafic en temps rel d’un rseau universitaire afin d’valuer son exhaustivit et ses faux positifs.
Les rgles dduites par les chercheurs couvrent bien ce que le GFW utilise rellement. Ils estiment que, si elle est applique grande chelle, elle pourrait potentiellement bloquer environ 0,6 % du trafic Internet normal en tant que dommages collatraux. La comprhension du nouveau mcanisme de censure de la GFW permet de dduire plusieurs stratgies pratiques de contournement.
Les protocoles de contournement entirement chiffrs sont la pierre angulaire des solutions de contournement de la censure. Alors que des protocoles tels que le protocole TLS commence par un change qui comprend des octets de texte brut, des protocoles entirement chiffrs (randomiss), tels que MVess, Shadowsocks et Obfs4, sont conus de manire ce que chaque octet de la connexion soit fonctionnellement impossible distinguer d’un octet alatoire. L’ide sous-jacente ces protocoles qui ne ressemblent rien est qu’ils devraient tre difficiles cerner pour les dispositifs de censure qui n’ont pas de signature digitale et qu’ils devraient donc tre peu coteux bloquer.
Le 6 novembre 2021, des utilisateurs d’Internet en Chine ont signal des blocages de leurs serveurs Shadow et de leurs serveurs MVess. Le 8 novembre, un dveloppeur a signal une baisse soudaine de l’utilisation en Chine. Le dbut de ce blocage a concid avec la sixime session plnire du 19e comit central du Parti communiste chinois, qui s’est tenue du 8 au 11 novembre 2021. Le blocage de ces outils de contournement reprsente une nouvelle capacit de la Grande Muraille de Pare Feu (GFW) de la Chine.
Bien que la Chine utilise l’analyse passive du trafic et le sondage actif pour identifier les serveurs Shadowsocks depuis mai 2019, c’est la premire fois que le dispositif de censure est en mesure de bloquer des serveurs proxy entirement chiffrs en masse et en temps rel, en se basant entirement sur l’analyse passive du trafic. L’importance des protocoles entirement chiffrs pour l’cosystme de la censure et les comportements mystrieux du GFW incitent les chercheurs explorer et comprendre les mcanismes sous-jacents de dtection et de blocage.
Comment le GFW perturbe les connexions
Lorsque le GFW dtecte un trafic correctement chiffr l’aide de l’algorithme ci-dessous :
Algorithme : le GFW utilise au moins cinq rgles heuristiques pour dtecter et bloquer le trafic correctement chiffr. Le dispositif de censure applique cet algorithme aux connexions TCP en provenance de Chine dans certains sous-rseaux IP et utilise un blocage probabiliste. Autoriser la poursuite de la connexion si le premier paquet TCP (pkt) envoy par les clients rpond l’une des exceptions suivantes :
- Ex1: Les six premiers octets (ou plus) du pkt sont les suivants [0x20,0x7e] ;
- Ex2 : Plus de 50 % des octets du pkt sont [0x20,0x7e] ;
- Ex3 : Plus de 20 octets contigus d’un pkt sont [0x20,0x7e] ;
- Ex4 : Il fait correspondre l’empreinte digitale du protocole TLS ou HTTP.
Il bloque le trafic suivant, comme indiqu ci-dessous.
Les paquets sont abandonns entre le client et le serveur : les chercheurs ont dclench le blocage du GFW et compar les paquets capturs du client metteur et du serveur rcepteur. On observe qu’aprs le dclenchement du blocage, les paquets du client sont abandonns par le GFW et ne parviennent pas au serveur.
Le trafic UDP n’est pas affect : le nouveau systme de censure se limite au TCP. L’envoi d’un diagramme UDP avec une charge de donnes alatoire ne peut pas dclencher le blocage. En outre, une fois qu’un triplet (IP client, IP serveur, port serveur) est bloqu en raison d’une connexion TCP perturbe, les diagrammes UDP provenant du mme couple (IP serveur, port serveur) ne sont pas affects.
En raison de l’absence de blocage UDP, les utilisateurs peuvent avoir un mauvais comportement en utilisant Shadowsocks : ils ne peuvent pas accder des sites web ou des applications qui reposent sur UDP (par exemple QUIC ou FaceTec).
Ceci est d au fait que Shadowsocks proxifie le trafic TCP avec TCP et proxifie le trafic UDP avec UDP. Le fait de ne pas dtecter ou bloquer le trafic UDP peut reflter l’tat d’esprit de l’ingnierie du censeur, qui considre que le pire est le meilleur. D’un point de vue pratique, le blocage actuel du trafic TCP peut dj paralyser efficacement ces outils de contournement populaires, tandis que l’utilisation de la censure UDP ncessite des ressources supplmentaires et rend le systme de censure encore plus complexe.
Le trafic sur tous les ports peut tre bloqu : les chercheurs ont mis en place un serveur qui coute tous les ports de 1 65535 aux tats-Unis. Ils laissent ensuite leur client en Chine tablir en permanence des connexions avec des charges utiles alatoires de 50 octets sur chaque port du serveur amricain et ils stoppent lorsqu’un port est bloqu. On constate que le blocage peut se produire sur tous les ports de 1 65535. Par consquent, l’excution de serveurs de contournement sur un port inhabituel ne peut pas attnuer le blocage.
La dure de la censure rsiduelle est influence par le nombre de blocages rsiduels en cours : les chercheurs ont constat qu’une fois que ce nouveau systme de censure bloque une connexion, il continue bloquer les paquets TCP suivants contenant le mme couple de trois lments (IP du client, IP du serveur, port du serveur) pendant 120 ou 180 secondes. Ce comportement est souvent appel censure rsiduelle . Contrairement d’autres systmes de censure rsiduelle, le minuteur de censure rsiduelle du GFW ne se rinitialise pas en cas de prsence de paquets supplmentaires.
Pour surmonter l’impact commercial collatral du GFW, il existe quatre options principales :
- Rseau MPLS mondial ;
- MPLS en Chine avec un seul site en dehors de la Chine pour l’accs l’internet ;
- Fournisseurs tels que oneAs1a – Application Acceleration Network (AAN) ;
- SD-WAN avec rseau d’acclration des applications ou MPLS.
Rseau MPLS mondial
Tous les rseaux MPLS allant de la Chine continentale vers l’extrieur contournent le Grand pare-feu de Chine. Une solution simple consiste disposer d’un rseau MPLS mondial. Barry Silic, haut responsable chez Microsoft, note qu’en Chine, seuls certains fournisseurs de services Internet seront en mesure de fournir un rseau MPLS et qu’il est prfrable d’utiliser l’un d’entre eux en Chine avec un site Hong Kong et un autre fournisseur de services Internet pour votre rseau MPLS mondial avec une interconnexion Hong Kong. Il s’agit de la solution la plus coteuse, mais elle serait la plus performante.
Dans le cadre de ce travail, les chercheurs ont expos et tudi le systme de censure de la Chine qui bloque de manire dynamique et en temps rel le trafic chiffr. Cette nouvelle forme puissante de censure a affect partiellement ou totalement de nombreux outils de contournement courants, notamment Shadowsocks, Outline, VMess, Obfs4, Lantern et Phiphon. Ils ont effectu des mesures approfondies des diverses proprits de l’algorithme d’analyse du trafic du GFW et valu son exhaustivit et ses faux positifs par rapport au trafic rel. Ils utilisent aujourdhui leur connaissance de ce nouveau systme de censure pour laborer des stratgies de prvention efficaces.
Source : Rapport d’tude
Les conclusions de ses travaux de recherche sont-elles pertinentes ?
Selon vous, comment les utilisateurs peuvent-ils contourner le Grand Pare-feu de Chine et accder des informations non filtres ?
Quels seraient les risques et les dfis auxquels sont confronts les utilisateurs qui tentent de djouer le Grand Pare-feu de Chine ?
Existe-t-il des implications thiques, politiques et juridiques de lexistence du Grand Pare-feu de Chine pour le reste du monde ?
Voir aussi :