Comment le Grand pare-feu de Chine détecte et bloque le trafic entièrement chiffré

Il pourrait potentiellement bloquer environ 0,6 % du trafic Internet normal en tant que dommages collatéraux

L'une des pierres angulaires du contournement de la censure est constituée par les protocoles qui chiffrent la charge utile dans le but de « ne ressembler à rien ». Un rapport intitulé How the Great Fire wall of China Detects and Blocks Fully Encrypted Traffic présente une nouvelle technique de détection des attaques de phishing basée sur l’analyse des caractéristiques visuelles des pages web.

En novembre 2021, le Great Firewall of China (GFW) a déployé une nouvelle technique de censure qui détecte passivement le trafic entièrement chiffré en temps réel, et le bloque par la suite. La nouvelle capacité de censure de la GFW affecte un grand nombre de protocoles populaires de contournement de la censure, y compris, mais sans s'y limiter, Shadowsocks, VMess et Obfs. Bien que la Chine ait depuis longtemps sondé activement ces protocoles, il s'agit du premier rapport de détection purement passive, ce qui a conduit la communauté anti-censure à se demander comment la détection était possible.


Les chercheurs ont découvert qu'au lieu de définir directement ce qu'est le trafic entièrement chiffré, le dispositif de censure applique des théories rudimentaires mais efficaces pour exempter le trafic qui a peu de chances d'être entièrement chiffré ; il bloque ensuite le reste du trafic non exempté. Ces heuristiques sont basées sur les empreintes signatures des protocoles courants, la fraction des bits définis et le nombre, la fraction et la position des caractères ASCII imprimables.

Selon les chercheurs, les analyses de l'Internet révèlent le trafic et les adresses IP que le GFW inspecte. Ils simulent l'algorithme de détection du GFW déduit sur le trafic en temps réel d'un réseau universitaire afin d'évaluer son exhaustivité et ses faux positifs.

Les règles déduites par les chercheurs couvrent bien ce que le GFW utilise réellement. Ils estiment que, si elle est appliquée à grande échelle, elle pourrait potentiellement bloquer environ 0,6 % du trafic Internet normal en tant que dommages collatéraux. La compréhension du nouveau mécanisme de censure de la GFW permet de déduire plusieurs stratégies pratiques de contournement.

Les protocoles de contournement entièrement chiffrés sont la pierre angulaire des solutions de contournement de la censure. Alors que des protocoles tels que le protocole TLS commence par un échange qui comprend des octets de texte brut, des protocoles entièrement chiffrés (randomisés), tels que MVess, Shadowsocks et Obfs4, sont conçus de manière à ce que chaque octet de la connexion soit fonctionnellement impossible à distinguer d'un octet aléatoire. L'idée sous-jacente à ces protocoles « qui ne ressemblent à rien » est qu'ils devraient être difficiles à cerner pour les dispositifs de censure qui n'ont pas de signature digitale et qu'ils devraient donc être peu coûteux à bloquer.


Le 6 novembre 2021, des utilisateurs d'Internet en Chine ont signalé des blocages de leurs serveurs Shadow et de leurs serveurs MVess. Le 8 novembre, un développeur a signalé une baisse soudaine de l'utilisation en Chine. Le début de ce blocage a coïncidé avec la sixième session plénière du 19e comité central du Parti communiste chinois, qui s'est tenue du 8 au 11 novembre 2021. Le blocage de ces outils de contournement représente une nouvelle capacité de la Grande Muraille de Pare Feu (GFW) de la Chine.

Bien que la Chine utilise l'analyse passive du trafic et le sondage actif pour identifier les serveurs Shadowsocks depuis mai 2019, c'est la première fois que le dispositif de censure est en mesure de bloquer des serveurs proxy entièrement chiffrés en masse et en temps réel, en se basant entièrement sur l'analyse passive du trafic. L'importance des protocoles entièrement chiffrés pour l'écosystème de la censure et les comportements mystérieux du GFW incitent les chercheurs à explorer et à comprendre les mécanismes sous-jacents de détection et de blocage.

Comment le GFW perturbe les connexions

Lorsque le GFW détecte un trafic correctement chiffré à l'aide de l'algorithme ci-dessous :

Algorithme : le GFW utilise au moins cinq règles heuristiques pour détecter et bloquer le trafic correctement chiffré. Le dispositif de censure applique cet algorithme aux connexions TCP en provenance de Chine dans certains sous-réseaux IP et utilise un blocage probabiliste. Autoriser la poursuite de la connexion si le premier paquet...