L'une des pierres angulaires du contournement de la censure est constituée par les protocoles qui chiffrent la charge utile dans le but de « ne ressembler à rien ». Un rapport intitulé How the Great Fire wall of China Detects and Blocks Fully Encrypted Traffic présente une nouvelle technique de détection des attaques de phishing basée sur l’analyse des caractéristiques visuelles des pages web. En novembre 2021, le Great Firewall of China (GFW) a déployé une nouvelle technique de censure qui détecte passivement le trafic entièrement chiffré en temps réel, et le bloque par la suite. La nouvelle capacité de censure de la GFW affecte un grand nombre de protocoles populaires de contournement de la censure, y compris, mais sans s'y limiter, Shadowsocks, VMess et Obfs. Bien que la Chine ait depuis longtemps sondé activement ces protocoles, il s'agit du premier rapport de détection purement passive, ce qui a conduit la communauté anti-censure à se demander comment la détection était possible.
Les chercheurs ont découvert qu'au lieu de définir directement ce qu'est le trafic entièrement chiffré, le dispositif de censure applique des théories rudimentaires mais efficaces pour exempter le trafic qui a peu de chances d'être entièrement chiffré ; il bloque ensuite le reste du trafic non exempté. Ces heuristiques sont basées sur les empreintes signatures des protocoles courants, la fraction des bits définis et le nombre, la fraction et la position des caractères ASCII imprimables.
Selon les chercheurs, les analyses de l'Internet révèlent le trafic et les adresses IP que le GFW inspecte. Ils simulent l'algorithme de détection du GFW déduit sur le trafic en temps réel d'un réseau universitaire afin d'évaluer son exhaustivité et ses faux positifs.
Les règles déduites par les chercheurs couvrent bien ce que le GFW utilise réellement. Ils estiment que, si elle est appliquée à grande échelle, elle pourrait potentiellement bloquer environ 0,6 % du trafic Internet normal en tant que dommages collatéraux. La compréhension du nouveau mécanisme de censure de la GFW permet de déduire plusieurs stratégies pratiques de contournement.
Les protocoles de contournement entièrement chiffrés sont la pierre angulaire des solutions de contournement de la censure. Alors que des protocoles tels que le protocole TLS commence par un échange qui comprend des octets de texte brut, des protocoles entièrement chiffrés (randomisés), tels que MVess, Shadowsocks et Obfs4, sont conçus de manière à ce que chaque octet de la connexion soit fonctionnellement impossible à distinguer d'un octet aléatoire. L'idée sous-jacente à ces protocoles « qui ne ressemblent à rien » est qu'ils devraient être difficiles à cerner pour les dispositifs de censure qui n'ont pas de signature digitale et qu'ils devraient donc être peu coûteux à bloquer.
Le 6 novembre 2021, des utilisateurs d'Internet en Chine ont signalé des blocages de leurs serveurs Shadow et de leurs serveurs MVess. Le 8 novembre, un développeur a signalé une baisse soudaine de l'utilisation en Chine. Le début de ce blocage a coïncidé avec la sixième session plénière du 19e comité central du Parti communiste chinois, qui s'est tenue du 8 au 11 novembre 2021. Le blocage de ces outils de contournement représente une nouvelle capacité de la Grande Muraille de Pare Feu (GFW) de la Chine.
Bien que la Chine utilise l'analyse passive du trafic et le sondage actif pour identifier les serveurs Shadowsocks depuis mai 2019, c'est la première fois que le dispositif de censure est en mesure de bloquer des serveurs proxy entièrement chiffrés en masse et en temps réel, en se basant entièrement sur l'analyse passive du trafic. L'importance des protocoles entièrement chiffrés pour l'écosystème de la censure et les comportements mystérieux du GFW incitent les chercheurs à explorer et à comprendre les mécanismes sous-jacents de détection et de blocage.
Comment le GFW perturbe les connexions
Lorsque le GFW détecte un trafic correctement chiffré à l'aide de l'algorithme ci-dessous :
Algorithme : le GFW utilise au moins cinq règles heuristiques pour détecter et bloquer le trafic correctement chiffré. Le dispositif de censure applique cet algorithme aux connexions TCP en provenance de Chine dans certains sous-réseaux IP et utilise un blocage probabiliste. Autoriser la poursuite de la connexion si le premier paquet TCP (pkt) envoyé par les clients répond à l'une des exceptions suivantes :
- Ex1: Les six premiers octets (ou plus) du pkt sont les suivants [0x20,0x7e] ;
- Ex2 : Plus de 50 % des octets du pkt sont [0x20,0x7e] ;
- Ex3 : Plus de 20 octets contigus d'un pkt sont [0x20,0x7e] ;
- Ex4 : Il fait correspondre l'empreinte digitale du protocole à TLS ou HTTP.
Il bloque le trafic suivant, comme indiqué ci-dessous.
Les paquets sont abandonnés entre le client et le serveur : les chercheurs ont déclenché le blocage du GFW et comparé les paquets capturés du client émetteur et du serveur récepteur. On observe qu'après le déclenchement du blocage, les paquets du client sont abandonnés par le GFW et ne parviennent pas au serveur.
Le trafic UDP n'est pas affecté : le nouveau système de censure se limite au TCP. L'envoi d'un diagramme UDP avec une charge de données aléatoire ne peut pas déclencher le blocage. En outre, une fois qu'un triplet (IP client, IP serveur, port serveur) est bloqué en raison d'une connexion TCP perturbée, les diagrammes UDP provenant du même couple (IP serveur, port serveur) ne sont pas affectés.
En raison de l'absence de blocage UDP, les utilisateurs peuvent avoir un mauvais comportement en utilisant Shadowsocks : ils ne peuvent pas accéder à des sites web ou à des applications qui reposent sur UDP (par exemple QUIC ou FaceTec).
Ceci est dû au fait que Shadowsocks proxifie le trafic TCP avec TCP et proxifie le trafic UDP avec UDP. Le fait de ne pas détecter ou bloquer le trafic UDP peut refléter l'état d'esprit de l'ingénierie du censeur, qui considère que le pire est le meilleur. D'un point de vue pratique, le blocage actuel du trafic TCP peut déjà paralyser efficacement ces outils de contournement populaires, tandis que l'utilisation de la censure UDP nécessite des ressources supplémentaires et rend le système de censure encore plus complexe.
Le trafic sur tous les ports peut être bloqué : les chercheurs ont mis en place un serveur qui écoute tous les ports de 1 à 65535 aux États-Unis. Ils laissent ensuite leur client en Chine établir en permanence des connexions avec des charges utiles aléatoires de 50 octets sur chaque port du serveur américain et ils stoppent lorsqu'un port est bloqué. On constate que le blocage peut se produire sur tous les ports de 1 à 65535. Par conséquent, l'exécution de serveurs de contournement sur un port inhabituel ne peut pas atténuer le blocage.
La durée de la censure résiduelle est influencée par le nombre de blocages résiduels en cours : les chercheurs ont constaté qu'une fois que ce nouveau système de censure bloque une connexion, il continue à bloquer les paquets TCP suivants contenant le même couple de trois éléments (IP du client, IP du serveur, port du serveur) pendant 120 ou 180 secondes. Ce comportement est souvent appelé « censure résiduelle ». Contrairement à d'autres systèmes de censure résiduelle, le minuteur de censure résiduelle du GFW ne se réinitialise pas en cas de présence de paquets supplémentaires.
Pour surmonter l'impact commercial collatéral du GFW, il existe quatre options principales :
- Réseau MPLS mondial ;
- MPLS en Chine avec un seul site en dehors de la Chine pour l'accès à l'internet ;
- Fournisseurs tels que oneAs1a - Application Acceleration Network (AAN) ;
- SD-WAN avec réseau d'accélération des applications ou MPLS.
Réseau MPLS mondial
Tous les réseaux MPLS allant de la Chine continentale vers l'extérieur contournent le Grand pare-feu de Chine. Une solution simple consiste à disposer d'un réseau MPLS mondial. Barry Silic, haut responsable chez Microsoft, note qu'en Chine, seuls certains fournisseurs de services Internet seront en mesure de fournir un réseau MPLS et qu'il est préférable d'utiliser l'un d'entre eux en Chine avec un site à Hong Kong et un autre fournisseur de services Internet pour votre réseau MPLS mondial avec une interconnexion à Hong Kong. Il s'agit de la solution la plus coûteuse, mais elle serait la plus performante.
Dans le cadre de ce travail, les chercheurs ont exposé et étudié le système de censure de la Chine qui bloque de manière dynamique et en temps réel le trafic chiffré. Cette nouvelle forme puissante de censure a affecté partiellement ou totalement de nombreux outils de contournement courants, notamment Shadowsocks, Outline, VMess, Obfs4, Lantern et Phiphon. Ils ont effectué des mesures approfondies des diverses propriétés de l'algorithme d'analyse du trafic du GFW et évalué son exhaustivité et ses faux positifs par rapport au trafic réel. Ils utilisent aujourd’hui leur connaissance de ce nouveau système de censure pour élaborer des stratégies de prévention efficaces.
Source : Rapport d'étude
Les conclusions de ses travaux de recherche sont-elles pertinentes ? Selon vous, comment les utilisateurs peuvent-ils contourner le Grand Pare-feu de Chine et accéder à des informations non filtrées ? Quels seraient les risques et les défis auxquels sont confrontés les utilisateurs qui tentent de déjouer le Grand Pare-feu de Chine ? Existe-t-il des implications éthiques, politiques et juridiques de l’existence du Grand Pare-feu de Chine pour le reste du monde ?Voir aussi :
La Chine compterait 50 pirates informatiques pour chaque cyber-agent du FBI, le directeur du FBI dénonce la menace cybernétique de la Chine et demande plus de budget Les dépenses en services cloud en Chine ont augmenté de 11 % en glissement annuel au T2 2022, atteignant $ 7,3 milliards, Alibaba Cloud, Huawei, Tencent et Baidu conservé leur position de leaders La Chine stocke et se sert probablement des vulnérabilités zero-day, selon Microsoft qui note une augmentation des cyberattaques depuis que la loi exige que les vulnérabilités soient signalées à Pékin 
Envoyé par mith06
