Discussion :

[Patrick Ruiz]

Des chercheurs testent TapDance : une application basée sur le protocole TCP
Pour contourner la censure sur Internet

Des chercheurs ont exploité les infrastructures de deux fournisseurs d’accès à Internet (basés aux États-Unis) pour tester un outil contre la censure sur Internet. L’outil aurait servi à 50 000 personnes situées dans des pays où certains sites sont prohibés d’accès à contourner les blocages et à accéder à l’Internet libre et ouvert.

Les développements relatifs à TapDance (c’est le nom de l’outil) ont été présentés pour la première fois lors du symposium USENIX sur la sécurité. L’outil est présenté comme une meilleure alternative aux services VPN ou autres proxy HTTPS ouverts qui, selon les concepteurs de TapDance, ont le même talon d’Achille : la possibilité de retrouver le serveur sur lequel ils s’appuient et le bloquer.

TapDance s’appuie sur des stations « anti censure » situées chez des fournisseurs d’accès Internet partenaires. Lesdites stations sont des dispositifs de surveillance réseau destinés à détecter un « signal particulier » caché dans des trames TCP émises depuis un pays où la censure sévit. Ce signal constitue le moyen par lequel les infrastructures du fournisseur d’accès à Internet partenaire savent qu’elles doivent rediriger la requête de l’internaute vers les sites non censurés.

À la chasse des FAI partenaires

Après le succès de ce que l’on pourrait appeler « opération 50 000 libérés », la prochaine étape pour les chercheurs est d’impliquer le plus grand nombre de fournisseurs d’accès Internet à cette campagne. Une participation plus importante de ces derniers à cette opération contribuerait plus sérieusement à libérer les internautes captifs. En effet, pour qu’un État parvienne à mettre à mal un tel système, il faudrait qu’il bloque toutes les connexions qui passent au travers des FAI participants, ce qui aurait tendance à se retourner contre lui dans le cas d’une adoption massive du stratagème.

Des interrogations demeurent…

Dans le cadre du test public, les participants ont utilisé une version modifiée de l’application Psiphon utilisée pour des desseins similaires, à savoir : contourner la censure sur Internet. Elle a été retouchée pour permettre l’insertion automatique du « signal particulier » (caché dans une trame TCP) à destination des infrastructures du FAI chaque fois qu’un internaute essaie d’accéder à un site censuré.

La logique voudrait que, des autorités ayant connaissance de l’existence d’une telle application, la bannissent replongeant les internautes dans le désarroi. Cet aspect semble être le plus gros inconvénient de cette méthode qui, faudrait-il le préciser, est encore en cours de développement. On gardera un œil sur les publications futures y relatives pour savoir quelles ont été les avancées à ce sujet.

Sources : CBC

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Censure : le gouvernement chinois intime aux opérateurs de télécom de bloquer l'accès aux VPN personnels d'ici à février 2018 au plus tard
Grande-Bretagne : Theresa May veut créer un nouvel Internet contrôlé et réglementé par le gouvernement
La chancelière allemande Angela Merkel laisse entrevoir un avenir avec plus de contrôle sur Internet de la part des gouvernements

[LittleWhite]

Bonjour,

Peut être je suis à côté de la plaque, mais cela ressemble énormément aux mécanismes derrières les tunnels SSH et les VPN (ou même les proxy). J'ai du mal à saisir l'innovation et la conclusion semble conforter mon apriori.

[tmcuh]

Si je comprend en résumé on accède à developpez.net en mettant une certaine trame en plus dans la demande de requete et le FAI qui héberge le site web va se dire tiens tu essai d'accéder à Youtube, alors je t'envoi le contenu de youtube.
1/ Mais comment marche les hyperlink dans le site web ? Car eux sont toujours sur youtube non ?
2/ La trame n'est-elle pas identifiable par ceux qui applique la censure ? car je suppose qu'elle doit toujours avoir la même entête pour être reconnu par les FAI ??

[monwarez]

Pour ceux qui veulent plus de detail sur le decoy routing https://people.eecs.berkeley.edu/~ct...ecoy-ccs12.pdf
Il faudrait un grand nombre de routeur qui y participe pour avoir un réel impact sur la censure.

[edoms]

Peut être je suis à côté de la plaque, mais cela ressemble énormément aux mécanismes derrières les tunnels SSH et les VPN (ou même les proxy). J'ai du mal à saisir l'innovation et la conclusion semble conforter mon apriori.

Le problème du tunnel SSH, c'est que tout commence par une connexion à un serveur dédié, unique, qui va effectivement cacher tout ton trafic. Si t'es tout seul en Chine et que t'as loué ton propre dédié OVH, effectivement, personne ne pourra t'en empêcher. Si vous êtes 200 000 dessus, le gouvernement va simplement rajouter ton serveur à la liste des proxy blacklistés (ou directement bloquer tout le range d'IP, plus simple).

Ici, ce sont directement les routeurs d'un ISP donné qui déroutent la tentative de connexion, avec un gros hack en TCP, et tout finit dans une connexion SSL. Le gouvernement n'a rien vu et voit une connexion SSL qui vient de s'établir entre https://autorized-site et son citoyen, alors qu'en dessous, c'est bien une connexion vers https://blocked-site qui s'est établie. Le seul moyen qu'aurait le gouvernement d'empêcher ça, c'est de bloquer toute connexion passant par cet ISP, ou bloquer SSL. Ca devient plus gênant...

C'est un peu technique mais tout est en fait expliqué en détail ici : https://jhalderm.com/pub/papers/tapdance-sec14.pdf

Et voici un lien qui concentre un peu tout ce qui existe à ce sujet : https://refraction.network/

[Marwindows]

Si je suis un dictateur qui applique la censure, j'ai juste à utiliser cet outil et à le tester sur les sites que je souhaite bloquer, pour connaitre les FAI qui me biaisent ...

[LittleWhite]

Merci edoms pour les clarifications.
Autant que j'ai cru comprendre, les pays faisant censure sont capable de faire du Deep Packet Inspection, du coup, le hack sur la trame TCP ne va pas passer inaperçue ?

[edoms]

Autant que j'ai cru comprendre, les pays faisant censure sont capable de faire du Deep Packet Inspection, du coup, le hack sur la trame TCP ne va pas passer inaperçue ?

En fait si tu lis les pages 5 et 6 du PDF, tu verras que le gouvernement ne voit rien d'autre qu'une connection SSL on peut plus classique vers https://authorized-site. C'est par après que la connection TCP est hijackée par TapDance, mais de ce que je lis, même avec du DPI, aucun moyen pour le gouvernement de parer ça.

Je cite:

(1) The client performs a normal TLS handshake with an unblocked decoy server, establishing a
session key K. (2) The client sends an incomplete HTTP request through the connection and encodes a steganographic tag in the
ciphertext of the request, using a novel encoding scheme (Section 4.2). (3) The TapDance station observes and extracts the client’s
tag, and recovers the client-server session secret K. (4) The server sends a TCP ACK message in response to the incomplete HTTP
request and waits for the request to be completed or until it times out. (5) The station, meanwhile, spoofs a response to the client from
the decoy server. This message is encrypted under K and indicates the station’s presence to the client. (6) The client sends a TCP
ACK (for the spoofed data) and its real request (blocked.com). The server ignores both of these, because the TCP acknowledgment
field is higher than the server’s TCP SND.NXT. (7) The TapDance station sends back the requested page (blocked.com) as a spoofed
response from the server. (8) When finished, the client and TapDance station simulate a standard TCP/TLS authenticated shutdown,
which is again ignored by the true server. (9) After the connection is terminated by the client, the TapDance station sends a TCP RST
packet that is valid for the server’s SND.NXT, silently closing its end of the connection before its timeout expires

Une fois que (1) est terminé, tout est invisible à part pour le citoyen, TapDance, et le decoy server (qui n'a aucune idée de ce qui se passe, il crée juste une session SSL, en attendant le GET HTTP).

Le schema du PDF associé est beaucoup plus clair

[Jonyjack]

Ce que je ne comprends pas, c'est comment le FAI peut analyser les paquets TCP pour voir la trame cachée si le client communique avec "reachable site" en SSL. Le censeur ne peut pas voir le contenu donc ne voit pas ce qui se passe mais le FAI peut ? Ou alors la trame cachée dans la demande de certificat SSL cache une trame pour indiquer au FAI de dérouter les trames et dans ce cas le censeur peut aussi les voir. Ou alors j'ai rien compris

[edoms]

Ce que je ne comprends pas, c'est comment le FAI peut analyser les paquets TCP pour voir la trame cachée si le client communique avec "reachable site" en SSL. Le censeur ne peut pas voir le contenu donc ne voit pas ce qui se passe mais le FAI peut ? Ou alors la trame cachée dans la demande de certificat SSL cache une trame pour indiquer au FAI de dérouter les trames et dans ce cas le censeur peut aussi les voir. Ou alors j'ai rien compris

Bonne question

Je cite :

The TapDance protocol requires the client to leak
knowledge of the client-server master secret, thereby allowing
the station to use this shared secret to encrypt all
communications. The client encodes the master secret as
part of a steganographic tag visible only to the TapDance
station. This tag is hidden in an incomplete HTTP request
sent to the decoy server through the encrypted channel.

Un peu plus loin dans le PDF :

In TapDance, we rely on elliptic curve Diffie-Hellman to
agree on a per-connection shared secret between the client
and station, which is used to encrypt the steganographic
tag payload. The tag consists of the client’s connectionspecific
elliptic curve public key point (Q = eG), encoded
as a string indistinguishable from uniform, followed by
a variable-length encrypted payload used to communicate
the client-server TLS master secret (and intent for
proxying) to the station.

TapDance arrive bien à extraire la master secret key de la connexion SSL, puis après déroute le trafic

[Jonyjack]

Ok merci c'est effectivement plus technique que ce que je pensais.