+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités
    Avatar de Patrick Ruiz
    Homme Profil pro
    Rédacteur technique
    Inscrit en
    février 2017
    Messages
    273
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : Communication - Médias

    Informations forums :
    Inscription : février 2017
    Messages : 273
    Points : 8 838
    Points
    8 838

    Par défaut Des chercheurs testent TapDance : une application basée sur le protocole TCP

    Des chercheurs testent TapDance : une application basée sur le protocole TCP
    Pour contourner la censure sur Internet

    Des chercheurs ont exploité les infrastructures de deux fournisseurs d’accès à Internet (basés aux États-Unis) pour tester un outil contre la censure sur Internet. L’outil aurait servi à 50 000 personnes situées dans des pays où certains sites sont prohibés d’accès à contourner les blocages et à accéder à l’Internet libre et ouvert.

    Les développements relatifs à TapDance (c’est le nom de l’outil) ont été présentés pour la première fois lors du symposium USENIX sur la sécurité. L’outil est présenté comme une meilleure alternative aux services VPN ou autres proxy HTTPS ouverts qui, selon les concepteurs de TapDance, ont le même talon d’Achille : la possibilité de retrouver le serveur sur lequel ils s’appuient et le bloquer.

    TapDance s’appuie sur des stations « anti censure » situées chez des fournisseurs d’accès Internet partenaires. Lesdites stations sont des dispositifs de surveillance réseau destinés à détecter un « signal particulier » caché dans des trames TCP émises depuis un pays où la censure sévit. Ce signal constitue le moyen par lequel les infrastructures du fournisseur d’accès à Internet partenaire savent qu’elles doivent rediriger la requête de l’internaute vers les sites non censurés.

    Nom : TapDance.png
Affichages : 1845
Taille : 95,4 Ko


    À la chasse des FAI partenaires

    Après le succès de ce que l’on pourrait appeler « opération 50 000 libérés », la prochaine étape pour les chercheurs est d’impliquer le plus grand nombre de fournisseurs d’accès Internet à cette campagne. Une participation plus importante de ces derniers à cette opération contribuerait plus sérieusement à libérer les internautes captifs. En effet, pour qu’un État parvienne à mettre à mal un tel système, il faudrait qu’il bloque toutes les connexions qui passent au travers des FAI participants, ce qui aurait tendance à se retourner contre lui dans le cas d’une adoption massive du stratagème.

    Des interrogations demeurent…

    Dans le cadre du test public, les participants ont utilisé une version modifiée de l’application Psiphon utilisée pour des desseins similaires, à savoir : contourner la censure sur Internet. Elle a été retouchée pour permettre l’insertion automatique du « signal particulier » (caché dans une trame TCP) à destination des infrastructures du FAI chaque fois qu’un internaute essaie d’accéder à un site censuré.

    La logique voudrait que, des autorités ayant connaissance de l’existence d’une telle application, la bannissent replongeant les internautes dans le désarroi. Cet aspect semble être le plus gros inconvénient de cette méthode qui, faudrait-il le préciser, est encore en cours de développement. On gardera un œil sur les publications futures y relatives pour savoir quelles ont été les avancées à ce sujet.

    Sources : CBC

    Et vous ?

    Qu’en pensez-vous ?

    Voir aussi :

    Censure : le gouvernement chinois intime aux opérateurs de télécom de bloquer l'accès aux VPN personnels d'ici à février 2018 au plus tard
    Grande-Bretagne : Theresa May veut créer un nouvel Internet contrôlé et réglementé par le gouvernement
    La chancelière allemande Angela Merkel laisse entrevoir un avenir avec plus de contrôle sur Internet de la part des gouvernements
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Responsable 2D/3D/Jeux


    Avatar de LittleWhite
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    mai 2008
    Messages
    22 264
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : mai 2008
    Messages : 22 264
    Points : 151 754
    Points
    151 754
    Billets dans le blog
    6

    Par défaut

    Bonjour,

    Peut être je suis à côté de la plaque, mais cela ressemble énormément aux mécanismes derrières les tunnels SSH et les VPN (ou même les proxy). J'ai du mal à saisir l'innovation et la conclusion semble conforter mon apriori.
    Vous souhaitez participer à la rubrique 2D/3D/Jeux ? Contactez-moi

    Ma page sur DVP
    Mon Portfolio

    Qui connaît l'erreur, connaît la solution.

  3. #3
    Nouveau membre du Club
    Profil pro
    Inscrit en
    janvier 2008
    Messages
    18
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : janvier 2008
    Messages : 18
    Points : 38
    Points
    38

    Par défaut

    Si je comprend en résumé on accède à developpez.net en mettant une certaine trame en plus dans la demande de requete et le FAI qui héberge le site web va se dire tiens tu essai d'accéder à Youtube, alors je t'envoi le contenu de youtube.
    1/ Mais comment marche les hyperlink dans le site web ? Car eux sont toujours sur youtube non ?
    2/ La trame n'est-elle pas identifiable par ceux qui applique la censure ? car je suppose qu'elle doit toujours avoir la même entête pour être reconnu par les FAI ??

  4. #4
    Membre actif Avatar de monwarez
    Homme Profil pro
    Étudiant
    Inscrit en
    avril 2009
    Messages
    144
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 23
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : avril 2009
    Messages : 144
    Points : 239
    Points
    239

    Par défaut

    Pour ceux qui veulent plus de detail sur le decoy routing https://people.eecs.berkeley.edu/~ct...ecoy-ccs12.pdf
    Il faudrait un grand nombre de routeur qui y participe pour avoir un réel impact sur la censure.

  5. #5
    Membre régulier
    Profil pro
    Inscrit en
    juillet 2007
    Messages
    20
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : juillet 2007
    Messages : 20
    Points : 73
    Points
    73

    Par défaut

    Citation Envoyé par LittleWhite Voir le message
    Peut être je suis à côté de la plaque, mais cela ressemble énormément aux mécanismes derrières les tunnels SSH et les VPN (ou même les proxy). J'ai du mal à saisir l'innovation et la conclusion semble conforter mon apriori.
    Le problème du tunnel SSH, c'est que tout commence par une connexion à un serveur dédié, unique, qui va effectivement cacher tout ton trafic. Si t'es tout seul en Chine et que t'as loué ton propre dédié OVH, effectivement, personne ne pourra t'en empêcher. Si vous êtes 200 000 dessus, le gouvernement va simplement rajouter ton serveur à la liste des proxy blacklistés (ou directement bloquer tout le range d'IP, plus simple).

    Ici, ce sont directement les routeurs d'un ISP donné qui déroutent la tentative de connexion, avec un gros hack en TCP, et tout finit dans une connexion SSL. Le gouvernement n'a rien vu et voit une connexion SSL qui vient de s'établir entre https://autorized-site et son citoyen, alors qu'en dessous, c'est bien une connexion vers https://blocked-site qui s'est établie. Le seul moyen qu'aurait le gouvernement d'empêcher ça, c'est de bloquer toute connexion passant par cet ISP, ou bloquer SSL. Ca devient plus gênant...

    C'est un peu technique mais tout est en fait expliqué en détail ici : https://jhalderm.com/pub/papers/tapdance-sec14.pdf

    Et voici un lien qui concentre un peu tout ce qui existe à ce sujet : https://refraction.network/

  6. #6
    Membre confirmé
    Avatar de Marwindows
    Homme Profil pro
    Dev'Ops
    Inscrit en
    mars 2010
    Messages
    47
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Dev'Ops

    Informations forums :
    Inscription : mars 2010
    Messages : 47
    Points : 620
    Points
    620

    Par défaut

    Si je suis un dictateur qui applique la censure, j'ai juste à utiliser cet outil et à le tester sur les sites que je souhaite bloquer, pour connaitre les FAI qui me biaisent ...

  7. #7
    Responsable 2D/3D/Jeux


    Avatar de LittleWhite
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    mai 2008
    Messages
    22 264
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : mai 2008
    Messages : 22 264
    Points : 151 754
    Points
    151 754
    Billets dans le blog
    6

    Par défaut

    Merci edoms pour les clarifications.
    Autant que j'ai cru comprendre, les pays faisant censure sont capable de faire du Deep Packet Inspection, du coup, le hack sur la trame TCP ne va pas passer inaperçue ?
    Vous souhaitez participer à la rubrique 2D/3D/Jeux ? Contactez-moi

    Ma page sur DVP
    Mon Portfolio

    Qui connaît l'erreur, connaît la solution.

  8. #8
    Membre régulier
    Profil pro
    Inscrit en
    juillet 2007
    Messages
    20
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : juillet 2007
    Messages : 20
    Points : 73
    Points
    73

    Par défaut

    Citation Envoyé par LittleWhite Voir le message
    Autant que j'ai cru comprendre, les pays faisant censure sont capable de faire du Deep Packet Inspection, du coup, le hack sur la trame TCP ne va pas passer inaperçue ?
    En fait si tu lis les pages 5 et 6 du PDF, tu verras que le gouvernement ne voit rien d'autre qu'une connection SSL on peut plus classique vers https://authorized-site. C'est par après que la connection TCP est hijackée par TapDance, mais de ce que je lis, même avec du DPI, aucun moyen pour le gouvernement de parer ça.

    Je cite:

    (1) The client performs a normal TLS handshake with an unblocked decoy server, establishing a
    session key K. (2) The client sends an incomplete HTTP request through the connection and encodes a steganographic tag in the
    ciphertext of the request, using a novel encoding scheme (Section 4.2). (3) The TapDance station observes and extracts the client’s
    tag, and recovers the client-server session secret K. (4) The server sends a TCP ACK message in response to the incomplete HTTP
    request and waits for the request to be completed or until it times out. (5) The station, meanwhile, spoofs a response to the client from
    the decoy server. This message is encrypted under K and indicates the station’s presence to the client. (6) The client sends a TCP
    ACK (for the spoofed data) and its real request (blocked.com). The server ignores both of these, because the TCP acknowledgment
    field is higher than the server’s TCP SND.NXT. (7) The TapDance station sends back the requested page (blocked.com) as a spoofed
    response from the server. (8) When finished, the client and TapDance station simulate a standard TCP/TLS authenticated shutdown,
    which is again ignored by the true server. (9) After the connection is terminated by the client, the TapDance station sends a TCP RST
    packet that is valid for the server’s SND.NXT, silently closing its end of the connection before its timeout expires
    Une fois que (1) est terminé, tout est invisible à part pour le citoyen, TapDance, et le decoy server (qui n'a aucune idée de ce qui se passe, il crée juste une session SSL, en attendant le GET HTTP).

    Le schema du PDF associé est beaucoup plus clair

  9. #9
    Membre averti Avatar de Jonyjack
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    avril 2011
    Messages
    149
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Indre et Loire (Centre)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : Finance

    Informations forums :
    Inscription : avril 2011
    Messages : 149
    Points : 422
    Points
    422

    Par défaut

    Ce que je ne comprends pas, c'est comment le FAI peut analyser les paquets TCP pour voir la trame cachée si le client communique avec "reachable site" en SSL. Le censeur ne peut pas voir le contenu donc ne voit pas ce qui se passe mais le FAI peut ? Ou alors la trame cachée dans la demande de certificat SSL cache une trame pour indiquer au FAI de dérouter les trames et dans ce cas le censeur peut aussi les voir. Ou alors j'ai rien compris

  10. #10
    Membre régulier
    Profil pro
    Inscrit en
    juillet 2007
    Messages
    20
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : juillet 2007
    Messages : 20
    Points : 73
    Points
    73

    Par défaut

    Citation Envoyé par Jonyjack Voir le message
    Ce que je ne comprends pas, c'est comment le FAI peut analyser les paquets TCP pour voir la trame cachée si le client communique avec "reachable site" en SSL. Le censeur ne peut pas voir le contenu donc ne voit pas ce qui se passe mais le FAI peut ? Ou alors la trame cachée dans la demande de certificat SSL cache une trame pour indiquer au FAI de dérouter les trames et dans ce cas le censeur peut aussi les voir. Ou alors j'ai rien compris
    Bonne question

    Je cite :

    The TapDance protocol requires the client to leak
    knowledge of the client-server master secret, thereby allowing
    the station to use this shared secret to encrypt all
    communications. The client encodes the master secret as
    part of a steganographic tag visible only to the TapDance
    station. This tag is hidden in an incomplete HTTP request
    sent to the decoy server through the encrypted channel.
    Un peu plus loin dans le PDF :

    In TapDance, we rely on elliptic curve Diffie-Hellman to
    agree on a per-connection shared secret between the client
    and station, which is used to encrypt the steganographic
    tag payload. The tag consists of the client’s connectionspecific
    elliptic curve public key point (Q = eG), encoded
    as a string indistinguishable from uniform, followed by
    a variable-length encrypted payload used to communicate
    the client-server TLS master secret (and intent for
    proxying) to the station.
    TapDance arrive bien à extraire la master secret key de la connexion SSL, puis après déroute le trafic

  11. #11
    Membre averti Avatar de Jonyjack
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    avril 2011
    Messages
    149
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Indre et Loire (Centre)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : Finance

    Informations forums :
    Inscription : avril 2011
    Messages : 149
    Points : 422
    Points
    422

    Par défaut

    Ok merci c'est effectivement plus technique que ce que je pensais.

Discussions similaires

  1. [ZF 1.8] Créer une application basée sur ZF avec Zend_Tool
    Par aityahia dans le forum Autres composants
    Réponses: 7
    Dernier message: 22/09/2009, 15h57
  2. Installation une application basée sur gtk
    Par KiKiTiTi dans le forum GTK+
    Réponses: 1
    Dernier message: 11/09/2008, 12h47
  3. Réponses: 2
    Dernier message: 04/07/2007, 17h06
  4. Réponses: 5
    Dernier message: 10/05/2007, 19h04

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo