Discussion :

[Bruno]

Comment le Grand pare-feu de Chine détecte et bloque le trafic entièrement chiffré,
il pourrait potentiellement bloquer environ 0,6 % du trafic Internet normal en tant que dommages collatéraux

L'une des pierres angulaires du contournement de la censure est constituée par les protocoles qui chiffrent la charge utile dans le but de « ne ressembler à rien ». Un rapport intitulé How the Great Fire wall of China Detects and Blocks Fully Encrypted Traffic présente une nouvelle technique de détection des attaques de phishing basée sur l’analyse des caractéristiques visuelles des pages web.

En novembre 2021, le Great Firewall of China (GFW) a déployé une nouvelle technique de censure qui détecte passivement le trafic entièrement chiffré en temps réel, et le bloque par la suite. La nouvelle capacité de censure de la GFW affecte un grand nombre de protocoles populaires de contournement de la censure, y compris, mais sans s'y limiter, Shadowsocks, VMess et Obfs. Bien que la Chine ait depuis longtemps sondé activement ces protocoles, il s'agit du premier rapport de détection purement passive, ce qui a conduit la communauté anti-censure à se demander comment la détection était possible.

Les chercheurs ont découvert qu'au lieu de définir directement ce qu'est le trafic entièrement chiffré, le dispositif de censure applique des théories rudimentaires mais efficaces pour exempter le trafic qui a peu de chances d'être entièrement chiffré ; il bloque ensuite le reste du trafic non exempté. Ces heuristiques sont basées sur les empreintes signatures des protocoles courants, la fraction des bits définis et le nombre, la fraction et la position des caractères ASCII imprimables.

Selon les chercheurs, les analyses de l'Internet révèlent le trafic et les adresses IP que le GFW inspecte. Ils simulent l'algorithme de détection du GFW déduit sur le trafic en temps réel d'un réseau universitaire afin d'évaluer son exhaustivité et ses faux positifs.

Les règles déduites par les chercheurs couvrent bien ce que le GFW utilise réellement. Ils estiment que, si elle est appliquée à grande échelle, elle pourrait potentiellement bloquer environ 0,6 % du trafic Internet normal en tant que dommages collatéraux. La compréhension du nouveau mécanisme de censure de la GFW permet de déduire plusieurs stratégies pratiques de contournement.

Les protocoles de contournement entièrement chiffrés sont la pierre angulaire des solutions de contournement de la censure. Alors que des protocoles tels que le protocole TLS commence par un échange qui comprend des octets de texte brut, des protocoles entièrement chiffrés (randomisés), tels que MVess, Shadowsocks et Obfs4, sont conçus de manière à ce que chaque octet de la connexion soit fonctionnellement impossible à distinguer d'un octet aléatoire. L'idée sous-jacente à ces protocoles « qui ne ressemblent à rien » est qu'ils devraient être difficiles à cerner pour les dispositifs de censure qui n'ont pas de signature digitale et qu'ils devraient donc être peu coûteux à bloquer.

Le 6 novembre 2021, des utilisateurs d'Internet en Chine ont signalé des blocages de leurs serveurs Shadow et de leurs serveurs MVess. Le 8 novembre, un développeur a signalé une baisse soudaine de l'utilisation en Chine. Le début de ce blocage a coïncidé avec la sixième session plénière du 19e comité central du Parti communiste chinois, qui s'est tenue du 8 au 11 novembre 2021. Le blocage de ces outils de contournement représente une nouvelle capacité de la Grande Muraille de Pare Feu (GFW) de la Chine.

Bien que la Chine utilise l'analyse passive du trafic et le sondage actif pour identifier les serveurs Shadowsocks depuis mai 2019, c'est la première fois que le dispositif de censure est en mesure de bloquer des serveurs proxy entièrement chiffrés en masse et en temps réel, en se basant entièrement sur l'analyse passive du trafic. L'importance des protocoles entièrement chiffrés pour l'écosystème de la censure et les comportements mystérieux du GFW incitent les chercheurs à explorer et à comprendre les mécanismes sous-jacents de détection et de blocage.

Comment le GFW perturbe les connexions

Lorsque le GFW détecte un trafic correctement chiffré à l'aide de l'algorithme ci-dessous :

Algorithme : le GFW utilise au moins cinq règles heuristiques pour détecter et bloquer le trafic correctement chiffré. Le dispositif de censure applique cet algorithme aux connexions TCP en provenance de Chine dans certains sous-réseaux IP et utilise un blocage probabiliste. Autoriser la poursuite de la connexion si le premier paquet TCP (pkt) envoyé par les clients répond à l'une des exceptions suivantes :

• Ex1: Les six premiers octets (ou plus) du pkt sont les suivants [0x20,0x7e] ;
• Ex2 : Plus de 50 % des octets du pkt sont [0x20,0x7e] ;
• Ex3 : Plus de 20 octets contigus d'un pkt sont [0x20,0x7e] ;
• Ex4 : Il fait correspondre l'empreinte digitale du protocole à TLS ou HTTP.

Il bloque le trafic suivant, comme indiqué ci-dessous.

Les paquets sont abandonnés entre le client et le serveur : les chercheurs ont déclenché le blocage du GFW et comparé les paquets capturés du client émetteur et du serveur récepteur. On observe qu'après le déclenchement du blocage, les paquets du client sont abandonnés par le GFW et ne parviennent pas au serveur.

Le trafic UDP n'est pas affecté : le nouveau système de censure se limite au TCP. L'envoi d'un diagramme UDP avec une charge de données aléatoire ne peut pas déclencher le blocage. En outre, une fois qu'un triplet (IP client, IP serveur, port serveur) est bloqué en raison d'une connexion TCP perturbée, les diagrammes UDP provenant du même couple (IP serveur, port serveur) ne sont pas affectés.

En raison de l'absence de blocage UDP, les utilisateurs peuvent avoir un mauvais comportement en utilisant Shadowsocks : ils ne peuvent pas accéder à des sites web ou à des applications qui reposent sur UDP (par exemple QUIC ou FaceTec).

Ceci est dû au fait que Shadowsocks proxifie le trafic TCP avec TCP et proxifie le trafic UDP avec UDP. Le fait de ne pas détecter ou bloquer le trafic UDP peut refléter l'état d'esprit de l'ingénierie du censeur, qui considère que le pire est le meilleur. D'un point de vue pratique, le blocage actuel du trafic TCP peut déjà paralyser efficacement ces outils de contournement populaires, tandis que l'utilisation de la censure UDP nécessite des ressources supplémentaires et rend le système de censure encore plus complexe.

Le trafic sur tous les ports peut être bloqué : les chercheurs ont mis en place un serveur qui écoute tous les ports de 1 à 65535 aux États-Unis. Ils laissent ensuite leur client en Chine établir en permanence des connexions avec des charges utiles aléatoires de 50 octets sur chaque port du serveur américain et ils stoppent lorsqu'un port est bloqué. On constate que le blocage peut se produire sur tous les ports de 1 à 65535. Par conséquent, l'exécution de serveurs de contournement sur un port inhabituel ne peut pas atténuer le blocage.

La durée de la censure résiduelle est influencée par le nombre de blocages résiduels en cours : les chercheurs ont constaté qu'une fois que ce nouveau système de censure bloque une connexion, il continue à bloquer les paquets TCP suivants contenant le même couple de trois éléments (IP du client, IP du serveur, port du serveur) pendant 120 ou 180 secondes. Ce comportement est souvent appelé « censure résiduelle ». Contrairement à d'autres systèmes de censure résiduelle, le minuteur de censure résiduelle du GFW ne se réinitialise pas en cas de présence de paquets supplémentaires.

Pour surmonter l'impact commercial collatéral du GFW, il existe quatre options principales :

• Réseau MPLS mondial ;
• MPLS en Chine avec un seul site en dehors de la Chine pour l'accès à l'internet ;
• Fournisseurs tels que oneAs1a - Application Acceleration Network (AAN) ;
• SD-WAN avec réseau d'accélération des applications ou MPLS.

Réseau MPLS mondial

Tous les réseaux MPLS allant de la Chine continentale vers l'extérieur contournent le Grand pare-feu de Chine. Une solution simple consiste à disposer d'un réseau MPLS mondial. Barry Silic, haut responsable chez Microsoft, note qu'en Chine, seuls certains fournisseurs de services Internet seront en mesure de fournir un réseau MPLS et qu'il est préférable d'utiliser l'un d'entre eux en Chine avec un site à Hong Kong et un autre fournisseur de services Internet pour votre réseau MPLS mondial avec une interconnexion à Hong Kong. Il s'agit de la solution la plus coûteuse, mais elle serait la plus performante.

Dans le cadre de ce travail, les chercheurs ont exposé et étudié le système de censure de la Chine qui bloque de manière dynamique et en temps réel le trafic chiffré. Cette nouvelle forme puissante de censure a affecté partiellement ou totalement de nombreux outils de contournement courants, notamment Shadowsocks, Outline, VMess, Obfs4, Lantern et Phiphon. Ils ont effectué des mesures approfondies des diverses propriétés de l'algorithme d'analyse du trafic du GFW et évalué son exhaustivité et ses faux positifs par rapport au trafic réel. Ils utilisent aujourd’hui leur connaissance de ce nouveau système de censure pour élaborer des stratégies de prévention efficaces.

Source : Rapport d'étude

Les conclusions de ses travaux de recherche sont-elles pertinentes ?

Selon vous, comment les utilisateurs peuvent-ils contourner le Grand Pare-feu de Chine et accéder à des informations non filtrées ?

Quels seraient les risques et les défis auxquels sont confrontés les utilisateurs qui tentent de déjouer le Grand Pare-feu de Chine ?

Existe-t-il des implications éthiques, politiques et juridiques de l’existence du Grand Pare-feu de Chine pour le reste du monde ?

Voir aussi :

La Chine compterait 50 pirates informatiques pour chaque cyber-agent du FBI, le directeur du FBI dénonce la menace cybernétique de la Chine et demande plus de budget

Les dépenses en services cloud en Chine ont augmenté de 11 % en glissement annuel au T2 2022, atteignant $ 7,3 milliards, Alibaba Cloud, Huawei, Tencent et Baidu conservé leur position de leaders

La Chine stocke et se sert probablement des vulnérabilités zero-day, selon Microsoft qui note une augmentation des cyberattaques depuis que la loi exige que les vulnérabilités soient signalées à Pékin

[mith06]

Voila de quoi inspirer la commission européenne, pour améliorer la protections des citoyens. Notamment contre les pédophiles.

[Prox_13]

Voila de quoi inspirer la commission européenne, pour améliorer la protections des citoyens. Notamment contre les pédophiles.

Touché

[OrthodoxWindows]

Voila de quoi inspirer la commission européenne, pour améliorer la protections des citoyens. Notamment contre les pédophiles.

J'allais poster quasiment le même truc

D'ailleurs, toute forme de censure du web, pour être "efficace" (c'est-à-dire non contournable) doit se rapprocher considérablement du grand par-feu chinois.
J'entends déjà les "il compare l'Occident aux pires dictatures". Sauf que je ne compare rien, j'explique juste le fonctionnement du web. Croire que c'est possible d'empêcher quelqu’un de déterminé (et avec de bonnes connaissances en informatique) à accéder sur internet à un contenu interdit sans pour autant tomber dans un système dystopique est faux.

[Alex]

La plus grande fuite jamais enregistrée du Grand Pare-feu de Chine : 500 Go d'informations exposent les outils de censure mondiaux, y compris des informations confidentielles essentielles au système

Lors d'un événement majeur en matière de cybersécurité, le Grand Pare-feu de Chine a subi une violation massive de données le 11 septembre. Des chercheurs ont confirmé que plus de 500 Go de documents internes sensibles, de codes sources complets, de journaux opérationnels et de communications internes avaient été divulgués en ligne. Cette fuite sans précédent comprend des référentiels de packaging et des runbooks essentiels à la construction et à la maintenance du système national chinois de filtrage du trafic, offrant un aperçu rare de ses mécanismes sophistiqués.

Le Great Firewall of China (GFW) ou Grand Pare-feu de Chine est l'ensemble des mesures législatives et technologiques mises en œuvre par la République populaire de Chine pour réglementer l'Internet au niveau national. Son rôle dans la censure d'Internet en Chine est de bloquer l'accès à certains sites web étrangers et de ralentir le trafic Internet transfrontalier. Outre la censure, le Grand Pare-feu a également influencé le développement de l'économie Internet interne de la Chine en favorisant les entreprises nationales et en réduisant l'efficacité des produits des entreprises Internet étrangères.

Les techniques déployées par le gouvernement chinois pour maintenir le contrôle du Grand Pare-feu peuvent inclure la modification des résultats de recherche pour certains termes, comme cela a été le cas après l'arrestation d'Ai Weiwei, et la demande aux conglomérats mondiaux de supprimer certains contenus, comme cela s'est produit lorsqu'ils ont demandé à Apple de retirer l'application du journal économique Quartz de son App Store chinois après avoir rendu compte des manifestations de 2019-2020 à Hong Kong.

En novembre 2021, le Grand Pare-feu a déployé une nouvelle technique de censure qui détecte passivement le trafic entièrement chiffré en temps réel, et le bloque par la suite. La nouvelle capacité de censure du GFW affecte un grand nombre de protocoles populaires de contournement de la censure, y compris, mais sans s'y limiter, Shadowsocks, VMess et Obfs. Bien que la Chine ait depuis longtemps sondé activement ces protocoles, il s'agit du premier rapport de détection purement passive, ce qui a conduit la communauté anti-censure à se demander comment la détection était possible.

Lors d'un événement majeur en matière de cybersécurité, le Grand Pare-feu de Chine a subi une violation massive de données le 11 septembre. Des chercheurs ont confirmé que plus de 500 Go de documents internes sensibles, de codes sources complets, de journaux opérationnels et de communications internes avaient été divulgués en ligne. Cette fuite sans précédent comprend des référentiels de packaging et des runbooks essentiels à la construction et à la maintenance du système national chinois de filtrage du trafic, offrant un aperçu rare de ses mécanismes sophistiqués.

Les données divulguées proviendraient de Geedge Networks, une société souvent associée à Fang Binxing, souvent surnommé le « père » du Grand Pare-feu. Le laboratoire MESA de l'Institut d'ingénierie de l'information, une branche de recherche de l'Académie chinoise des sciences, semble également être lié à cette fuite. Cet incident met en lumière les entités impliquées dans le développement et le déploiement de technologies avancées de contrôle d'Internet.

Parmi les nombreux fichiers divulgués figurent ce qui semble être des systèmes complets pour des plateformes avancées d'inspection approfondie des paquets (DPI). Ces systèmes contiennent des modules de code spécialement conçus pour identifier et limiter divers outils de contournement d'Internet. Une partie importante de la pile technologique est axée sur la détection des VPN basée sur la DPI, l'empreinte SSL sophistiquée et la journalisation complète des sessions, mettant en évidence les capacités avancées utilisées pour la surveillance et le contrôle du réseau.

Les analystes du Great Firewall Report, qui ont été parmi les premiers à vérifier et à indexer les documents divulgués, affirment que ceux-ci détaillent l'architecture interne d'une plateforme commerciale nommée « Tiangou ». Cette plateforme est décrite comme un « Great Firewall in a box » clé en main, conçu pour être déployé par les fournisseurs d'accès à Internet (FAI) et aux points d'entrée frontaliers. Les premières implémentations auraient utilisé des serveurs HP et Dell, avant un changement stratégique vers du matériel d'origine chinoise en réponse aux sanctions internationales.

Il est alarmant de constater qu'une fiche de déploiement divulguée illustre l'adoption généralisée de ce système, révélant son installation dans 26 centres de données au Myanmar. Les tableaux de bord en direct du système ont été observés en train de surveiller un nombre impressionnant de 81 millions de connexions TCP simultanées. Selon certaines informations, la société de télécommunications publique du Myanmar aurait exploité le système, l'intégrant dans les principaux points d'échange Internet afin de faciliter le blocage massif et le filtrage sélectif des contenus à l'échelle nationale.

La portée mondiale de l'infrastructure DPI de Geedge s'étend au-delà du Myanmar. Des enquêtes révèlent que cette technologie a été exportée vers plusieurs autres pays, notamment le Pakistan, l'Éthiopie et le Kazakhstan. Dans ces pays, les équipements de censure sont souvent déployés en conjonction avec des plateformes d'interception légales. Au Pakistan en particulier, la technologie de Geedge ferait partie d'un système plus vaste connu sous le nom de WMS 2.0, capable d'effectuer une surveillance globale en temps réel sur les réseaux mobiles.

L'ampleur et la spécificité de cette fuite de données permettent de comprendre comme jamais auparavant comment la censure d'Internet en Chine est non seulement mise en place, mais aussi commercialisée et exportée dans le monde entier. Le reportage de WIRED détaille en outre comment les documents divulgués démontrent la capacité du système Geedge à intercepter les sessions HTTP non cryptées, ce qui soulève d'importantes préoccupations concernant la confidentialité et la sécurité en ligne.

Les chercheurs commencent tout juste à explorer les vastes archives du code source. Bien qu'une grande partie de celles-ci fasse encore l'objet d'une évaluation approfondie, les experts estiment que la présence de journaux de compilation détaillés et de notes de développement pourrait être déterminante pour identifier les faiblesses au niveau des protocoles ou les vulnérabilités opérationnelles. Ces informations pourraient potentiellement être exploitées par des outils de contournement de la censure, offrant ainsi de nouvelles perspectives aux défenseurs de la liberté numérique.

L'archive complète est désormais reproduite par diverses entités, dont Enlace Hacktivista. Les chercheurs recommandent vivement la plus grande prudence à toute personne envisageant de télécharger ou d'examiner ces documents, et conseillent d'utiliser des machines virtuelles (VM) isolées ou d'autres environnements sandboxés afin d'atténuer les risques de sécurité liés aux données sensibles.

Cette divulgation intervient alors que la Chine s'est coupée d'une grande partie de l'Internet mondial pendant un peu plus d'une heure en milieu du mois d'août. Le groupe d'activistes Great Firewall Report a repéré la panne, qui, selon lui, a perturbé tout le trafic vers le port TCP 443 – le port standard utilisé pour acheminer le trafic HTTPS. L’incident fait penser aux tests de l’Internet souverain russe destiné à s’affranchir de la dépendance technologique aux USA.

Source : Les analystes du Great Firewall Report

Et vous ?

Pensez-vous que ce rapport est crédible ou pertinent ?
Quel est votre avis sur le sujet ?

Voir aussi :

Un centre chinois de cybersécurité accuse les États-Unis de piratage et de vol de secrets technologiques, tandis que Washington enquête sur le chinois TP-Link en raison de menace pour la sécurité nationale

La Chine aurait lancé l'Internet le plus rapide du monde avec une liaison de 1,2 térabit par seconde, capable de transmettre 150 films 4K par seconde

La Chine met des Américains sur écoute dans le cadre du « pire piratage des télécommunications de l'histoire des États-Unis », exposant des millions de données sensibles