Domain fronting

Un article de Wikipédia, l'encyclopédie libre.
Sauter à la navigation Sauter à la recherche

Domain fronting est une technique qui permet de contourner la censure de l'Internet en dissimulant la véritable destination d'une connexion. Fonctionnant au niveau de la couche application, cette technique permet à un utilisateur de se connecter via HTTPS à un service interdit, tout en paraissant communiquer avec un site différent[1].

En avril 2018, Google réorganise son réseau et désactive le domain fronting, argumentant que cette fonctionnalité « n'a jamais été supportée »[2],[3]. Le même mois, Amazon supprime le domain fronting de son service CloudFront déclarant que cette caractéristique « violait les termes du contrat d'Amazon Web Services »[4],[5],[6]. Ces changements de la part de Google et d'Amazon sont en partie dus à la pression exercée par le gouvernement russe sur l'application de messagerie sécurisée Telegram qui utilisait ces réseaux pour effectuer du domain fronting[7],[8],[9].

Détails techniques[modifier | modifier le code]

La technique consiste à utiliser divers noms de domaine à différentes couches de communication. Le nom de domaine d'un site autorisé est utilisé pour initialiser la connexion. Ce nom de domaine est visible par un observateur dans la requêtes DNS et dans le TLS Server Name Indication. Le nom de domaine de la destination réelle est transmis après la mise en place de la connexion cryptée HTTPS, dans la liste des en-têtes de requête HTTP (en-tête Host), le rendant ainsi invisible pour la censure. Cette technique peut être utilisée si le site servant de leurre et le site réel sont hébergés par un même opérateur d'envergure[10],[11],[12].

Pour un nom de domaine donné, les systèmes de surveillance ne peuvent distinguer le trafic légitime du trafic détourné. La censure est alors contrainte soit d'autoriser l'ensemble du trafic à destination d'un nom de domaine, soit de le bloquer entièrement, ce qui peut engendrer des dommages collatéraux onéreux[8],[13],[14].

Références[modifier | modifier le code]

  1. (en) David Fifield, Chang Lan, Rod Hynes, Percy Wegmann et Vern Paxson, « Blocking-resistant communication through domain fronting », Proceedings on Privacy Enhancing Technologies, vol. 2015, no 2,‎ , p. 46–64 (ISSN 2299-0984, DOI 10.1515/popets-2015-0009, lire en ligne).
  2. (en) Russell Brandom, « A Google update just created a big problem for anti-censorship tools », sur The Verge, (consulté le 19 avril 2018).
  3. (en) « Google ends “domain fronting,” a crucial way for tools to evade censors », sur accessnow.org, .
  4. (en) « Enhanced Domain Protections for Amazon CloudFront Requests », sur amazon.com, .
  5. (en) « Amazon threatens to suspend Signal's AWS account over censorship circumvention », sur signal.org, .
  6. (en) « Amazon Web Services starts blocking domain-fronting, following Google’s lead », sur The Verge (consulté le 20 octobre 2018).
  7. (en) « Amazon and Google bow to Russian censors in Telegram battle », sur fastcompany.com, (consulté le 9 mai 2018).
  8. a et b (en) « Russian Censor Gets Help From Amazon and Google », sur bloomberg.com, (consulté le 20 octobre 2018).
  9. (ru) « Жаров: Microsoft и Google предприняли шаги для ограничения работы Telegram в России », sur tass.ru.
  10. (en) « Encrypted chat app Signal circumvents government censorship », sur engadget.com, (consulté le 4 janvier 2017).
  11. (en) Andy Greenberg, « Encryption App ‘Signal’ Is Fighting Censorship With a Clever Workaround », (consulté le 4 janvier 2017).
  12. (en) « Domain Fronting and You », sur blog.attackzero.net, (consulté le 4 janvier 2017).
  13. (en) « doc/meek – Tor Bug Tracker & Wiki », sur trac.torproject.org (consulté le 4 janvier 2017).
  14. (en) « Signal >> Blog >> Doodles, stickers, and censorship circumvention for Signal Android », sur signal.org (consulté le 4 janvier 2017).