Journal d'investigation en ligne et d'information‑hacking
par Jef Mathiot

Censure : 2018, une année noire pour les libertés

Après Google, Amazon interdit le domain fronting

En quelques semaines, Google puis Amazon ont totalement et volontairement redistribué le paysage de la censure sur Internet.

Jef Mathiot - CC BY-SA 4.0

Il y a quelques semaines, les développeurs de Signal modifiaient le code source de l'application de messagerie. Celle-ci utiliserait dorénavant une terminaison d'Amazon Cloudfront, celle du site souq.com, comme façade afin de contourner la censure en Égypte, aux Émirats arabes unis, à Oman et au Qatar. Auparavant, c'était google.com auquel Signal avait recours, mais Google avait prévenu que cette pratique ne serait plus autorisée.

C'est maintenant au tour d'Amazon Web Services (AWS), la filiale d'Amazon qui fournit des services d'hébergement, de l'interdire. Dans un billet de blog, Moxie Marlinspike retranscrivait il y a quelques jours l'email envoyé par un employé d'Amazon :

De : [caviardé], [caviardé] <[caviardé]@amazon.com>
Subject: Notification d'un suspension potentielle de compte en regard des conditions d'utilisation d'AWS

Moxie,

Hier AWS a pris connaissance de votre [code source sur] Github et des billets sur Hacker News / YCombinator décrivant comment Signal prévoit de faire en sorte que son trafic ressemble au trafic d'un autre site (pratique connue comme du "domain fronting") en utilisant un domaine propriété d'Amazon — Souq.com. Vous n'avez pas la permission d'Amazon d'utiliser Souq.com pour quelque raison que ce soit. N'importe quelle usage de Souq.com ou d'un autre domaine pour vous faire passer pour une autre entité sans la permission expresse du propriétaire du domaine est une claire violation des conditions d'utilisation d'AWS (Amazon CloudFront, Sec. 2.1: "Vous devez détenir un nom de domaine ou avoir les autorisations nécessaires pour utiliser ce nom de domaine ou un certificat SSL en conjonction avec Amazon Cloudfront").

Nous sommes heureux que vous utilisiez les services d'AWS, mais vous devez respecter nos conditions d'utilisation. Nous suspendrons immédiatement votre accès au service Cloudfront si vous utilisez des domaines tiers sans leur permission pour vous faire passer pour ces tiers.

Merci,

[caviardé]

General Manager, Amazon Cloudfront

Vu le ton de l'email, on se serait presque attendu à ce que le général Manager conclue d'un "Merci, bisous", vous ne trouvez pas ? Néanmoins, la position d'Amazon n'est en l'espèce pas complètement aberrante. Souq est en effet l'un de ses clients : en tolérant le domain fronting, Amazon risquerait de voir Souq bloqué et sa propre responsabilité engagée, fût-ce indirectement. Les arguments avancés par Signal sont de ce point de vue peu convaincants :

Bien que notre interprétation ne soit finalement pas celle qui compte, nous ne pensons pas violer les conditions qu'ils décrivent :

  1. Notre distribution Cloudfront n'utilise aucun autre certificat SSL que le nôtre.
  2. Nous ne falsifions pas l'origine du trafic quand nos clients se connectent à Cloudfront.

On peut noter que le cas de Google est très différent de celui d'Amazon. En continuant à autoriser le domain fronting, la firme de Mountain View ne prenait en pratique qu'un risque très mineur pour elle-même. Et, contrairement à Amazon, elle n'exposait aucun tiers à ce risque. Quoiqu'il en soit, les décisions de Google puis d'Amazon invalident de facto l'intérêt du domain fronting. Or, il s'agissait de l'une des rares techniques de contournement de la censure, sinon la seule, qui soit à la fois fiable et facile à mettre en oeuvre. Signal n'est ni ne sera, d'ailleurs, le seul système à être impacté. Il y a en réalité très peu de solutions de contournement qui ne nécessitent pas de manipulations de la part des utilisateurs eux-mêmes, telle la configuration d'un tunnel VPN.

La première consiste à rendre « plastique » l'adressage des serveurs pour jouer au chat et à la souris. C'est ce qu'a mis en place Telegram pour contrer la censure russe, et bientôt sans doute le blocage en Iran, en renouvelant régulièrement l'adresse IP de ses serveurs. Cette approche pose différents problèmes. D'abord, chaque renouvellement d'adresse ne peut avoir théoriquement qu'un effet de courte durée si le censeur n'est pas trop incompétent. Ensuite, cette technique incite les censeurs à bloquer des préfixes entier (des ensembles de plusieurs milliers d'adresses IP), plutôt que des adresses individuelles. Les dommages collatéraux peuvent alors être très importants, comme on a pu le constater en Russie. Ensuite et surtout, les adresses IP ne sortent pas de l'Ether, elles sont en quantité limitée. Elles appartiennent à des "pools" d'adresses détenus par des hébergeurs qui proposent des interfaces de programmation (API) permettant d'automatiser la création de nouveaux serveurs : Amazon, Google, Digital Ocean, Scaleway, etc. Ces acteurs peuvent donc, s'ils le souhaitent c'est à dire si ils jugent leur business menacé, s'appuyer sur les inévitables petites lignes contractuelles pour désactiver les accès de tel ou tel client. On expliquera sans doute à ce dernier que son comportement aura été jugé "abusif".

L'autre solution, évoquée par certains commentateurs, serait de s'appuyer sur le réseau d'anonymisation Tor. Mais, d'une part, Tor a une capacité limitée. D'autre part, la liste des relais Tor est publique, donc facile à bloquer. Les développeurs du projet ont ajouté la possibilité de mettre en œuvre des "bridges", des serveurs situés en amont de la connexion au réseau Tor, et destinés à éviter la censure. Mais ces bridges peuvent également être bloqués. Tor impose aussi aux utilisateurs de configurer la connexion à ces bridges plus ou moins par eux-mêmes.

Le problème majeur réside ainsi dans la découverte par les applications, et de manière transparente pour l'utilisateur, des adresses à utiliser pour contourner les blocages. Telegram utilise, par exemple, parmi différents mécanismes… Du domain fronting via Google qui est donc, à présent, désactivé.

C'était là toute l'élégance du domain fronting. En évitant de s'appuyer sur la rotation d'adresses IP, cette technique éliminait totalement le besoin de recourir à un mécanisme secondaire de découverte de ces adresses.

Avec le blocage délibéré de cette pratique par Google puis Amazon, c'est un coup dur qui est porté contre la liberté d'expression et la sécurité des communications, notamment dans des pays aux mains de régimes autoritaires.

Joli cadeau fait aux censeurs.

3 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée