Journal d'investigation en ligne et d'information‑hacking
par Jef Mathiot

Google bas du front, c'est le Souq chez Signal

Google interdit le domain fronting

Décidément, ça bouge dans le monde de messageries sécurisées. Les développeurs de Signal sont contraints de s'adapter aux modifications récentes imposées par Google.

Souk de Tunis - Leandro Neumann Ciuffo - CC BY 2.0

Alors que nous étudions les mesures techniques mises en place par Telegram pour contrer le dispositif de censure, massif, des autorités russes, nous sommes tombés sur une bizarrerie. Pour comprendre le système de découverte d'adresses IP de la messagerie, nous avions en effet écrit un script imitant le comportement de l'application. Deux mécanismes relativement similaires ont été mis en place par les développeurs.

Le premier, qui fonctionne toujours, utilise le domain fronting via google.com pour s'adresser au service dns.google.com. Le second utilise la même terminaison, google.com, mais pour dissimuler cette fois-ci les requêtes à destinations de dns-telegram.appspot.com. Mais impossible de le faire fonctionner. C'est la raison pour laquelle, dans le script, nous utilisons directement dns-telegram.appspot.com. En passant par google.com pour essayer d'atteindre cette seconde adresse le serveur renvoie ainsi le message suivant :

This HTTP request has a Host header that is not covered by the TLS certificate used. Due to an infrastructure change, this request cannot be processed.

Nous avions pensé au départ à un problème de notre côté, mais après plusieurs essais infructueux, il était évident qu'il n'était pas de notre fait. appspot.com étant le nom de domaine fourni par Google dans le cadre de son offre d'hébergement « Google App Engine », il fallait donc en conclure que Google avait interdit le « domain fronting » via google.com vers ...