samedi 16 janvier 2010

Les techniques de contournement de filtrage selon la Fédération Française des Télécoms et des Communications Electroniques

La lecture de l'étude d’impact du blocage des sites pédopornographiques réalisé pour le compte de la Fédération Française des Télécoms et des  Communications Electroniques - FFTCE (Document disponible ICI) se montre très instructive sur les différentes techniques de contournement des Filtrages.

Les informations qui suivent sont extraites du document cité précédemment
1.1 Les techniques de contournement

En réponse aux méthodes de contrôle et de blocage mises en place par les Etats, de nombreuses « technologies de contournement » sont apparues afin de permettre aux internautes de passer outre ces restrictions. En général, ces techniques fonctionnent en transmettant la requête d’un internaute vivant dans un pays qui filtre le Web via une machine intermédiaire qui n’est pas bloquée. La machine intermédiaire récupère le contenu demandé par l’utilisateur, qui devrait être bloqué par les filtres, et le lui retransmet. Parfois, ces technologies peuvent être conçues spécifiquement pour contourner la censure dans un pays donné, ou pour lutter contre une technique spécifique de blocage; dans d’autres cas, les usagers adaptent des technologies existantes, mais qui n’avaient pas au départ cette finalité.
Dans ce qui suit, nous analysons les techniques de contournement et présentons leur mise en place pratique.

1.1.1L’utilisation de sites Miroirs
Le Mirroring est une technique utilisée en vue de réduire l’utilisation d’un contenu sur les serveurs de l’hébergeur tout en augmentant sa disponibilité.
Un site miroir se charge alors de dupliquer le contenu du site originel et de le publier sous forme de page web. La récupération et la publication du contenu se fait de manière régulière et automatisée.
Cette technique peut donc tout à fait être détournée en vue de mettre à disposition sur de nouvelles sources des contenus bloqués. Le mirroring reste néanmoins peu adapté aux sites aux contenus dynamiques comme les forums, les sites de base de données… Cette technique permet de contourner tous les types de blocages, à la condition que ni l’url ni l’adresse IP du site miroir ne figurent dans la liste noire. Elle pose néanmoins la difficulté que les internautes doivent être informés régulièrement des adresses des sites miroirs.

1.1.2L’utilisation de l’adresse IP au lieu de l’URL
Dans le cas spécifique du blocage DNS, il est possible de le contourner en utilisant directement l’adresse IP du serveur hébergeant le contenu à bloquer. Cette technique simple en apparence, ne peut être utilisée pour accéder à des domaines hébergés sur des serveurs utilisant l’hébergement virtuel1 par nom de domaine, car plusieurs noms de domaine différents partagent une même adresse IP.

1.1.3Le changement d’adresse IP, côté éditeur
Le changement fréquent de l’adresse IP du serveur hébergeant un contenu à bloquer, côté éditeur, est une technique de contournement du blocage IP. Cela reste transparent pour l’utilisateur qui par requête DNS récupère la nouvelle adresse IP du serveur de contenu. Un parmi de nombreux exemples de ce procédé est l’hébergeur néerlandais xs4all qui changeait d’adresse IP toutes les heures, offrant ainsi une couverture à des sites de hacking et de groupuscules anarchistes.

1.1.4Le piratage par Fast-Flux, côté éditeur
Pour faire face aux politiques publiques de suppression des sites illégaux, une des dernières techniques imaginées par les pirates est le Fast-Flux. Elle consiste à faire héberger des contenus illégaux en piratant les machines des utilisateurs privés à leur insu. Le site est alors hébergé sur plusieurs machines et son nom de domaine associé à leurs adresses IP. Pour éviter le blocage de ces sites, la correspondance nom-de-domaine/adresse-IP change continuellement (plusieurs fois par minute).
Si une telle technique est utilisée pour héberger du contenu pédopornographique à l’étranger ou même en France, le blocage BGP, qui consiste à bloquer les adresses IP, entraînerait d’isoler un grand nombre de machines du réseau du FAI, sans même que les propriétaires n’en soient informés. Comme ces adresses IP changent à une fréquence élevée, de plus en plus d’utilisateurs peuvent être impactés. Ce scénario, montre les limites d’un blocage BGP par rapport à un blocage DNS. Dans le cas de blocage DNS, le nom de domaine est bloqué indépendamment du nombre d’adresses IP qui lui sont associées.

1.1.5Le changement de numéro de port, côté éditeur
La technique de changement de numéro de port permet d’échapper au blocage de port (blocage de niveau 4), par exemple des proxy http qui ne filtrent que le port 80. Ainsi, en ouvrant un autre port, le trafic n’est plus inspecté et échappe ainsi au blocage. Il est assez simple de mettre en œuvre ce contournement, en tapant après l’url le numéro de port de communication: http://www.badsite.com:31337/images.

Le changement de port ne permet de contourner que les blocages de niveau 4 sur numéro de port. Il reste inefficace face au blocage IP ou BGP, DNS, blocage par inspection d’URL et blocage Hybride.

1.1.6Le changement de la configuration DNS
Le blocage DNS est contournable par modification du serveur DNS utilisé dans la configuration réseau. Pour le grand public, le serveur DNS utilisé par défaut est celui proposé par le FAI. Mais il existe sur le marché des dizaines de fournisseurs de services DNS comme OpenDNS, DynDNS, No-IP… Il suffit alors de configurer son ordinateur avec l’adresse du nouveau serveur DNS et les requêtes DNS ne s’adresseront plus aux serveurs du FAI qui opère le blocage (sauf si le DNS cité opère le blocage ce qui est le cas d'OpenDNS par exemple).

1.1.7L’utilisation de proxy http et https
L’utilisation de serveurs proxy est une technique qui permet de contourner toutes les techniques de blocage ou presque. En effet, utiliser un serveur proxy tiers, localisé dans un domaine différent de celui du FAI filtrant, permet de demander le contenu à bloquer à la place de l’utilisateur. Le contenu est ensuite redirigé vers l’utilisateur. Ainsi l’opérateur effectuant le blocage, ne visualise aucune requête vers une adresse IP ou une URL à bloquer. Tout se passe comme si deux machines autorisées (l’utilisateur et le proxy) effectuent des échanges de paquets sur le réseau. Cependant, si le trafic transite par un serveur DPI faisant de l’inspection d’URL, il peut identifier à l’intérieur de l’URL, l’encapsulation de l’URL d’origine pointant vers du contenu à bloquer. Si le trafic n’est pas chiffré, l’utilisation de proxies basés à l’étranger ne permet de contourner un blocage par inspection d’URL.

En d’autres termes, l’utilisation de proxy chiffré en https permet de masquer l’URL cible et ainsi contourner toutes les techniques de blocage, à moins que le serveur proxy ne fasse lui-même l’objet d’un blocage, ou que les trafics https soient filtrés par un DPI.

1.1.8Réseaux anonymisants de type TOR
Les réseaux TOR (littéralement, The Onion Router) ont été conçus pour assurer l’anonymisation des paquets TCP. Cette technique a été imaginée pour palier aux carences des proxies existants qui ne suffisent pas toujours à garantir l’anonymat des paquets TCP. Le routage en oignon permet de faire transiter les paquets sans qu’aucune analyse de trafic ne puisse identifier l’utilisateur ou découvrir le contenu de ses paquets. Ainsi, les paquets sont chiffrés avec des clés différentes au niveau du client, autant de fois que de serveurs par lesquels ils vont transiter, à la façon des couches d’un oignon. Ensuite au cours du transit des paquets au niveau du circuit défini, chaque serveur du réseau TOR déchiffre le paquet et l’envoie au serveur suivant. Le dernier serveur déchiffre le paquet avec la clé « n » et obtient ainsi le paquet original.
L’anonymisation par réseaux TOR ne s’applique qu’aux paquets TCP (et pas UDP) mais s’accompagne d’un ralentissement important du trafic. Le service DNS utilisant le protocole de transport UDP, les réseaux TOR ne permettent pas de contourner le blocage DNS.




Info butinée ICI 


Aucun commentaire:

Enregistrer un commentaire