Domain Fronting : pomme de la discorde entre Google, AWS et Signal

La technique du « Domain Fronting » attire beaucoup l’attention ces dernières semaines. La faute en revient peut-être à Telegram : l’application de messagerie chiffrée a eu recours à cette méthode pour contourner le blocage de son application par la Russie.

Le domain fronting est une technique visant à contourner la censure mise en place par certains pays, qui imposent aux fournisseurs d’accès d’identifier et de bloquer les requêtes en direction de certains serveurs.

C’est notamment ce type de censure qui a été mise en place par la Russie afin de bloquer l’accès à Telegram, mais c’est aussi une problématique bien connue par Signal, l’application de messagerie chiffrée développée par l’organisation Open Whisper System.

 

Signal est en effet bloqué dans plusieurs pays : l’Égypte, l’Iran et les Emirats arabes. Pour contourner ce blocage, l’application avait recours à la technique du domain fronting : qui consiste à usurper l’identité d’un autre site, de préférence incontournable, utilisant la même infrastructure que votre application.

Le nom de domaine indiqué lors du handshake initial SSL est un nom de domaine légitime hébergé sur la même infrastructure que le site ou le service cherchant à contourner les mesures de censure. Cette prise de contact initiale est réalisée en clair, ce qui permet aux fournisseurs d’accès d’identifier et de bloquer les requêtes illégales dans leur pays.

La censure gagne sur tous les fronts

La technique du Domain Fronting consiste à indiquer un nom de domaine valide lors de la première connexion, puis une fois que la connexion chiffrée est établie, de révéler le véritable nom de domaine. Cela permet à un service censuré comme Signal de passer sous le radar des censeurs en imitant le trafic d’autres acteurs.

Cette technique est employée par Telegram en Russie, mais aussi par Signal afin de continuer à fonctionner auprès de ses utilisateurs en Iran, en Égypte, au Qatar, à Oman et au sein des Émirats arabes. Mais Google et Amazon commencent aujourd’hui à menacer de blocage si Signal continue d’avoir recours au Domain Fronting.

Comme l’explique Moxie Marlinspike, le fondateur de Signal, Google a mis fin à cette pratique au début de l’année 2018. Signal avait recours au domain fronting en se faisant passer aux yeux des censeurs pour le CDN de Google depuis 2016, mais le moteur de recherche a mis fin à cette possibilité en début d’année. Signal s’est alors tourné vers AWS pour avoir recours à la même méthode : Signal avait ainsi décidé de faire passer ses requêtes avec celles de Souq.com, un site d’e-commerce hébergé sur le même CDN que les serveurs de Signal.

Malheureusement, Signal étant une application open source, le changement s’est vu et Signal a donc reçu une lettre de la part d’AWS lui rappelant que ce type de technique allait à l’encontre des conditions d’utilisation du service et que l’usurpation d’identité pouvait amener AWS à mettre fin au contrat qui le lie à Signal.

La lettre diffusée par Moxie Marlinspike vient en appui d’une série de mesure annoncée par Amazon Web Services à la fin du mois d’avril visant notamment à empêcher le domain fronting.

Comme le résume le fondateur de Signal : « Google et Amazon nous ayant mis à l’écart, il est impossible de continuer à proposer le domain fronting pour contourner la censure dans les pays où nous avions déployé cette technique. »

Signal explique être en train de travailler sur une alternative plus robuste, mais rappelle que ses faibles moyens risquent de rendre le développement assez long. En attendant, les utilisateurs de l’application situés dans ces pays n’auront plus accès au service.

Go to Source


bouton-devis