Tor Snowflake : un outil de contournement de la censure qui aide à se connecter à Tor dans les régions bloquées
(snowflake.torproject.org)- Snowflake est un outil de contournement de la censure qui aide les utilisateurs situés dans des régions où Tor est bloqué à se connecter au réseau Tor, et peut être utilisé dans des applications basées sur Tor comme Tor Browser, Orbot et Ricochet-Refresh
- Les utilisateurs peuvent sélectionner Snowflake dans les paramètres de l’application pour faire transiter la connexion via des proxies bénévoles, sans avoir à installer eux-mêmes une extension de navigateur
- Snowflake s’appuie sur WebRTC pour faire ressembler le trafic Tor à des appels vidéo ou vocaux, ce qui rend sa détection plus difficile pour les censeurs
- Les bénévoles peuvent activer une extension pour Firefox, Chrome ou Edge afin de fournir de la bande passante, et la page indique que 127 599 Snowflakes sont actuellement en service
- L’extension n’est pas destinée aux utilisateurs qui cherchent à contourner la censure eux-mêmes, mais constitue un outil de fourniture de proxy pour ceux qui veulent aider d’autres personnes à accéder à Tor
Utiliser Snowflake dans les applications Tor
- Snowflake est une technologie de contournement de la censure qui permet d’accéder à Tor même sur des réseaux où Tor est bloqué
- Elle est intégrée aux applications basées sur Tor, et lorsqu’une connexion est bloquée, il est possible de choisir Snowflake dans les paramètres de l’application pour la contourner
- Tor Browser : compatible Desktop et Android, développé par le Tor Project
- Orbot : compatible Android et iOS, développé par le Guardian Project
- Ricochet-Refresh : compatible Desktop, développé par Blueprint for Free Speech
- Les utilisateurs qui souhaitent contourner la censure n’ont qu’à télécharger une application basée sur Tor comme Tor Browser ou Orbot, puis à activer Snowflake
- L’extension de navigateur n’est pas un outil d’accès de contournement direct, mais un proxy bénévole qui relaie la connexion d’autres utilisateurs
Proxies bénévoles et méthode de contournement
- Les bénévoles peuvent installer et activer une extension de navigateur pour fournir un proxy Snowflake
- Lorsque l’icône devient verte, cela signifie qu’un utilisateur bloqué est connecté à cette extension
- Installation pour Firefox
- Installation pour Chrome
- Installation pour Edge
- Snowflake permet d’accéder au réseau Tor en passant par des proxies bénévoles situés dans des pays sans censure
- Comme un VPN, il aide à contourner la censure d’Internet, mais sa particularité est de déguiser le trafic pour qu’il ressemble à des appels vidéo ou vocaux
- La technologie sous-jacente est WebRTC, couramment utilisée dans les logiciels de visioconférence, et elle fait ressembler les traces d’utilisation de Tor à des appels audio ou vidéo
- Snowflake est une technologie de contournement relativement récente de la famille des Pluggable Transports, et elle continue d’être améliorée
- Les Pluggable Transports déguisent le trafic des bridges Tor en connexions ordinaires afin de faire croire qu’il ne s’agit pas d’un accès à Tor
- Snowflake le fait ressembler à un appel vidéo, meek-azure à une connexion Microsoft, et WebTunnel à une connexion HTTPS standard
- Ce type de camouflage augmente le coût du blocage, car pour neutraliser ces outils de contournement, les censeurs devraient aussi bloquer une large partie d’Internet
- La structure technique peut être consultée dans la technical overview, et pour utiliser Snowflake dans une application, il est possible de contacter l’anti-censorship team
1 commentaires
Avis de Hacker News
Snowflake utilise le domain fronting pour le rendez-vous[1]. Dans le monde numérique, c’est comme si un espion organisait une réunion secrète chez un ami qui n’est au courant de rien, et cela finit toujours mal pour cet ami
Cette technique est beaucoup utilisée par des acteurs malveillants, et certains fournisseurs cloud la bloquent même par défaut[2]. Quand Signal a tenté de la déployer largement, AWS a envoyé un avertissement ferme, craignant que des pays comme l’Iran ou la Chine ne bloquent tout AWS[3]
Le domain fronting n’est pas un passe-partout. Signal et Tor ont eu des problèmes quand des fournisseurs cloud ont bloqué le domain fronting — plus précisément quand ils ont cessé de prendre en charge une fonctionnalité qui n’était pas censée fonctionner ainsi à l’origine — mais il est difficile d’y voir une intention de nuire. « Faire en sorte que le load balancer présente un certificat correspondant au domaine configuré » n’est pas en soi une fonctionnalité problématique
Le domain fronting est assez simple pour ne nécessiter qu’un appel openssl et un serveur nginx, et il est tout aussi facile à casser : il suffit de vérifier réellement le certificat. Ces certificats sont soit autosignés, soit issus d’une chaîne d’autorité de certification arbitraire à laquelle aucun système réel ne ferait confiance
Plutôt qu’un « espion qui organise une réunion secrète chez un ami qui n’est au courant de rien », cela ressemble davantage à installer devant un entrepôt quelconque au Brésil un panneau disant « Maison-Blanche, résidence du président des États-Unis, entrée interdite »
Les logiciels qui se laissent tromper par le domain fronting ne se soucient pas des certificats et de leur validité, ou bien ont un bug qui devrait être corrigé. Certains d’entre eux peuvent être des logiciels de sécurité, mais si un acteur malveillant peut amener un logiciel de sécurité à lui faire confiance avec seulement quelques chaînes lisibles, le domain fronting fait partie des moindres sujets d’inquiétude
Encrypted Client Hello est un travail en cours visant à chiffrer jusqu’au tout premier contact du client avec un serveur HTTPS
https://datatracker.ietf.org/doc/draft-ietf-tls-esni/
Si ECH est acceptable alors que le domain fronting ne l’est pas, c’est parce qu’avec le domain fronting le problème est que la requête réelle n’est connue que trop tard. Cela ressemble à une requête normale vers this-thing.example, on se prépare à la traiter, puis soudain : « désolé, j’ai changé d’avis, en fait ma requête concerne hidden-service.example »
Avec ECH, l’attaquant qui espionne la connexion ne le sait pas, mais nous savons dès le départ que la requête vise hidden-service.example, donc nous ne perdons pas de temps à préparer le mauvais travail
Il doit bien y avoir une limite à la tyrannie qu’ils peuvent déployer, non ? À la fin, les dommages collatéraux peuvent devenir si importants qu’ils renoncent à tenter de censurer. Ou alors la société deviendra oppressive à un niveau que les gens ne pourront pas accepter
Il s’agit d’un relais de garde ordinaire, c’est-à-dire le premier saut d’un circuit Tor, qui permet aux utilisateurs de Tor d’accéder à Tor lorsque ce premier relais est bloqué, et qui utilise le domain fronting et WebRTC
D’après la traduction allemande fournie par défaut, la formulation était assez confuse. Comme la cible doit elle aussi prendre en charge WebRTC, un proxy dans le navigateur ne permet pas d’accéder à n’importe quel site HTTP(S) arbitraire ; il faut toujours un autre serveur qui accepte une connexion WebRTC et relaie le trafic. Le point essentiel, que l’article ne dit pas, est de permettre de se connecter indirectement à cet autre serveur
Il va même jusqu’à dire qu’aucun logiciel n’est nécessaire pour consulter des sites web censurés
Cela semble vouloir expliquer le fonctionnement aux utilisateurs qui se demandent s’il faut installer Snowflake comme une application de proxy ou de VPN
La citation directe est assez claire : « Contrairement aux VPN, vous n’avez pas besoin d’installer une application séparée pour vous connecter à un proxy Snowflake et contourner la censure. C’est généralement une fonction de contournement intégrée à des applications existantes. »
Si Tor est illégal dans son pays, le simple fait d’essayer de l’utiliser semble déjà assez risqué. Comme n’importe qui peut faire tourner un proxy Snowflake, il est très facile d’enregistrer les adresses IP qui s’y connectent. À chaque connexion, cela devient donc un pari où la probabilité de rester en sécurité diminue.
En parcourant le Technical Overview[0], je ne vois rien qui réduise le risque évoqué plus haut.
L’objectif de Snowflake semble être non pas d’empêcher la détection de l’usage de Tor, mais de contourner le blocage de Tor. Pour cela, il utilise le domain fronting et WebRTC.
[0] https://gitlab.torproject.org/tpo/anti-censorship/pluggable-...
Cela dit, le Tor Project souligne constamment que les transports enfichables visent tous le contournement de la censure, pas la stéganographie. Ils sont difficiles à bloquer, mais n’empêchent pas un opérateur réseau de découvrir qu’un utilisateur se connecte à Tor. Au final, c’est à l’utilisateur de juger s’il peut accepter ce risque.
Je ne suis même pas sûr d’avoir bien compris la phrase « Activez Snowflake ci-dessous et laissez l’onglet du navigateur ouvert, les utilisateurs pourront se connecter via de nouveaux proxys ! ».
Si j’intègre une iframe sur mon site web, le trafic des utilisateurs de Tor est-il tunnelisé via l’IP des visiteurs ? Comment le consentement est-il géré sur relay.love ? L’IP des visiteurs de mon site apparaît-elle comme un nœud de sortie Tor ?
L’exemple en question demande le consentement de l’utilisateur avant de démarrer.
Cela dit, ce mécanisme ne permet pas de créer des sockets distants arbitraires via JavaScript. Il ne peut communiquer qu’avec des serveurs utilisant une certaine version de WebRTC/WebSockets, ou avec des services en clair qui ignorent comme du bruit l’overhead protocolaire supplémentaire et analysent le reste. Certains serveurs IRC et WebSockets en sont de bons exemples.
Comme on le voit dans la vue d’ensemble technique, les gens se connectent au navigateur de l’utilisateur via une technologie P2P, et le navigateur communique en WebSockets avec un serveur WebSocket qui sert de point d’entrée Tor classique.
Cela me rappelle l’ancien « stocker des fichiers sur YouTube »[0], et je me demande quelle quantité de bande passante on pourrait obtenir en appliquant le même concept à une solution de conférence audio très répandue comme Zoom.
Ce serait encore mieux si les données pouvaient être transmises de manière plus naturelle, par exemple via de la stéganographie vidéo pendant un appel réel.
[0] https://github.com/DvorakDwarf/Infinite-Storage-Glitch
Le gouvernement britannique dit qu’il ne s’agit que d’une fonction de régulation, mais l’OSB se lit comme s’il pouvait s’étendre au-delà des frontières au seul motif qu’il pourrait être utilisé au Royaume-Uni.
Je ne sais pas à quel point c’est nouveau, mais le fait que des utilisateurs puissent héberger un nœud simplement en activant une iframe ou en installant une extension de navigateur est vraiment génial. Je me demande aussi si cette approche a des limites de bande passante bien plus basses que la version CLI.
Il existe aussi une version Go autonome pouvant être déployée sur un serveur[0].
Il est dit que « l’un des principaux avantages d’un proxy Snowflake autonome est qu’il peut être installé sur un serveur et offrir une option à plus haut débit et plus fiable aux utilisateurs derrière des NAT et pare-feu restrictifs ».
[0] https://community.torproject.org/relay/setup/snowflake/stand...
Je l’ai installé, et c’est agréable de voir les chiffres monter. Chiffres qui augmentent = dopamine.
J’ai eu de la chance de naître en Scandinavie, et aujourd’hui la censure d’Internet y est pratiquement nulle.
Même chose pour quelqu’un qui gagne de l’argent en cryptomonnaies et veut l’utiliser comme garantie pour un prêt immobilier, pour quelqu’un qui veut transférer des gains issus de casinos en ligne légaux à l’étranger, ou pour quelqu’un qui souhaite accéder à un site web que les autorités norvégiennes n’aiment pas et ont bloqué au niveau DNS. Les techniciens peuvent facilement contourner ces mesures, mais le gouvernement et les responsables politiques ont déjà commencé à abuser de leurs pouvoirs et à restreindre les libertés individuelles, et cela prend de l’ampleur.
Quand cela commencera à toucher « la plupart des gens », il sera généralement beaucoup plus difficile de revenir en arrière. Le gouvernement norvégien a déjà adopté une loi autorisant la surveillance électronique de masse, et cherche aussi à limiter l’accès du public aux documents gouvernementaux. Comme dans la majeure partie de l’UE, c’est une pente très glissante vers une « social-démocratie » de gauche, c’est-à-dire une dictature bureaucratique. Les gens doivent ouvrir les yeux et s’opposer dès maintenant à l’ingérence excessive de l’État.
Bloquer toutes les IP Tor qu’on peut trouver. Parce qu’on n’a ni le temps ni la patience de gérer 99 % du spam Burp Suite provenant de ces serveurs. C’est une solution très bon marché et efficace.
https://check.torproject.org/torbulkexitlist