Le gouvernement de mon pays a bloqué les connexions VPN. Que devrais-je utiliser ?

Peut-on vraiment qualifier de pays libre un pays qui va jusqu’à bloquer même les VPN…

Chine, Indonésie, Royaume-Uni, Australie, ... c’est un problème plus répandu qu’on ne le pense.

Avis Hacker News

• J’ai travaillé au début des années 2020 sur des solutions de contournement de la censure chez un grand fournisseur de VPN

  • La première étape consiste à récupérer le vrai logiciel VPN et ses fichiers de configuration. Les fournisseurs qui prennent la censure au sérieux distribuent leurs programmes via des canaux difficiles à bloquer, comme S3, avec des paquets obfusqués, et collaborent parfois avec des organisations locales pour une diffusion sûre
  • Une fois le logiciel récupéré, je recommande d’ajouter une couche d’obfuscation
  • Un outil très utilisé est Obfs4proxy, qui emploie une clé prépartagée pour faire passer le trafic pour quelque chose d’anodin et masque aussi la poignée de main du VPN. Ce n’est pas parfaitement sûr, mais cela traverse la plupart des DPI (inspection approfondie des paquets)
  • Shapeshifter (créé par l’Operator Foundation) et d’autres transports enfichables valent aussi la peine d’être essayés. Mais il faut que le fournisseur prenne en charge ce protocole
  • À long terme, le plus difficile est d’éviter que l’usage même d’un VPN soit repéré. Une analyse statistique sur la durée peut détecter une connexion VPN même avec obfuscation, et c’est relativement peu coûteux à mettre en place pour un État qui veut surveiller cela. Je ne connais pas assez bien la situation en Indonésie pour donner des conseils précis
  • Je considère Mullvad comme un fournisseur VPN fiable et techniquement solide. (Je n’ai jamais travaillé chez Mullvad, c’était en fait un concurrent. J’ai toujours respecté leur approche)

  • Je me dis qu’il serait bien qu’un grand opérateur de radio ondes courtes diffuse carrément les paquets VPN dans le monde entier via de la radiodiffusion de données, comme un service public

  • Tu dis qu’Obfs4proxy fait passer le trafic pour quelque chose d’inoffensif, mais en pratique le DPI peut le voir comme un flux d’octets aléatoires, le classer comme protocole inconnu et le bloquer. Il vaut mieux tromper le DPI pour qu’il croie voir du HTTPS. Bien sûr, si HTTPS est lui aussi bloqué, ça ne sert plus à rien

  • Je serais curieux d’avoir ton avis sur les systèmes qui transmettent selon un schéma de bande passante constant pour empêcher l’analyse de trafic, comme DAITA de Mullvad

  • Des astuces comme le TLS fragmenté (fragmented TLS) ou l’inversion de l’ordre des paquets peuvent aussi être efficaces, et même un simple transport HTTPS de base constitue un bon point de départ dans la plupart des endroits. URnetwork, un système distribué open source, fournit toutes ces fonctions. On peut aussi le récupérer sur les grands stores ou sur F-Droid

  • Installer Obfs4proxy et Shapeshifter est vraiment pénible et prend beaucoup de temps

    • Prendre soi-même un VPS (en Europe/aux États-Unis, autour de 10 $/an pour 2 Go de RAM, 40 Go de disque et plusieurs To de trafic mensuel), avec une préférence pour une région européenne
    • Y installer wireguard + un outil d’obfuscation, ou tailscale + son propre serveur DERP
    • Plus simple encore : utiliser un port ssh -D comme serveur SOCKS. Ce n’est presque jamais bloqué, mais la nature du trafic le rend facile à repérer

• J’ai vécu un temps en Chine et traversé plusieurs vagues de blocage de VPN. Aujourd’hui, la plupart des sociétés de VPN ont renoncé à prendre en charge les pays qui bloquent. Les VPN commerciaux finissent toujours par être bloqués un jour ou l’autre

  • Ce que j’utilisais, c’était un serveur SOCKS5 sur une instance EC2 gratuite dans une région étrangère, puis je m’y connectais depuis mes appareils. Une VM Cloudflare semblerait aussi bien adaptée à cet usage
  • Comme seul mon trafic personnel y passait, mon profil restait discret, et parmi les innombrables serveurs de cette région, l’État ne pouvait pas facilement faire la différence
  • Astuce de survie dans un Internet non libre : GitHub n’est pas bloqué (du moins en Chine), donc les ingénieurs sur place y mettaient en ligne des ressources et des téléchargements utiles
  • Si une IP statique t’inquiète pour l’identité, une VM reste un ordinateur : tu peux donc y ajouter une connexion VPN supplémentaire pour renforcer l’anonymat

  • J’ai entendu dire que cette méthode ne marchait pas en Chine, car les blocs d’IP publiques des VPS sont bien connus. On m’a dit que ce n’était pas une solution vraiment utile face au pare-feu chinois

  • Utiliser une instance VM comme tunnel VPN est une bonne idée, mais la vraie bande passante Internet entre l’intérieur et l’extérieur de la Chine est tellement limitée qu’il y a vite une limite de capacité. Une meilleure configuration consiste à placer une VM de chaque côté du pare-feu et à utiliser le peering entre les VM internes et externes chez le même hébergeur (Alibaba Cloud, par exemple). La VM interne peut être montée simplement avec des outils comme socat ou netfilter

    • Il vaut mieux utiliser aussi des outils d’obfuscation
    • En cas de blocage, il suffit de changer l’IP du VPN externe et de mettre à jour la configuration. L’IP de la VM interne a rarement besoin de changer

  • Moi aussi, quand je travaillais en Chine (je n’y vivais pas en permanence, mais j’y allais souvent), j’avais simplement ouvert OpenVPN sur mon propre serveur aux ports 443 ou 22, et cela me permettait généralement de me connecter sans problème

  • Il y a deux ans encore, GitHub a aussi été brièvement bloqué en Indonésie, et l’un des principaux FAI y a même temporairement bloqué SSH

• En tant que résident indonésien, je ne me souviens pas avoir vu récemment des nouvelles indiquant que X (Twitter) ou Discord auraient été bloqués. En 2024, il a bien été dit que X pourrait être bloqué à cause de contenus pour adultes

  • Tu peux vérifier en temps réel si un site est bloqué directement sur ce site
  • Tu dis que les connexions VPN ne fonctionnent pas, mais si certains fournisseurs les ont bloquées autrefois, cela n’est pas arrivé ces cinq dernières années
  • Donc changer de fournisseur d’accès Internet peut aussi être une piste

• Je ne pense pas qu’ici (Hacker News) soit l’endroit idéal pour poser des questions sur le contournement de la censure

  • On a tendance à ne recommander que Tor, Tailscale, des VPN Wireguard auto-hébergés, Mullvad, etc., ce qui donne l’impression d’un manque d’expérience concrète
  • Il suffit de chercher des VPN pensés pour la Chine, la Russie ou l’Iran. Ils protègent peut-être moins bien la vie privée que Mullvad, mais au moins ils fonctionnent

  • Si j’étais les services de renseignement chinois, russes ou iraniens, je lancerais moi-même de faux fournisseurs VPN « spécialisés pays à risque » pour en faire des honeypots destinés à collecter les informations des dissidents

  • À mon avis, pour quelqu’un de techniquement à l’aise, la méthode la plus sûre consiste à lancer une petite instance serveur sur un cloud étranger et à accéder à l’information via du forwarding et un proxy SSH

    • Par exemple, voir ce guide de configuration de Squid Proxy
    • Tant que le gouvernement ne bloque pas le trafic SSH, cette méthode offre à la fois une forte confidentialité et le contournement du blocage

  • Je ne suis pas d’accord avec l’idée que recommander des méthodes ou fournisseurs connus prouverait une absence d’expérience du contournement de la censure

    • Les fournisseurs anonymes et les méthodes temporaires peuvent au final être exposés à des attaques de type watering hole

  • Si tu ne fais pas confiance à la couche extérieure, tu peux aussi ajouter un autre VPN par-dessus

  • Les VPN qui font de la publicité ont un objectif commercial, donc il y a de fortes chances que des services d’espionnage étatiques soient impliqués d’une manière ou d’une autre

    • Au moins, en apparence, ils fonctionnent (on peut accéder aux sites bloqués).
    • Selon le service qui les exploite, ils peuvent offrir une vraie confidentialité, ou au contraire permettre de pister certains utilisateurs et d’enregistrer leur trafic
    • Je pense qu’un logiciel gratuit au sens libre (open source), hors du contrôle d’une entreprise, est une meilleure option

• Je pense que l’Australie et le Royaume-Uni pourraient bientôt suivre cette voie eux aussi

  • Ce qui est amer, c’est que même si nous (utilisateurs de HN) trouvons des parades, les citoyens ordinaires manquent de budget ou de compétences techniques, ce qui permet aux gouvernements et aux grands médias de bloquer efficacement le journalisme citoyen

  • Il y a encore six mois, j’aurais sans doute ri en lisant ça, mais maintenant cela me paraît bien réel et inquiétant (Royaume-Uni)

  • En Australie, j’ai déjà averti que cela arriverait pour des raisons politiques

    • La politique, contrairement aux débats techniques, se soucie peu de la technique
    • Tout le monde doit comprendre qu’on avance progressivement dans cette direction
    • Fin 2017, le Premier ministre Malcolm Turnbull disait : « Ce ne sont pas les lois des mathématiques qui comptent, seulement les lois australiennes »

  • Je pense qu’il ne faut pas sous-estimer les capacités d’une société

    • En grandissant dans une zone pauvre du Royaume-Uni, il y avait toujours « le gars qui connaît un type » pour te trouver des ordinateurs ou téléviseurs achetés au noir, bricoler un branchement électrique pirate, te fournir des CD copiés ou des vidéos
    • Au final, on verra bien apparaître « un gars sur deux maisons » qui installe un proxy sur un Raspberry Pi ou autre matériel bon marché
    • Honnêtement, si je perdais mon emploi dans l’IT, je me verrais bien faire ce rôle

  • Je pense que certains États conservateurs des États-Unis essaieront bientôt aussi. Les lois de vérification d’identité pour les sites porno ne marchent pas, donc l’étape suivante viendra probablement

  • 90 % du « journalisme citoyen » n’est pas vraiment du journalisme, un peu comme la science citoyenne qui prétend faire de la recherche sur les vaccins

• Tor : convivial, facile à installer, fort en anonymat et gratuit. Mais il est souvent visé par la censure, lent, et les nœuds de sortie sont mal vus par presque tous les sites

  • Tailscale + sortie Mullvad : très simple, il suffit quasiment d’installer et de configurer, plus rapide que Tor, avec beaucoup d’usages possibles. Inconvénients : le DPI peut identifier le trafic Mullvad, et cela coûte de l’argent
  • Son propre VPS avec Wireguard ou Tailscale : contrôle quasi total, choix de la vitesse, possibilité de partager avec des proches. Inconvénients : demande un peu de savoir-faire opérationnel, et il faut compter plus de 20 à 30 dollars par mois d’hébergement

  • Tailscale n’est utile que si l’OP (l’auteur de la question) ne peut pas se connecter à Mullvad.net pour s’inscrire

    • Si le gouvernement indonésien bloque les nœuds Mullvad, aucune astuce ne servira à rien
    • Avec un VPS, les tentatives d’accès sont trop faciles à identifier de l’extérieur (sur les sites web) à cause de l’IP fixe
    • Ma recommandation est d’installer Mullvad ou Tor sur un VPS à l’étranger, puis d’acheminer le trafic vers ce VPS. Pour le faire facilement depuis plusieurs appareils à la fois, le plus simple est d’utiliser le VPS comme nœud de sortie Tailscale

  • On trouve des VPS compatibles Wireguard à 20–30 dollars par an, donc 20–30 dollars par mois ressemble à une erreur. On peut trouver des VPS bon marché sur vpspricetracker.com

  • NordVPN ou ProtonVPN sont à peu près dans la même catégorie que Mullvad. Si c’est gratuit, c’est toi le produit ; et même si c’est payant, le trafic finit malgré tout sur des serveurs VPN publiquement connus, ce qui peut déjà être risqué dans certains pays rien qu’au niveau des métadonnées

    • Il faut les utiliser avec une grande prudence

  • Une IP de VPS n’est pas une IP résidentielle, donc certains sites ou services bloquent les connexions venant d’un VPS ou demandent des vérifications supplémentaires

    • Ce n’est pas une meilleure solution, mais c’est bon à savoir

  • Tor dispose aussi de techniques anticensure comme Snowflake. Si le niveau de blocage est très élevé, Tor peut être l’option la plus efficace

• Je travaille souvent en Chine, et jusqu’ici mon VPN WireGuard (installé chez moi) n’a jamais été bloqué

  • Le domaine du serveur VPN héberge aussi un service HTTPS, ce qui peut aider
  • Avant, j’utilisais shadowsocks (proxy open source) avec obfs (obfuscation) sur un droplet DO, mais aujourd’hui la tendance est plutôt à v2ray + vmess/vless + reality
  • Ce n’est pas un VPN mais un proxy, donc il est plus facile à masquer dans son essence et l’effet de contournement est meilleur
  • Si c’est hébergé sur un VPS public, bloquer AWS ou DO a un coût, donc cela offre une certaine discrétion, mais à l’inverse cela peut aussi ressortir comme un endpoint VPN évident au vu des schémas de trafic
  • Il reste quelques informations à jour sur le subreddit reddit r/dumbclub
  • Il faut garder à l’esprit que ce type de configuration est difficile à mettre en place. Moi aussi, je trouve presque miraculeux que WireGuard continue de fonctionner
  • Il existe aussi une option spéciale : les SIM en roaming. Comme le roaming tunnelise à l’origine le trafic vers l’opérateur du pays d’origine, cela n’est pas bloqué même en Chine. C’est utile en cas d’urgence pour accéder à ses serveurs ou monter un proxy

• Je voyage en Ouzbékistan et j’ai été surpris de voir que le protocole wireguard lui-même y était bloqué

  • D’habitude, se connecter à mon serveur via wireguard ne pose aucun problème, mais c’est la première fois que je vois le protocole entier être bloqué
  • Il est important de vérifier à l’avance ce qui est bloqué et comment, afin de choisir son fournisseur VPN en conséquence

  • Là où wireguard est bloqué, j’ai déjà réussi à le faire passer au-dessus de wstunnel

  • En soi, wireguard a des schémas réseau qui se remarquent, et il n’a pas été conçu dans une logique d’obfuscation

    • Certains outils déguisent le trafic en 443/TCP

  • C’est étonnant qu’un gouvernement bloque simplement un protocole dont le seul but est de créer un tunnel sûr entre deux ordinateurs

  • Je pense que le blocage du protocole wireguard pourrait aussi devenir une réalité au Royaume-Uni dans un avenir proche

    • Le rôle des hackers deviendra alors beaucoup plus important

• XRay/XTLS-Reality/VLESS fonctionne aussi très bien. On dit même que c’est difficile à détecter, y compris en Chine

  • Il suffit de suivre ce tutoriel, et on peut aussi voir ici des exemples de configuration supplémentaires

  • Grâce au pare-feu chinois, les technologies de contournement de la censure ont beaucoup progressé. Ravi de voir quelqu’un mentionner XRay !

    • Voir aussi le site officiel de V2Ray ou Accéder à Internet en Chine avec V2Ray et caddy
    • Les proxys basés sur V2Ray peuvent servir d’alternative aux VPN

  • Il y a aussi un projet appelé sing-box qui vaut le détour (lien du projet).

    • Dans mon usage, je route différemment selon les applis et services : par exemple, l’appli bancaire passe par un modem 5G, la banque américaine par un proxy résidentiel US, et tout le reste par le VPN (sans root Android nécessaire)
    • Ce genre de fonctions avancées est apparu grâce au pare-feu chinois

  • Je me demande si le fait que tout le trafic converge vers un seul site web ne risque pas justement d’éveiller les soupçons

• Mastodon est difficile à bloquer complètement pour un régime, et la plupart des instances n’interdisent pas l’usage de Tor

  • En pratique, quand X a été bloqué au Brésil, Mastodon a connu un afflux massif d’utilisateurs
  • Plus d’informations sur joinmastodon.org

  • N’est-il pas facile de bloquer individuellement des serveurs particuliers (mastodon.social, etc.) ?

  • Le blocage au niveau du protocole est lui aussi plus facile qu’on ne le pense. Les pays qui bloquent les VPN ont tendance à passer très vite du simple blocage par IP au blocage au niveau du protocole