Pour censurer la presse, la liberté d’opinion et les services, des pays comme la Chine et l’Iran bloquent les adresses IP des serveurs qui ne leur conviennent pas.
Deux entreprises, Telegram et Signal, tentent de lutter contre cette répression, en déplaçant leurs serveurs, et en exploitant la technique du « domain fronting« .
Il s’agit de cacher le bout d’un service derrière un domaine autorisé par le censeur.
Une faiblesse du protocole de sécurité TLS est d’exposer le nom du serveur hôte, ce qui permet aux censeurs de bloquer facilement un service.
Il se trouve que des services d’informatique en nuage comme Amazon Web Services (AWS) et Google Cloud ont une couche séparée de terminaison de TLS, et de couche de traitement des requêtes, de telle manière qu’il était possible de créer ce qui ressemblait à une connexion TLS pour le domaine A, qui était en fait traitée par le domaine B.
Pour bloquer un service caché dans Google App Engine, un pays autocratique devrait donc bloquer toutes les requêtes vers google.com, ce que peu sont disposés à faire.
La Russie a toutefois opté pour la manière forte, dans sa lutte contre Telegram, une messagerie qui garantit la confidentialité des correspondances, en bloquant des millions d’adresses IP de Google Cloud et d’AWS.
Signal offre une application qui permet de téléphoner, d’envoyer des messages et des fichiers, en toute confidentialité. L’application est bannie notamment au Moyen Orient : Égypte, Oman, Qatar, Émirats Arabes Unis, Iran.
Malheureusement, ce sont les fournisseurs de services en nuage qui ont capitulé.
Google a récemment modifié son réseau pour que le domain fronting ne fonctionne plus, et a indiqué le 18 avril que la pratique n’a jamais été supportée.
Le 30 avril, AWS annonçait une nouvelle fonctionnalité, Enhanced Domain Protections for Amazon CloudFront Requests, qui rend le domain fronting impossible.