• erin
    link
    fedilink
    Français
    arrow-up
    3
    ·
    17 hours ago

    un état peut casser les VPNs s’il le souhaite via un truc que l’on appelle DPI (Deep Packet Inspection). C’est ce qu’utilise la Chine en autre. J’avais trouvé un article il y a quelques années d’un hacker qui expliquait comment il avait réussi à passer au travers du Golden Wall chinois lors d’un voyage là-bas ainsi que ses tentative pour y parvenir. Même un VPN dans un VPN n’avais pas réussi et l’usage d’un mot interdit dans ce tunnel avait immédiatement provoqué une coupure du réseau.

    Au final sa solution pour tromper le DPI s’est révelée être extremement complexe et nécessite un accès complet au code du VPN côté client ET côté serveur. De l’artisanat bien trop complexe pour la majorité des français.

    • ivn@jlai.lu
      link
      fedilink
      Français
      arrow-up
      3
      ·
      16 hours ago

      J’imagine que tu veux dire “Great Firewall”, je n’ai jamais entendu l’expression “Golden Wall”. Mais sinon le DPI pour détecter les protocoles VPN et reset la connection c’est quelque chose qui serait très visible si c’était fait en France.

      Et tromper le DPI ce n’est pas si complexe, Tor a de bonnes solutions pour ça avec snowflake et obfs4. Certains VPN commerciaux y arrivent aussi, même si ce n’est pas toujours pérenne.

        • ivn@jlai.lu
          link
          fedilink
          Français
          arrow-up
          3
          ·
          13 hours ago

          Oui, bien sur, mais c’est une question différente et ça ne disqualifie par pour autant Tor. C’est la même pour un VPN. N’importe qui peut être un VPN, y compris la CIA. La DGSI a probablement les même capacités directement avec nos FAI nationaux.

          L’avantage avec Tor c’est qu’il y a trois nœuds sur la connection, c’est beaucoup plus difficile d’avoir toutes les informations (le qui et le quoi en même temps). Pour ce qui des exit node malicieux (CIA ou autre) la question c’est de savoir si TLS est cassé ou s’ils peuvent faire du MitM (Les réponses sont probablement : non et c’est plus ou moins compliqué en fonction de la configuration du site). Vous pouvez aussi faire quelque chose qui n’est pas recommandé si on recherche l’anonymat mais qui peut être utile dans ce cas précis, du VPN-over-Tor.

          Mais sinon le sujet était d’échapper au DPI, je cite juste deux solutions faites par Tor, ce qui compte c’est juste leur principe, faire passer du trafic à l’intérieur de paquet https. Les solutions des VPN commerciaux sont sans doutes similaires.

          Dans tous les cas on a beaucoup dérivé du sujet, je doute très fort que le projet décrit dans l’article soit fait en interceptant le trafic.