Le Grand Firewall censuré de Chine est réputé dans le monde entier pour les restrictions qu’il impose aux citoyens chinois. Les internautes en Chine cherchent par tous les moyens des outils et des méthodes pour se soustraire à la censure et à l'espionnage imposés par le gouvernement. Ils utilisent en grande partie des VPN. Cependant, il devient de plus en plus difficile d’éviter le Grand Pare-feu. Les VPN qui permettaient jadis un accès sans entrave à un plus grand réseau Internet sont rapidement dépassés par le gouvernement chinois qui, à la fin du mois de mars dernier, a lancé une nouvelle mise à jour du pare-feu et des centaines de serveurs VPN se retrouvent désormais sur la liste noire. Ce que la Chine a construit est un pare-feu dynamique à l’échelle nationale, un outil puissant permettant de suivre chaque session créée par chaque périphérique dans l’ensemble du pays.
Y a-t-il encore des VPN qui échappent au Grand Firewall de Chine ? Pour répondre à cette question, Aaron Phillips, chercheur de Comparitech, un site et une communauté de chercheurs, a décidé de tester 59 fournisseurs de VPN. Pour se faire, Comparitech a loué un serveur à Shenzhen et lui a chargé de tester 59 fournisseurs de VPN afin de déterminer ceux qui pouvaient contourner la censure gouvernementale après la dernière mise à jour du pare-feu. Pour compléter les tests techniques, il a fait appel à leur spécialiste de la confidentialité sur Internet en Chine et à l'éditeur de Comparitech.com, Paul Bischoff.
Résultat des tests de fournisseurs VPN
Paul, qui a vécu en Chine en tant que journaliste pendant plusieurs années, a résumé la situation en Chine de la manière suivante : « en tant qu'État de surveillance le plus avancé au monde, le gouvernement chinois n'aime pas l'anonymat en ligne ni la vie privée. Toute partie d'Internet échappant au contrôle des autorités chinoises et permettant la communication privée ou la diffusion d'informations par les utilisateurs est bloquée par le Grand Pare-feu. De même, tout contenu en ligne populaire qui dénigre la Chine ou le Parti communiste est rapidement censuré. Les services VPN, qui peuvent contourner ces restrictions, sont également en grande partie bloqués, mais quelques-uns ont les ressources et les connaissances nécessaires pour donner aux utilisateurs un accès fiable à Internet libre et ouvert ».
Résultat des tests de fournisseurs VPN
Pour faire le test, le chercheur Aaron Phillips a développé une suite de tests automatisés avec UiPath, une plateforme d'automatisation de processus robotique, et a ajouté les fournisseurs de VPN. Il les a testés aux États-Unis avant de les copier sur le serveur de Shenzhen pour voir comment ils se comportaient en Chine. « Chaque fournisseur se connecte, ouvre une invite de commande et le test enregistre les résultats des requêtes ping sur Facebook, Twitter, Twitch, Reddit, Instagram et Wikipedia. Il enregistre deux recherches DNS, retournant, espérons-le, les serveurs américains pour YouTube et Netflix. UiPath prend une dernière capture d'écran, puis se déconnecte avant de passer au fournisseur suivant », explique Aaron.
Résultat des tests de fournisseurs VPN
Après des tests, Aaron explique que la plupart des fournisseurs de VPN ne peuvent pas battre le Grand Firewall de Chine ; leurs serveurs existants ont été détruits et leurs connexions ne sont pas suffisamment sécurisées pour éviter la détection par l'État chinois de nouveaux serveurs. Les connexions OpenVPN standard, et même les serveurs L2TP dédiés sur serveurs IPSec, sont en cours de détection et d’arrêt. Les fournisseurs de VPN qui s'en tiraient le mieux utilisaient tous un chiffrement supplémentaire par rapport à ce qu'OpenVPN offre traditionnellement. Plusieurs fournisseurs ont utilisé l'extension d'embrouillage OpenVPN qui obscurcit les en-têtes de paquets afin d'éviter la détection par l'auto-défense des systèmes informatisés.
Résultat des tests de fournisseurs VPN
« Lorsque vous déployez un VPN en Chine, cette couche de sécurité supplémentaire n'est pas vraiment facultative. C'est la clé d'une connexion fiable qui battra les écoutes téléphoniques du Parti », selon Aaron. Il précise que « le gouvernement chinois a des serveurs OpenVPN en ligne de mire depuis des années. Le protocole L2TP sur IPSec au lieu d’OpenVPN avait plutôt bien fonctionné. Ce n'est plus le cas. J'ai constaté que le grand pare-feu a intercepté deux de mes connexions L2TP via IPSec et les a fermées avec des inondations TCP RST ».
Aaron précise que la mise à jour du 31 mars prouve que le protocole L2TP sur IPSec n’est plus suffisamment sécurisé pour franchir le grand pare-feu. Sa force et sa faiblesse reposent toutes deux sur le chiffrement externe modulaire utilisé pour la sécurité. Certains modules fournissent un chiffrement plus faible que d'autres et semblent être fissurés. Selon la configuration de chaque fournisseur, le protocole L2TP sur IPSec peut constituer une solution à long terme pour l’accès VPN en Chine, mais varie beaucoup au cas par cas.
Aaron dit que ShadowSOCKS est une solution, mais à court terme : « ShadowSOCKS est un service de type VPN conçu en Chine pour contourner le contrôle d'Internet par l'État. Certains fournisseurs recommandent de l’utiliser au lieu d’un VPN, car le gouvernement n’a pas encore investi de ressources dans la détection et l’arrêt généralisés des serveurs ShadowSOCKS. Malheureusement, la politique chinoise en matière d'internet au cours de la dernière décennie m'amène à penser que ce n'est qu'une question de temps avant que ShadowSOCKS soit sur le viseur de l'État. Éviter la détection par le Grand Firewall est critique ; ShadowSOCKS a cependant un point positif. Il existe déjà des modules capables de brouiller son trafic, comme le font actuellement les fournisseurs de VPN les plus performants en Chine ».
Source : Comparitech
Et vous ?
Qu'en pensez-vous ?
Est-ce que la France ou l'Europe pourrait en faire autant, à savoir faire passer des lois de censure et de levée d’anonymat puis bloquer les VPN, et donc transformer le web en État policer ?
Voir aussi
« La Chine, un exemple flagrant de gouvernement qui censure et contrôle internet », selon Eric Schmidt
La Chine veut obliger les fournisseurs de services d'information basés sur la blockchain à identifier leurs utilisateurs et à soutenir la censure
Emmanuel Macron plaide pour une levée progressive de toute forme d'anonymat en ligne, vers la fin de la liberté d'expression en France ?
Censure : le gouvernement chinois intime aux opérateurs de télécom de bloquer l'accès aux VPN personnels d'ici à février 2018 au plus tard