Le Great Firewall (GFW) of China bloque l'accès à environ 311 000 noms de domaines, dont 41 000 par accident, faute d'avoir correctement utilisé une expression régulière (regex) de filtrage DNS, explique The Record.
Une équipe d'universitaires de quatre universités américaines et canadiennes a testé pendant 9 mois 534 millions de domaines distincts, accédant quotidiennement à environ 411 millions de domaines afin de documenter les capacités de censure Internet du grand pare-feu chinois, puis de vérifier si les blocages étaient persistants.
En utilisant des services de catégorisation de domaines comme FortiGuard, les chercheurs ont découvert qu'environ 40 % des sites bloqués étaient des domaines nouvellement enregistrés et que les autorités chinoises ont décidé de bloquer par défaut jusqu'à ce qu'elles puissent catégoriser et mettre leur contenu sur liste blanche.
Sur un échantillon de 138 700 domaines, les universitaires ont déclaré que seulement 1,3% (~1 800) sites figuraient parmi les 100 000 sites les plus populaires sur Internet (selon le classement Tranco). Les 41 000 domaines bloqués accidentellement le seraient parce que les autorités chinoises ont tenté de bloquer un domaine plus court en utilisant une expression régulière de filtrage DNS large (regex) ne tenant pas compte des situations où ce domaine plus court faisait également partie d'un domaine plus long.
En bloquant l'accès à reddit.com, elles ont ainsi également accidentellement bloqué booksreddit.com, geareddit.com et 1 087 autres sites.
Commentaires (24)
#1
#2
#3
Donc la Chine fait du DNS menteur … Ok, je pensais qu’ils avaient recours à des trucs plus sophistiqués.
#3.1
C’est plus fourbe que ça : le GFW modifie à la volée les requêtes DNS contenant un nom de domaine censurée et tu reçoit une réponse bidon.
C’est particulièrement visible en demandant par ex. l’adresse de twitter.com à la racine du DNS. La réponse normale de la racine est : « Va voir les serveurs de .com ». Depuis la Chine tu reçois une IP au pif (parfois tu demande twitter.com, tu reçois l’IP de Facebook en retour…)
Faire tourner son propre résolveur sur sa machine ne change rien
Le seul moyen actuellement d’éviter cette censure, c’est d’utiliser DNS sur TLS ou sur HTTPS vers un résolveur de confiance.
Mais de toutes façons ça ne sert à rien : contrairement aux autres pays pratiquant la censure d’Internet, la Chine ne se limite pas à une seule technique de blocage et on a beau avoir la bonne IP de Wikipédia, ça restera inaccessible (sauf à trouver du VPN qui marche — oublier Tor, bloqué normalement)
#4
Ah, je sais ! Je sais !
“C’est la faute au stagiaire”
#4.1
La notion de stagiaire n’existe pas.
Tu es dévoué corps et âme au bien être du parti et de la patrie.
#5
Tient marrant que certains découvrent juste maintenant que le grand firewall dont on nous rabat les oreilles depuis 20 ans comme quoi c’est horrible, c’est juste du blocage dns
#5.1
C’est aussi une bonne nouvelle ! ça veut dire que même si cette chose venait à arriver chez nous, ils sera toujours possible aux plus geeks d’entre nous, de contourner et d’avoir accès à notre web tranquille.
#5.2
Je rappelle juste que ça fait 20 ans que tous les pays du monde utilisent le blocage dns même en france et pas besoin d’être +geeks+ pour savoir changer ses dns.
#5.3
Mea culpa, je ne l’avais pas compris en ce sens.
Je suis pas de cet avis, mais soit.
#5.4
Heu, le problème c’est pas comment contourner la technique mais bien les conséquences potentielles si tu contournes. C’est plus là que se trouve le vrai blocage : si tu sais que te faire chopper veut dire grosse amende et/ou baisse de ton score social (le truc qui fait que t’as le droit ou non de te déplacer en gros), bah tu vas guère prendre le risque. Tu joues pas au chat et à la souris quand le chat est omnipotent et dicte les règles.
#6
Pourquoi ces universitaires pensent que c’est accidentel ?
Ca me parait au contraire tout a fait volontaire afin de bloquer tous les clones/proxy qui utilisent des variantes du nom de domaine original.
#7
https://fr.wikipedia.org/wiki/Grand_Firewall_de_Chine
Le filtrage DNS n’est semble-t-il qu’une partie du Great Firewall.
Il y a en plus des blocages au niveau URL, Paquet, connexion, IP.
#7.1
Ca date de 2002, tu sais depuis on a les connexions sécurisé https, les changement dns, les vpn etc….
#7.2
Si le filtrage se fait au niveau du FAI, ça changera pas grand grand chose. Le trafic DNS tiers peut être bloqué, tout comme les VPN peuvent être bloqués. Le dispositif bloque aussi des ranges d’IP complets.
Quand au trafic https, il est déchiffrable via un proxy transparent si tant est qu’un certificat root ait été mis sur le poste client. Dans ce genre de pays, c’est pas impossible, et il me semble que c’est pratiqué en Chine.
Tout ceci reste évidemment contournable, mais n’oublions pas que le Great Firewall est aussi un ensemble législatif qui expose les contrevenants à des sanctions. Et les sanctions, c’est pas une petite tape sur la joue avec des gros yeux.
#8
A-t-on des statistiques disponibles pour la France ?
Je serais curieux de voir combien de domaines ont été censurés (dans les DNS de nos chers FAI) par les ayant-droits et autres.
#9
“Hahaha, tu es malin, j’aime bien ! Allez, goulag.”
#10
13 % des 311 000 sites
311 000 noms de domaines, dont 41 000 par accident
138 700 domaines, les universitaires ont déclaré que seulement 1,3%
40 % des sites bloqués
trop de chiffres, ou bien il y a une erreur qui se cache ici?
#11
#12
Sauf qu’on pourrait imaginer que si le VPN ne présente pas le bon certificat HTTPS (en reprenant la suggestion de @SebGF), il se fera refoulé par le GFW ? (En plus d’envoyer une alerte pour voir la cavalerie arrivé).
Finalement, on peut complètement censurer Internet (en y mettant les moyens). HTTPS et son principe de tiers de confiance agissant comme un ennemi et non un ami.
#12.1
Pour les VPN, je n’ai pas fait de tests sur place. De ce que je comprends, c’est essentiellement un blocage des IPs des fournisseurs de VPN (les expats que je connais sur place galèrent fréquemment à en trouver de nouveaux). Un blocage par port, le 1194 notamment (réservé à OpenVPN) n’est pas exclure, mais sans mesures dur à dire
(Et TOR, c’est trivial les adresses des nœuds sont publiques. Pas testés les mécanismes de contournement de la censure ceci)
#13
Pour moi, ça me parait important de savoir contourner ce genre de choses. C’est, selon moi, une forme d’hygiène numérique et d’auto-défense.
+1
#13.1
sauf que là ils auront les moyens et les donneront pour savoir qui les contournes … donc si t’essaie tu te fais dans 1 semaine tu as les flics à ta porte ( pour les chinois , je pense pas qu’ils fassent encore ça aux touriste occidentaux )
#14