OpenVPN est désormais lui aussi bloqué en Egypte

A padlock icon on a circuit board background. Online security conceptDepuis cet été la censure s’est intensifiée en Egypte. Maintenant, c’est au tour d’ OpenVPN d’être bloqué ! Au total, d’après un récent décompte, plus de 400 sites seraient ainsi bloqués.

L’accès à une information libre est donc de plus en plus difficile à obtenir.

Jusqu’à présent, les égyptiens pouvaient encore passer par un VPN comme Hidemyass, VyprVpn ou NordVPN pour contourner ce blocage massif.

Mais conscientes de ce contournement, les autorités locales auraient donc prise d’autres mesures de « sécurité » supplémentaires. L’accès au site web des VPN aurait également été bloqué.

Une censure de plus en plus agressive en Egypte

La situation est vraiment de plus en plus préoccupante en Egypte. Les FAI ont ainsi commencé à utiliser des techniques encore plus poussées pour contrôler le trafic.

L’inspection approfondie des paquets(DPI) afin d’intercepter les connexions via un VPN sont désormais d’actualité. De nombreux protocoles de sécurité utilisés par les VPN sont également sous contrôle.

La tunellisation en point par point ou protocole PPTP ou encore le protocole LT2P ont ainsi été bloqués en août. Jusqu’à présent, OpenVPN fonctionnait bien. Les égyptiens pouvaient donc malgré tout toujours accéder à un internet libre.

D’après ce que l’on pouvait lire sur Reddit, ça ne serait plus le cas. En effet, depuis le 3 octobre, le protocole OpenVPN serait également bloqué, dans le pays.

Les FAI utiliseraient ainsi des techniques d’inspection profondes des paquets (DPI) afin d’identifier les paquets VPN. Une fois que ces paquets seraient détectés, le FAI les abandonnerait avant que le protocole TLS (Transport Layer Security) ne les prenne en charge.

Pour être simple et concis : OpenVPN est donc « out » et Tor également.

Comment contourner le blocage OpenVPN ?

Bien évidemment, ces nouvelles ne sont pas très réjouissantes. Mais, il y a tout de même encore une lueur d’espoir et même plusieurs.

Voici différentes techniques qui devraient vous permettre de contourner tous ces blocages. Peut-être et même surement que toutes ces techniques ne serviront pas, mais certaines devraient logiquement fonctionner.

Passer par OpenVPN sur TCP Port 443

C’est le port 443 du protocole TCP qui est utilisé lors des connexions HTTPS. Ce sont ces connexions qui sont utilisées pour sécuriser les sites comme les sites des banques, de shopping, etc.

Par conséquent utiliser OpenVPN en passant par un port TCP 443 permettrait certainement d’échapper à la censure étant donné que les gouvernements ne bloquent que très rarement ce port.

Même en utilisant un DPI, les FAI auront beaucoup plus de difficultés à détecter les paquets OpenVPN sur un port TCP 443. Ce dernier va en effet passer par le cryptage TLS qui est utilisé par les connexions HTTPS.

Le routage OpenVPN sur le port TCP443 est l’une des fonctionnalités pour contourner la censure la plus plébiscité par les fournisseurs de VPN eux-mêmes.

C’est donc une bonne option si votre connexion est bloquée d’autant plus que l’Egypte aurait visiblement bloqué OpenVPN UDP (User Datagram Protocol) ainsi que OpenVPN TCP, mais OpenVPN 443 peut-être bien que non.

Remarquez que tous les fournisseurs de VPN ne prennent pas en charge le port TCP 443 au niveau du logiciel mais beaucoup d’entre eux le font au niveau du serveur. Pour y basculer, il suffit de configurer votre fichier .ovpn. Demandez plus d’info à votre fournisseur VPN.

Le programme Stunnel

Stunnnel est un programme open source dont la fonction est de créer des tunnels TLS /SSL (Secure Sockets Layers). Le cryptage TLS/SSL est généralement le cryptage utilisé pour les connexions HTTPS.

Par conséquent des connexions OpenVPN acheminées via ce tunnel sont très difficiles à distinguer des connexions HTTPS classiques.

Les données OpenVPN seront en effet dissimulées dans une couche supplémentaire de cryptage TLS/SSL. Etant donné que les techniques DPI ne peuvent pas pénétrer cette couche de cryptage en « externe », elles ne pourront pas accéder à celles qui se trouvent à « l’intérieur ».

Les tunnels SSL sont le plus souvent effectués grâce au logiciel Stunnel. Il est nécessaire de configurer le logiciel sur votre ordinateur et sur votre serveur VPN.

Là encore, il peut donc être judicieux d’en parler avec votre fournisseur de VPN si vous souhaitez utiliser le tunneling SSL.

Utiliser les serveurs Obfsproxy et Stealth

Obfsproxy est un outil qui sert à envelopper les données à l’intérieur d’une couche de cryptage supplémentaire plus obscure. L’utilisation d’un protocole de sécurité OpenVPN ou tout autre est donc beaucoup plus difficile.

Preuve de son efficacité, Tor l’a adopté notamment pour contourner les nœuds publics en Chine. Il reste cependant indépendant du projet Tor et peut donc également être configuré pour OpenVPN.

Obfsproxy doit être installé sur l’ordinateur de l’utilisateur (par ex. port 1194) et sur le serveur VPN pour fonctionner. La ligne de commande suivante doit alors être entrée dans le serveur :

obfsproxy obfs2 -dest = 127.0.0.1: serveur 1194 xxxx: 5573

Obfsproxy va donc se connecter au port 1194 et transmettra alors des données désencapsulées (xxxx doit alors être remplacé par votre adresse IP ou par 0000 pour être utilisé sur toutes les interfaces réseau).

En discutant avec votre fournisseur de VPN vous pourrez peut-être obtenir une adresse IP statique afin que le serveur sache sur quel port se connecter.

Si l’on compare le tunneling Stunnel, Obpfsproxy n’est pas aussi sûr. En effet, le trafic n’est pas enveloppé dans le cryptage. Il a par contre l’avantage d’être plus facile à configurer. Le poids en bande passante est également beaucoup moins important car il n’y a pas de couche de chiffrement en plus.

Utiliser Shadowsocks

Il s’agit d’une application proxy opensource. Elle est très largement utilisée en Chine afin de contourner la censure mise en place par les autorités locales.

Il a d’ailleurs été créé par un développeur chinois. On pourrait ainsi le définir comme un outil/ serveur / protocole anti Great FireWall. Cette option fonctionnerait toujours en Egypte visiblement.

Utiliser Surge

C’est le même concept que le Shadowsocks à la différence près qu’il n’est compatible que sur iOS.

Utiliser Lahana

Il s’agit d’un dérivé de Tor, spécialement conçu pour résoudre les problème de Tor dont les nœuds de sortie peuvent être « facilement bloqués ».

Lahana permet de configurer de nouveaux nœuds. Spécialement conçu pour contourner la censure en Turquie Lahana devrait également très bien fonctionner en Egypte.

Utiliser Psiphon

Il s’agit d’une combinaison de technologies VPN, SSH et d’obfuscation. Permettant de contourner la censure. Par exemple si vous êtes confronté à blocage de votre connexion VPN vous pouvez basculer en SSH.

Pratique, si le site Psiphon est bloqué, vous pouvez demander par mail que le logiciel vous soit envoyé : info@psiphon.ca.

Configurer un VPN personnel

Si vous avez la possibilité d’accéder à un ordinateur hors de l’Egypte ou un contact avec une personne disposée à vous aider, vous pouvez encore configurer un PC pour qu’il fonctionne comme votre VPN personnel.

Le problème dans ce cas-là, c’est que la majorité des protocoles VPN sont donc bloqués en Egypte. C’est aussi vrai si vous utilisez votre propre serveur VPN car il va utiliser le même genre de protocoles que ceux utilisés commercialement.

Mais il y a un tout nouveau protocole, WireGuard, particulièrement léger, et qui ne serait pas bloqué en Egypte.

Vous avez également la possibilité d’utiliser AnyConnect/OpenConnect et SoftEther.

Dans ces cas-là, le principal problème de cette approche, c’est qu’il faut tout de même avoir un très bon niveau en informatique.

Si vous êtes suffisamment doué, Streisand serait sans aucun doute le moyen le plus simple de configurer un tel serveur VPN à usage personnel.

Ayez bien conscience que les FAI peuvent parfaitement bloqués ces protocoles à un moment donné.

Conclusion

De toute évidence, les autorités égyptiennes cherchent à bloquer l’accès à l’information libre. Les VPN sont donc un très bon moyen de contourner cette censure. C’est d’autant plus inquiétant de voir qu’ils sont également bloqués aujourd’hui.

Comme vous pouvez le constater, il semblerait que des moyens existent encore pour contourner ces nouveaux blocages, mais pendant combien de temps ?

Si des solutions semblent donc exister, n’oubliez pas que ce n’est pas sans risque. Vous devez donc mesurer le coût bénéfice / risque entre l’accès à l’information et votre sécurité personnelle. Bref, soyez prudent !

Désolé, les commentaires sont fermés pour cet article.